핑(ICMP) 폭주 DDoS 공격

ping(ICMP) 폭주 공격이란?

ping 폭주는 공격자가 ICMP 에코 요청 패킷으로 대상 장치를 압도하려고 시도하여 대상이 일반 트래픽에 액세스할 수 없게 만드는 서비스 거부 공격입니다.공격 트래픽이 여러 장치에서 오는 경우 그 공격은 DDoS 또는 분산 서비스 거부 공격이 됩니다.

Ping 폭주 공격의 작동 방식은?

ping 폭주 공격에 사용되는 인터넷 제어 메시지 프로토콜(ICMP)은 네트워크 장치가 통신하는 데 사용하는 인터넷 계층 프로토콜입니다. 네트워크 진단 도구 traceroute 및 ping은 모두 ICMP를 사용하여 작동합니다. 일반적으로 ICMP 에코 요청 및 에코 응답 메시지는 장치의 상태 및 연결과 발신자와 장치 간의 연결을 진단하기 위해 네트워크 장치를 ping하는 데 사용됩니다.

ICMP 요청에는 각 요청을 처리하고 응답을 보내기 위해 일부 서버 리소스가 필요합니다.또한 요청에는 들어오는 메시지(에코 요청)와 나가는 응답(에코 응답) 모두에 대한 대역폭이 필요합니다.ping 폭주 공격은 많은 수의 요청에 응답하는 대상 장치의 능력을 압도하거나 가짜 트래픽으로 네트워크 연결을 과부하시키는 것을 목표로 합니다.봇넷이 된 많은 장치가 ICMP 요청을 사용하여 동일한 인터넷 자산 또는 인프라 구성 요소를 대상으로 하면 공격 트래픽이 크게 증가하여 정상적인 네트워크 활동이 중단될 가능성이 있습니다.역사적으로 공격자는 전송 장치를 마스킹하기 위해 가짜 IP 주소를 스푸핑하는 경우가 많았습니다.최신 봇넷 공격의 경우, 악의적인 행위자는 봇의 IP를 마스킹할 필요성을 거의 느끼지 못하며, 대신 스푸핑되지 않은 봇의 대규모 네트워크에 의존하여 대상의 용량을 포화시킵니다.

DDoS 형태의 ping(ICMP) 폭주는 2가지 반복 단계로 나눌 수 있습니다.

1. 공격자는 여러 장치를 사용하여 많은 ICMP 에코 요청 패킷을 대상 서버로 보냅니다.
2. 그런 다음 대상 서버는 ICMP 에코 응답 패킷을 각 요청 장치의 IP 주소에 응답으로 보냅니다.

ping 폭주의 피해 결과는 대상 서버에 대한 요청 수에 정비례합니다.NTP 증폭 및 DNS 증폭과 같은 반사 기반 DDoS 공격과 달리 ping 폭주 공격 트래픽은 대칭적입니다. 대상 장치가 수신하는 대역폭의 양은 단순히 각 봇에서 전송된 총 트래픽의 합계입니다.

Ping 폭주 공격의 완화 방법은?

ping 폭주를 비활성화하는 것은 대상 라우터, 컴퓨터 등의 장치의 ICMP 기능을 비활성화하면 가장 쉽게 수행할 수 있습니다. 네트워크 관리자는 장치의 관리 인터페이스에 액세스하고 ICMP를 사용하여 요청을 보내고 받는 기능을 비활성화하여 요청 처리와 에코 응답을 모두 효과적으로 제거할 수 있습니다. 그에 따라 ICMP와 관련된 모든 네트워크 활동이 비활성화되므로 장치에서 ping 요청, 경로 추적 요청, 기타 네트워크 활동에 응답하지 않게 됩니다.

Cloudflare에서는 어떻게 Ping 폭주 공격을 완화하나요?

Cloudflare에서는 대상 원본 서버와 ping 폭주 사이에 위치하여 이러한 유형의 공격을 부분적으로 완화합니다.각 ping 요청이 이루어지면 Cloudflare는 네트워크 에지에서 ICMP 에코 요청 및 응답의 처리 및 응답 프로세스를 처리합니다.이 전략에 따라 대상 서버에서 대역폭과 처리 능력의 리소스 비용을 모두 가져와 Cloudflare의 Anycast 네트워크에 배치합니다.Cloudflare DDoS 방어에 대해 자세히 알아보세요.