SMURF DDoS 공격

SMURF 공격은 피해자를 ICMP 요청으로 폭주시키는 DDoS 공격의 한 유형입니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • SMURF 공격의 정의
  • SMURF 공격의 작동 방식 이해하기
  • SMURF 공격에 대한 완화 전략 구현

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

SMURF 공격이란?

SMURF 공격은 공격자가 인터넷 제어 메시지 프로토콜(ICMP) 패킷으로 대상 서버를 폭주시키려고 시도하는 분산 서비스 거부(DDoS) 공격입니다.대상 장치의 스푸핑된 IP 주소를 사용하여 하나 이상의 컴퓨터 네트워크에 요청함으로써 컴퓨터 네트워크는 대상 서버에 응답하여 초기 공격 트래픽을 증폭하고 잠재적으로 대상을 압도하여 액세스할 수 없게 만듭니다.이 공격 벡터는 일반적으로 해결된 취약점으로 간주되며 더 이상 널리 퍼지지 않습니다.

SMURF 공격은 어떻게 작동할까요?

ICMP 패킷은 DDoS 공격에 활용될 수 있지만, 일반적으로 네트워크 관리에서 중요한 기능을 수행합니다. ICMP 패킷을 사용하는 ping 애플리케이션은 네트워크 관리자가 컴퓨터, 프린터, 라우터 등의 네트워크 하드웨어 장치를 테스트하는 데 사용됩니다. ping은 일반적으로 장치가 작동하는지 확인하고 메시지가 원본 장치에서 대상으로 왕복하고 원본으로 돌아오는 데 걸리는 시간을 추적하는 데 사용됩니다. 아쉽게도 ICMP 프로토콜에는 핸드셰이크가 포함되어 있지 않으므로 요청을 수신하는 하드웨어 장치는 요청이 합법적인지 확인할 수 없습니다.

이러한 유형의 DDoS 공격은 사무실 관리자에게 전화를 걸어 해당 회사의 CEO인 척하는 장난꾸러기로 비유할 수 있습니다. 이 장난꾸러기는 관리자에게 각 직원에게 자신의 개인 번호로 다시 전화를 걸어 업무 진행 상황을 업데이트하라고 전해달라고 요청합니다. 장난꾸러기는 표적이 된 피해자의 번호를 알려주고, 피해자는 사무실에 있는 사람들의 수만큼 원치 않는 전화를 받습니다.

SMURF 공격의 작동 방식은 다음과 같습니다.

  1. 먼저 SMURF 맬웨어는 소스 주소가 대상 피해자의 실제 IP 주소로 설정된 스푸핑된 패킷을 구축합니다.
  2. 그런 다음 해당 패킷은 라우터 또는 방화벽의 IP 브로드캐스트 주소로 전송되며, 이 주소는 브로드캐스팅 네트워크 내부의 모든 호스트 장치 주소로 요청을 전송하여 네트워크의 네트워크 장치 수만큼 요청 수를 늘립니다.
  3. 네트워크 내부의 각 장치는 브로드캐스터로부터 요청을 수신한 다음 ICMP 에코 응답 패킷으로 대상의 스푸핑된 주소에 응답합니다.
  4. 그런 다음 대상 피해자가 쏟아지는 ICMP 에코 응답 패킷을 수신하여 잠재적으로 압도되므로 합법적인 트래픽에 대한 서비스 거부가 초래됩니다.

SMURF 공격은 어떻게 완화할 수 있을까요?

이 공격 벡터에 대한 몇 가지 완화 전략이 수년에 걸쳐 개발 및 실행되었으며 악용 사례는 대부분 해결된 것으로 간주됩니다.제한된 숫자의 레거시 시스템에서는 완화 기술을 적용해야 할 수도 있습니다.간단한 해결책은 각 네트워크 라우터 및 방화벽에서 IP 브로드 캐스트 주소를 비활성화하는 것입니다.구형 라우터는 기본적으로 브로드캐스트를 활성화할 가능성이 높지만, 최신 라우터는 이미 비활성화되어 있을 수 있습니다.SMURF 공격이 발생하는 경우 Cloudflare에서는 ICMP 패킷이 대상 원본 서버에 도달하지 못하도록 하여 공격 트래픽을 제거합니다.Cloudflare의DDoS 방어 작동 방식을 자세히 알아보세요.