2025년 5월 중순, Cloudflare에서는 초당 7.3테라비트(Tbps)라는 역대 최대 규모의 DDoS 공격을 차단했습니다. 이 공격은 저희가 2025년 4월 27일에 2025년 1분기 DDoS 위협 보고서를 발표한 직후 발생했습니다. 해당 보고서에서는 6.5Tbps 및 초당 48억 패킷(pps)에 달하는 공격을 강조했었습니다. 7.3Tbps의 공격은 Cludflare의 이전 기록보다 12% 더 큰 규모이며, KrebsOnSecurity의 사이버 보안 기자 Brian Krebs가 보고했던 최근의 공격보다 1Tbps 더 큰 규모입니다.
새로운 세계 기록: Cloudflare가 자체적으로 차단한 7.3Tbps DDoS 공격
이 공격은 Magic Transit을 사용하여 IP 네트워크를 방어하는 호스팅 공급자인 Cloudflare의 고객을 표적으로 삼았습니다. 최신 DDoS 위협 보고서에서 보고한 바와 같이, 호스팅 제공자들과 중요한 인터넷 인프라가 점점 더 DDoS 공격의 대상이 되고 있습니다. 아래 그림에는 2025년 1월과 2월에 Cloudflare의 인프라와 Cloudflare의 보호를 받는 호스팅 공급자를 대상으로 1,350만 건 이상의 DDoS 공격을 퍼부었던 공격 캠페인이 나와 있습니다.
Cloudflare 인프라와 Cloudflare의 보호를 받는 호스팅 공급자들을 표적으로 하는 DDoS 공격 캠페인
몇 가지 통계로 시작한 후, 저희 시스템에서 이 공격을 어떻게 감지하고 완화했는지 자세히 살펴보겠습니다.
7.3Tbps 공격의 경우 45초 만에 37.4테라바이트가 전송되었습니다
오늘날의 규모로 보면 37.4테라바이트는 엄청난 수치는 아니지만, 37.4테라바이트를 단 45초 만에 전송하는 것은 엄청난 일입니다. 이는 45초 만에 전체 길이 HD 영화 9,350편 이상으로 네트워크를 폭주시키거나 7,480시간에 달하는 고화질 동영상을 논스톱으로 스트리밍하는 것과 같습니다(이는 거의 1년 동안 몰아서 시청하는 것과 같음). 음악이라면, 1분도 안 되는 시간에 약 935만 곡을 다운로드할 수 있으며, 이는 청취자 한 사람이 57년 동안 쉬지 않고 들을 수 있는 양입니다. 스마트폰에서 1,250만 장의 고해상도 사진을 찍고도 저장 공간이 부족하지 않은 경우를 생각해 보세요. 매일 한 장씩 찍어도 4,000년 동안 찍을 수 있는 양이지만, 이 모든 것이 45초 만에 일어났습니다.
기록적인 7.3Tbps DDoS 공격, 45초 만에 37.4TB가 전송됨
이 공격은 고객이 소유하고 사용하는 단일 IP 주소의 대상 포트를 평균적으로 21,925개 공격했으며, 초당 최대 34,517개의 대상 포트를 공격했습니다. 이 공격은 또한 유사하게 분포된 여러 원본 포트에서 시작되었습니다.
대상 포트의 분포
7.3Tbps 공격은 다중 벡터 DDoS 공격이었습니다. 공격 트래픽의 약 99.996%는 UDP 폭주로 분류되었습니다. 그러나 공격 트래픽의 1.3GB를 차지하는 나머지 0.004%는 QOTD 반사 공격, 에코 반사 공격, NTP 반사 공격, Mirai UDP 폭주 공격, Portmap 폭주 공격, RIPv1 증폭 공격인 것으로 식별되었습니다.
UDP 폭주 이외의 공격 벡터
다음은 이 공격에서 관찰된 다양한 공격 벡터, 조직이 반사 및 증폭 공격의 참여자가 되지 않도록 하는 방법, 그리고 합법적인 트래픽에 영향을 주지 않으면서 이러한 공격을 방어하기 위한 권장 사항입니다. Cloudflare 고객은 이러한 공격으로부터 보호됩니다.
UDP DDoS 공격
유형: 폭주
작동 방식: 대량의 UDP 패킷이 대상 IP 주소의 무작위 포트나 특정 포트로 전송됩니다. 인터넷 링크를 포화시키거나 인라인 장비를 처리 가능한 패킷보다 더 많은 패킷으로 압도하려고 시도할 수 있습니다.
해당 공격을 방어하는 방법: 클라우드 기반 볼류메트릭 DDoS 방어를 배포하고, UDP 트래픽에 스마트 레이트 리미팅을 적용하며, 원치 않는 UDP 트래픽을 모두 차단합니다.
의도하지 않은 영향을 방지하는 방법: 적극적인 필터링을 하면 VoIP, 화상 회의, 온라인 게임 등 합법적인 UDP 서비스에 지장이 있을 수 있습니다. 임계값을 신중하게 적용하세요.
QOTD DDoS 공격
유형: 반사 + 증폭
작동 방식: UDP 포트 17에서 수신 대기하고 짧은 인용문 또는 메시지로 응답하는 QOTD(Quote of the Day) 프로토콜을 남용합니다. 공격자는 스푸핑된 IP 주소에서 노출된 서버로 QOTD 요청을 전송하여 피해자에게 증폭된 응답이 폭주하도록 합니다.
반사/증폭 요소가 되는 것을 방지하는 방법: QOTD 서비스를 비활성화하고 모든 서버와 방화벽에서 UDP/17을 차단합니다.
해당 공격 방어 방법: 인바운드 UDP/17을 차단합니다. 비정상적인 소형 패킷 UDP 요청 급증을 차단합니다.
의도하지 않은 영향을 방지하는 방법: QOTD는 더 이상 사용되지 않는 진단/디버깅 프로토콜이며 최신 애플리케이션에서는 사용되지 않습니다. 이 기능을 비활성화해도 정당한 서비스에 부정적인 영향이 미치지 않아야 합니다.
에코 DDoS 공격
유형: 반사 + 증폭
작동 방식: 수신한 데이터와 동일한 데이터로 응답하는 Echo 프로토콜(UDP/TCP 포트 7)을 악용합니다. 공격자는 피해자의 IP 주소를 스푸핑하여 장치가 데이터를 반사하게 만들어 공격을 증폭시킵니다.
반사/증폭 요소가 되지 않도록 하는 방법: 모든 장치에서 Echo 서비스를 비활성화합니다. 에지에서 UDP/TCP 포트 7을 차단합니다.
해당 공격 방어 방법: Echo 서비스를 비활성화하고 네트워크 경계에서 TCP/UDP 포트 7을 차단합니다.
의도하지 않은 영향을 방지하는 방법: Echo는 더 이상 사용되지 않는 진단 도구입니다. 비활성화하거나 차단해도 최신 시스템에는 부정적인 영향이 없습니다.
NTP DDoS 공격
유형: 반사 + 증폭
작동 방식: 인터넷을 통해 시계를 동기화하는 데 사용되는 네트워크 시간 프로토콜(NTP)을 남용합니다. 공격자는 오래된 NTP 서버(UDP/123)에서 최근 연결 목록을 대량으로 반환하는 monlist 명령을 악용합니다. 스푸핑된 요청은 증폭된 반사를 유발합니다.
반사/증폭 요소가 되지 않도록 하는 방법: NTP 서버를 업그레이드하거나 구성하여 monlist를 비활성화합니다. NTP 쿼리를 신뢰할 수 있는 IP 주소로만 제한합니다.
해당 공격 방어 방법: monlist 명령을 비활성화하고, NTP 소프트웨어를 업데이트하며, UDP/123 트래픽을 필터링하거나 레이트 리미팅합니다.
의도하지 않은 영향을 방지하는 방법: monlist를 비활성화해도 시간 동기화에는 영향이 없습니다. 그러나 UDP/123을 필터링하거나 차단하는 것이 너무 광범위하게 이루어지면 시간 동기화에 영향을 미칠 수 있습니다. 따라서 신뢰할 수 없는 소스나 외부 소스만 차단해야 합니다.
Mirai UDP 공격
유형: 폭주
작동 방식: 손상된 IoT 장치로 구성된 Mirai 봇넷은 무작위 또는 서비스별 UDP 패킷(예: DNS, 게임 서비스)을 사용하여 피해자를 폭주시킵니다.
봇넷에 포함되지 않도록 방지하는 방법: IoT 장치를 보호하고, 기본 비밀번호를 변경하며, 최신 펌웨어 버전으로 업그레이드하고, IoT 보안 모범 사례를 따라 봇넷에 포함되지 않도록 합니다. 가능한 경우, 아웃바운드 트래픽을 모니터링하여 이상 징후를 감지합니다.
해당 공격 방어 방법: UDP 트래픽에 대한 클라우드 기반 볼류메트릭 DDoS 방어 및 레이트 리미팅을 배포합니다.
의도하지 않은 영향을 방지하는 방법: 먼저, 네트워크와 수신하는 트래픽 유형, 특히 프로토콜, 소스, 목적지를 이해해야 합니다. UDP를 통해 실행되는 서비스 중 영향을 주지 않으려는 서비스를 식별합니다. 해당 엔드포인트를 식별한 후, 이를 제외하거나 일반적인 트래픽 수준을 고려하여 레이트 리미팅을 적용할 수 있습니다. 그렇지 않은 경우, UDP 트래픽을 공격적으로 레이트 리미팅하는 것은 정상적인 트래픽에 영향이 미치고 VoIP 통화, VPN 트래픽 등 UDP를 통해 실행되는 서비스에 영향이 미칠 수 있습니다.
Portmap DDoS 공격
유형: 반사 + 증폭
작동 방식: 원격 프로시저 호출(RPC) 기반 애플리케이션에서 사용되는 서비스를 식별하기 위해 Portmapper 서비스(UDP/111)를 겨냥합니다. 스푸핑된 요청으로 반사된 응답이 초래됩니다.
반사/증폭 요소가 되지 않도록 하는 방법: 필요하지 않은 경우 Portmapper 서비스를 비활성화합니다. 내부적으로 필요한 경우, 신뢰할 수 있는 IP 주소로만 제한합니다.
해당 공격 방어 방법: 필요하지 않으면 Portmapper 서비스를 비활성화하고 인바운드 UDP/111 트래픽을 차단합니다. 액세스 제어 목록(ACL) 또는 방화벽을 사용하여 알려진 RPC 서비스에 대한 접근을 제한합니다.
의도하지 않은 영향을 방지하는 방법: Portmapper를 비활성화하면 RPC(예: 네트워크 파일 시스템 프로토콜)에 의존하는 애플리케이션이 중단될 수 있습니다. 제거하기 전에 서비스 종속성을 확인합니다.
RIPv1 DDoS 공격
유형: 반사 + (낮은) 증폭
작동 방식: UDP/520을 사용하는 오래된 미인증 거리 벡터 라우팅 프로토콜인 라우팅 정보 프로토콜 버전 1(RIPv1)을 악용합니다. 공격자는 스푸핑된 라우팅 업데이트를 전송하여 네트워크를 과부하 상태로 만들거나 혼란스럽게 만듭니다.
반사/증폭 요소가 되지 않도록 하는 방법:: 라우터에서 RIPv1을 비활성화합니다. 라우팅이 필요한 곳에서는 인증을 사용하여 RIPv2를 사용합니다.
해당 공격 방어 방법: 신뢰할 수 없는 네트워크로부터의 인바운드 UDP/520을 차단합니다. 예기치 않은 라우팅 업데이트를 감시합니다.
의도하지 않은 영향을 피하는 방법: RIPv1은 대부분 구식입니다. 비활성화하는 것이 일반적으로 안전합니다. 레거시 시스템에서 RIPv1에 의존하는 경우, 변경하기 전에 라우팅 동작을 검증합니다.
정상적인 트래픽에 의도하지 않은 영향이 미치는 것을 방지하려면 각각의 고유한 네트워크 또는 애플리케이션의 컨텍스트와 동작을 고려하여 여기에 소개된 모든 권장 사항을 고려해야 합니다.
이 공격은 161개국에 걸쳐 있는 5,433개의 자율 시스템(AS)에 있는 122,145개 이상의 출처 IP 주소로부터 시작되었습니다.
공격 트래픽의 거의 절반이 브라질과 베트남에서 발생했으며, 각각 약 4분의 1을 차지했습니다. 또 다른 3분의 1은 대만, 중국, 인도네시아, 우크라이나, 에콰도르, 태국, 미국, 사우디아라비아에서 유래했습니다.
공격 트래픽의 상위 10개 출처 국가
초당 고유 출처 IP 주소의 평균 수는 26,855개였으며, 최대치는 45,097개였습니다.
고유 출처 IP 주소의 분포
이 공격은 5,433개의 서로 다른 네트워크(AS)에서 시작되었습니다. Telefonica Brazil(AS27699)은 DDoS 공격 트래픽에서 전체의 10.5%로 가장 큰 비중을 차지했습니다. Viettel Group(AS7552)이 9.8%로 그 뒤를 이었고, China Unicom(AS4837)과 Chunghwa Telecom(AS3462)이 각각 3.9%와 2.9%를 차지했습니다. China Telecom(AS4134)은 트래픽의 2.8%를 차지했습니다. Claro NXT(AS28573), VNPT Corp(AS45899), UFINET Panama(AS52468), STC(AS25019), FPT Telecom Company(AS18403) 등 상위 10위의 나머지 ASN이 DDoS가 전체 DDoS 공격 트래픽에서 각각 1.3%에서 1.8%를 차지했습니다.
상위 10개 출처 자율 시스템
Cloudflare에서는 호스팅 공급자, 클라우드 컴퓨팅 공급자, 기타 인터넷 서비스 공급자들이 이러한 공격을 시작하는 악성 계정을 식별하고 차단할 수 있도록 지원하기 위해, Cloudflare만의 고유한 관측 지점을 활용해 서비스 공급자를 위한 무료 DDoS 봇넷 위협 피드를 제공합니다. 현재 전 세계적으로 600여 개의 조직에서 이 피드에 가입했습니다. 이를 통해 서비스 공급자는 자신의 각 ASN 내에서 HTTP DDoS 공격을 유발한 IP 주소 목록을 확인할 수 있습니다. 이 피드는 완전 무료이며 무료 Cloudflare 계정을 열고 PeeringDB를 통해 ASN을 인증한 다음 API를 통해 피드를 가져오기만 하면 됩니다.
공격을 받은 IP 주소에 대한 알림이 글로벌 Anycast를 사용하여 Cloudflare 네트워크에서 이루어졌습니다. 이는 해당 IP를 겨냥한 공격 Cloudflare 패킷이 가장 가까운 Cloudflare 데이터 센터로 라우팅되었음을 의미합니다. 글로벌 Anycast를 사용하면 공격 트래픽을 분산시키고 그 분산 특성을 활용하여 봇넷 노드 근처에서 완화할 수 있으며, 가장 가까운 데이터 센터에서 사용자에게 계속 서비스를 제공할 수 있습니다. 이 공격은 전 세계 293개 지역에 걸쳐 있는 477개의 데이터 센터에서 감지되고 완화되었습니다. 트래픽이 많은 위치에는 Cloudflare 데이터 센터가 여러 곳 있습니다.
Cloudflare의 전역벌 네트워크는 모든 데이터 센터에서 모든 서비스를 운영합니다. 여기에는 우리의 DDoS 감지 및 완화 시스템이 포함됩니다. 이는 공격의 출처와와 관계없이 완전히 자율적으로 공격을 감지하고 완화할 수 있음을 의미합니다.
패킷이 데이터 센터에 들어오면 사용 가능한 서버로 지능적으로 부하 분산됩니다. 그런 다음 Linux 커널의 깊은 곳에서 직접 패킷을 샘플링합니다. eXpress Data Path(XDP)에서 extended Berkley Packer Filter(eBPF) 프로그램을 사용하여 패킷 샘플을 사용자 공간으로 라우팅하고, 여기서 분석을 실행합니다.
저희 시스템에서는 dosd(서비스 거부 디먼)라는 고유한 휴리스틱 엔진을 기반으로 패킷 샘플을 분석하여 의심스러운 패턴을 식별합니다. dosd는 패킷 샘플에서 패턴을 찾고, 패킷 헤더 필드의 공통점과 패킷 이상 현상을 찾으며, 다른 독점 기술을 적용합니다.
실시간 지문 생성 흐름도
Cloudflare 고객에게 제공되는 이 복잡한 핑거프린팅 시스템은 사용자 친화적인 관리 규칙 그룹 DDoS 방어 관리 규칙 집합으로 캡슐화됩니다.
dosd에서 패턴이 감지되면, dosd는 해당 지문의 여러 순열을 생성하여 가장 높은 완화 효율성과 정확도를 가진 가장 정확한 지문을 찾습니다. 즉, 합법적인 트래픽에 영향을 주지 않으면서 공격 트래픽에 정밀하게 매칭하려고 합니다.
Cloudflare DDoS 방어 시스템 다이어그램
각 지문 순열과 일치하는 다양한 패킷 샘플을 집계하고, 데이터 스트리밍 알고리즘을 사용하여 적중 횟수가 가장 많은 지문을 도출합니다. 활성화 임계값을 초과하면 긍정 오류를 피하기 위해 지문 구문을 사용하는 완화 규칙이 eBPF 프로그램으로 컴파일되어 공격 패턴과 일치하는 패킷이 삭제됩니다. 공격이 끝나면 규칙이 시간 초과되어 자동으로 제거됩니다.
앞서 언급했듯이, 각 서버에서는 완전히 자율적으로 공격을 감지하고 완화하므로 네트워크가 매우 효율적이고, 탄력적이며, 공격을 빠르게 차단할 수 있습니다. 또한 각 서버에서는 데이터 센터 내에서 그리고 전 세계적으로 상위 지문 순열을 가십(멀티캐스트)합니다. 실시간 위협 인텔리전스 공유 덕분에 데이터 센터 내 및 전 세계적으로 완화 효과가 향상됩니다.
Cloudflare의 시스템에서는 이 기록적인 7.3Tbps DDoS 공격을 사람이 개입하지 않고, 경고를 트리거하지 않으며, 어떠한 사고도 일으키지 않고 완전히 자율적으로 차단하는 데 성공했습니다. 이는 세계 최고 수준인 저희 DDoS 방어 시스템이 효과가 있음을 입증하는 것입니다. Cloudflare에서는 더 나은 인터넷을 구축하기 위해 무료 무제한 DDoS 방어를 제공하기 위한 사명의 일환으로 이 시스템을 구축했습니다.