QUIC 폭주 DDoS 공격이란? | QUIC 폭주와 UDP 폭주

QUIC는 비교적 새로운 전송 프로토콜입니다. QUIC 폭주 DDoS 공격에서 공격자는 압도적인 양의 QUIC 트래픽으로 서버를 겨냥합니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • QUIC 작동 방식 이해하기
  • 공격자가 DDoS 공격에서 QUIC를 악용하는 방법 알아보기
  • QUIC 폭주와 UDP 폭주의 비교

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

QUIC 프로토콜이란?

QUIC 프로토콜 은 인터넷을 통해 데이터를 전송하는 새로운 방법이며, 이전 프로토콜보다 빠르고 효율적이며 안전합니다.QUIC는 전송 프로토콜이므로 데이터가 인터넷을 통해 이동하는 방식에 영향을 미칩니다.거의 모든 인터넷 프로토콜과 마찬가지로 QUIC은 악의적으로 사용되어 DDoS 공격을 수행할 수 있습니다.

보다 기술적인 용어로 QUIC 프로토콜은 이론적으로 TCP(전송 프로토콜)와 TLS(암호화 프로토콜)를 모두 대체할 수 있는 전송 계층 프로토콜입니다.2019년 7월, 모든 웹 사이트의 약 3%가 QUIC를 사용하고 있었으며, Cloudflare를 포함한 프로토콜 지지자들은 시간이 지남에 따라 채택률이 계속 높아지기를 바랍니다.HTTP 프로토콜의 최신 버전인 HTTP/3은 QUIC을 통해 실행됩니다.

QUIC 프로토콜은 어떻게 작동할까요?

QUIC 프로토콜은 기존 인터넷 연결보다 빠르고 안전한 것을 목표로 합니다. 속도 향상을 위해 QUIC 프로토콜은 TCP보다 빠르나 안정성이 떨어지는 UDP 전송 프로토콜을 사용합니다. UDP 전송 프로토콜은 도중에 손실되는 데이터를 보충하기 위해 한 번에 여러 데이터 스트림을 전송하며, 이 기술은 멀티플렉싱이라고 알려져 있습니다.

QUIC을 통해 전송되는 모든 내용은 보안 강화를 위해 자동으로 암호화됩니다. 일반적으로 데이터를 암호화하려면 HTTPS 를 통해 전송해야 합니다. 그러나 QUIC은 일반적인 통신 프로세스에 TLS 암호화를 구축합니다.

이 내장 암호화 덕분에 프로토콜 속도가 더욱 빨라집니다. 일반적인 HTTPS에서는 다단계 TLS 핸드셰이크를 시작하기 전에 전송 계층에서 3방향 TCP 핸드셰이크를 완료해야 합니다. 이 모든 것은 클라이언트와 서버 간에 실제 데이터를 보내기 전에 이루어져야 합니다. QUIC는 이 두 핸드셰이크를 결합하여 한 번에 이루어지도록 합니다. 클라이언트와 서버는 연결이 열려 있음을 확인하고 동시에 TLS 암호화 키를 공동으로 생성합니다.

QUIC 폭주란?

QUIC 폭주 DDoS 공격은 공격자가 QUIC을 통해 전송된 데이터로 대상 서버를 압도하여 서비스를 거부하려고 시도하는 경우입니다. 피해를 입은 서버에서는 수신한 모든 QUIC 데이터를 처리해야 하므로 합법적인 사용자에 대한 서비스 속도가 느려지고 경우에 따라 서버가 완전히 충돌합니다. QUIC를 통한 DDoS 공격은 다음과 같은 이유로 차단하기 어렵습니다.

  • QUIC는 UDP를 사용하며, UDP는 패킷을 차단하는 데 사용할 수 있는 정보를 패킷 수신자에게 거의 제공하지 않습니다
  • QUIC는 패킷 데이터를 암호화하므로 데이터 수신자는 그 데이터가 합법적인지 아닌지를 쉽게 알 수 없습니다

QUIC 폭주 공격은 여러 가지 방법을 사용하여 수행될 수 있지만, QUIC 프로토콜은 반사 기반 DDoS 공격에 특히 취약합니다.

QUIC 반사 공격이란?

반사 DDoS 공격에서 공격자는 피해자의 IP 주소를 스푸핑하고 여러 서버에서 정보를 요청합니다. 서버가 응답하면 모든 정보가 공격자가 아닌 피해자에게 전달됩니다. 누군가가 악의적으로 다른 사람의 반송 주소로 편지를 보내서 그 사람이 원치 않는 우편물로 넘쳐나게 된다고 상상해 보세요.

QUIC 프로토콜을 사용하면 QUIC 연결을 시작하는 초기 "hello" 메시지를 사용하여 반사 공격을 수행할 수 있습니다. TCP 연결과 달리 QUIC 연결은 서버가 간단한 "ACK" 메시지를 보내는 상태에서 열리지 않습니다. QUIC는 UDP 전송 프로토콜과 TLS 암호화를 결합하므로 서버에서는 클라이언트에 대한 첫 번째 응답에 TLS 인증서를 포함시킵니다. 즉, 서버의 첫 번째 메시지가 클라이언트의 첫 번째 메시지보다 훨씬 큽니다. 공격자는 피해자의 IP 주소를 스푸핑하고 서버에 "hello" 메시지를 전송하여 서버를 속여 대량의 원치 않는 데이터를 피해자에게 보내도록 만듭니다.

이러한 유형의 공격을 부분적으로 완화하기 위해 QUIC 프로토콜의 설계자는 초기 클라이언트 hello 메시지의 최소 크기를 설정하여 공격자가 대량의 가짜 클라이언트 hello 메시지를 보내려면 상당한 대역폭이 필요하도록 합니다. 그러나 서버 hello가 여전히 클라이언트 hello보다 크므로 이러한 성격의 공격이 발생할 가능성이 남아있습니다.

QUIC 폭주는 UDP 폭주와 유사할까요?

UDP 폭주는 원치 않는 UDP 패킷으로 대상 서버를 압도하는 DDoS 공격 유형입니다. QUIC는 UDP를 사용하지만, QUIC 폭주가 UDP 폭주와 반드시 같지는 않습니다.

UDP 폭주가 대상 서버를 다운시킬 수 있는 한 가지 방법은 스푸핑된 UDP 패킷을 실제로 사용하지 않는 서버의 특정 포트로 보내는 것입니다. 서버에서는 ICMP 오류 메시지로 모든 패킷에 응답해야 하므로 처리 능력이 저하되고 서버 속도가 느려집니다. 이 공격은 QUIC을 사용하여 가능하지만, 일반적으로 공격자가 QUIC 패킷 생성의 추가 오버헤드 없이 UDP만으로 수행하는 것이 더 저렴합니다.

Cloudflare에서는 QUIC 폭주 DDoS 공격을 차단할까요?

Cloudflare는 QUIC 폭주를 비롯한 다양한 DDoS 공격을 완화합니다.120여 개 국가의 330개 도시에 걸쳐 있는 Cloudflare 전역 네트워크는 기록상 가장 큰 DDoS 공격도 흡수하고 완화할 수 있을 만큼 충분히 큽니다.DDoS 공격에 대해 자세히 알아보세요.