다크넷을 활용한 DNS 증폭 DDoS 활동 지문 분석

초록

본 논문은 다크넷 트래픽을 이용해 DNS 증폭 DDoS 공격을 백스캐터링 없이 탐지·특징화하는 새로운 방법을 제시한다. ANY 타입 DNS 쿼리·다중 목적지·루트·TLD 도메인 존재 여부 등 5가지 파라미터를 기준으로 흐름을 식별하고, 패킷 속도에 따라 저·중·고속 공격으로 분류한다. 720 GB의 /13 다크넷 데이터(3개월)에서 134건의 공격을 추출했으며, 2013년 3월 대규모 공격 사례를 상세히 분석한다.

상세 분석

이 연구는 기존 다크넷 기반 DDoS 탐지 방식이 백스캐터링 패킷에만 의존한다는 한계를 극복하고, 공격자가 스푸핑한 DNS 요청 자체가 다크넷에 도달한다는 점을 활용한다. 탐지 로직은 먼저 포트 53을 향한 ANY 타입 DNS 쿼리를 필터링하고, 동일 소스 IP가 25개 이상의 서로 다른 다크 IP에 대해 25개 이상의 패킷을 전송했는지를 확인한다. 이는 오탐을 최소화하기 위한 최소 규모 기준이며, 동시에 루트·TLD 데이터베이스에 존재하는 도메인만을 허용해 무작위 스캔 트래픽을 배제한다.

속도 분류는 세 단계로 나뉜다. 저속(≤0.5 pps)은 기존 연구에서 무시되던 스텔스 스캔을 포착하며, 중속(0.5 ~ 4700 pps)은 일반적인 증폭 공격을, 고속(≥4700 pps)은 플래시 공격을 의미한다. 4700 pps라는 임계값은 2003년 Slammer 웜 전파 속도와 동일하게 설정해, 급격히 확산되는 대규모 공격을 식별한다.

실험에서는 720 GB(≈0.5 백만 IP) 다크넷 데이터를 3개월간 수집·분석했으며, 총 134건의 DNS 증폭 흐름을 검출했다. 가장 눈에 띄는 것은 2013년 3월에 발생한 300 Gbps 규모의 대형 공격으로, 두 개의 소스 IP가 360 k개 이상의 다크 IP를 대상으로 ANY 쿼리를 전송한 흔적을 발견했다. 이때 평균 패킷 크기 68 바이트, 평균 속도 92 ~ 155 pps로 측정되었으며, 이는 스텔스·플래시 공격이 혼합된 복합 형태임을 시사한다.

또한, ANY 쿼리 비중이 52 %에 달해, 과거 연구(0.02 %)와 비교해 현재 DNS 증폭 공격이 ANY 레코드 남용에 크게 의존하고 있음을 확인한다. 도메인 요청 분석 결과 루트 도메인이 가장 많이 조회되었고, 대형 DNS 운영자의 도메인도 빈번히 등장한다. 이는 공격자가 가능한 한 많은 zone 정보를 얻어 증폭 효율을 극대화하려는 전략으로 해석된다.

이 논문은 다크넷을 통한 DNS 증폭 공격 탐지의 실효성을 입증했으며, 흐름 기반·속도 기반 분류가 공격 특성 파악에 유용함을 보여준다. 다만, 스푸핑 IP가 실제 피해자를 정확히 식별하기 어렵고, 백스캐터링을 완전히 배제하지 못한다는 점에서 한계가 있다. 향후 연구에서는 실시간 다크넷 모니터링과 다른 센서(예: 퍼시브 DNS)와의 연계, 그리고 공격자 인프라 추적을 통한 귀속 분석이 필요하다.