2분기 전 세계에서 발생한 DDoS 공격은 전년동기대비 공격 대역폭이 무려 72%가 증가했으며, 총 DDoS 공격은 22% 늘어난 것으로 나타났다.
아카마이가 24일 발표한 ‘2014년 2분기 프로렉식 글로벌 디도스 공격 보고서’에 따르면 2분기 DDoS는 전년동기대비 ▲평균 공격 대역폭 72% 증가 ▲총 디도스 공격 22% 증가 ▲인프라 공격(레이어3, 4) 46% 증가 ▲평균 공격 지속 시간 38시간에서 17시간으로 54% 감소 ▲평균 최대 대역폭 241% 증가로 분석됐다.
지난 1분기와 비교했을 때는 ▲총 디도스 공격 0.2% 감소 ▲평균 공격 대역폭 14% 감소 ▲애플리케이션 공격(레이어 7) 15% 감소 ▲평균 공격 지속 시간 0.2% 감소(17.38시간 → 17.35 시간 ) ▲평균 최대 대역폭 36% 감소 등으로 나타났다.
한편 DDoS는 강력한 봇넷을 형성하고 있으며, 더욱 교묘하게 은폐해 공격을 진행하는 등 지능적으로 변화하고 있다. 서버측 봇넷을 형성할 때 공격자들은 리눅스, 아파치, MySQL, PHP(LAMP) 스택 및 마이크로소프트 윈도우 서버 오퍼레이팅 시스템과 같은 소프트웨어를 구동시키는 서버 인스턴스와 함께 서비스로서의 플랫폼(PaaS)과 서비스로서의 소프트웨어(SaaS) 기업들을 타깃으로 삼는다.
웹 콘텐츠 관리 시스템(CMS)인 워드프레스(WordPress)와 줌라(Joomla)등의 취약 버전을 표적으로 삼기도 했다.
서버 기반 봇넷의 사용이 증가하고 있는 한편 브로봇(Brobot) 봇넷은 서버가 감염 됐을 때 그림자의 형태로 잠복해 있다가 특정한 목표물에 대한 공격성을 띄고 나타난다. 2분기에 일어났던 공격은 봇넷이 아직까지도 2011-2013년도에 있었던 금융 기관 대상 오퍼레이션 아바빌( 공격 때와 같은 초기단계의 모습을 유지하고 있다.
반사와 증폭 공격이 더 빈번하게 일어났던 작년 2분기와 지난 분기에는 공격 전체의 15% 이상이 인프라에 대한 공격으로 이뤄졌다. 그리고 이러한 공격들은 일반 인터넷 프로토콜과 잘못 설정된 서버들의 기능을 악용한다. 올해 2분기에 네트워크 타임 프로토콜(NTP) 반사공격이 약간 주춤했을 때에도 단일 네트워크 관리 프로토콜(SNMP) 리플렉터 공격은 늘어났다.
서버측 봇넷을 포함하는 공격들은 가장 복잡하고 조심스럽게 조직된 디도스 캠페인에서만 관측 됐으며 규모가 큰 인프라 공격은 디도스 완화 기술을 피해가도록 설계됐다. 이런 공격의 유효성과 불안정한 클라우드 기반의 소프트웨어들 때문에 공격들이 계속되고 있다. 이런 공격은 사업체, 정부 및 다른 기관에도 큰 위험이 된다.
스튜어트 스콜리(Stuart Scholly) 아카마이 수석 부사장 겸 보안 부문 제너럴 매니저는 “디도스 공격은 높은 평균 및 최대 대역폭과 함께 매우 빈번하게 일어나고 있다. 뿐만 아니라 엄청난 네트워크 대역폭으로 데이터 센터 전체가 공격 당할 수 있다”며 “이러한 강력한 공격들의 이면에는 보다 강해진 봇넷을 형성하고 배치하며 또 은폐까지 하는 변화된 공격 전략이 있다. 서버측 봇넷(server-side botnets)은 웹 취약성과 반사 및 증폭 공격 방법 등을 노리고 있으며, 항상 공격 그 이상의 결과를 가져온다”고 말했다.
