DRDoS / 증폭 공격 (Distributed Reflection DoS)

DRDoS / 증폭 공격 (Distributed Reflection DoS)

출발지 IP를 피해자로 위조(IP Spoofing)하고 증폭 프로토콜에 요청을 보내어, 대량의 응답이 피해자에게 집중되도록 하는 반사/증폭 기반 DDoS 공격

동작원리: 공격자(Spoofed IP=피해자) → 증폭 서버(DNS/NTP/Memcached) → 대량 응답 → 피해자

증폭 프로토콜/증폭률

• •DNS(ANY 쿼리): 28~54배
• •NTP(monlist 명령): 556배
• •Memcached(UDP): 10,000~51,000배
• •SSDP: 30배
• •CLDAP: 56~70배

특징: 공격자 IP 은닉(Spoofing), 소량 요청으로 대량 트래픽 생성, 추적 어려움

방어

• •BCP38/BCP84 (네트워크 인그레스 필터링): ISP에서 위조된 출발지 IP 차단
• •Rate Limiting: 증폭 서버에서 응답 속도 제한
• •서비스 설정: DNS 재귀 쿼리 제한, NTP monlist 비활성화, Memcached UDP 비활성화
• •DDoS 방어 서비스: Scrubbing Center, Anycast

비교: DRDoS(반사/증폭/IP 위조) vs DDoS(직접/봇넷) vs DoS(단일 공격원)

연관: DDoS, IP Spoofing, DNS 보안, 네트워크 보안