9/1–9/23 DDoS 공격 리포트 및 로그 (부분 공개)

DDoS 공격 리포트

1. 2024년 9월 21일 05:42(KST), 특정 게임 서버를 대상으로 한 대규모 DDoS 공격을 탐지했습니다.

  • 최대 대역폭: 941Gbps
  • 최대 PPS: 초당 2억 2,000만 패킷
공격 트래픽 분석 그래프 - 대역폭 및 PPS

공격 트래픽은 브라질(19.33%), 베트남(12.9%), 대한민국(7.62%)에서 주로 관측되었으며, 대부분 페이로드 길이 520바이트의 비단편화(Non-fragmented) UDP 패킷을 대량 전송하는 UDP 플러드(UDP Flood)로 진행되었습니다.

공격 트래픽 분석 그래프 - 국가별 및 Payload Length

해당 공격은 자동으로 차단되어 서비스에 영향을 미치지 않았습니다.

2. 2024년 9월 17일 20:55(KST), 러스트 서버를 대상으로 한 대규모 DDoS 공격을 탐지했습니다.

  • 최대 대역폭: 279.6Gbps
  • 최대 PPS: 초당 3,000만 패킷
공격 트래픽 분석 그래프 - 대역폭 및 PPS

공격 트래픽은 프랑스(30.33%), 러시아(17.78%), 브라질(13.16%)에서 주로 관측되었으며, 대부분 대역폭 소진을 목적으로 한 DNS 증폭 공격(DNS DRDoS, 64.56%)UDP 플러드(UDP Flood, 30.08%)로 진행되었습니다.

공격 트래픽 분석 그래프 - 국가별 및 Attack Method

해당 공격은 자동으로 차단되어 서비스에 영향을 미치지 않았습니다.

3. 2024년 9월 20일 18:17(KST), 러스트 서버를 대상으로 한 애플리케이션 계층 DDoS 공격을 탐지했습니다.

  • 최대 대역폭: 5.1Gbps
  • 최대 PPS: 초당 1,000만 패킷
공격 트래픽 분석 그래프 - 대역폭 및 PPS

공격의 대부분은 Source 엔진 기반 게임 서버를 대상으로 서버 정보 조회 요청을 대량 전송해 서버 자원을 소진시키는 Source 엔진 쿼리 플러드(Source Engine Query Flood)로 진행되었습니다.

Source Engine Query Flood 패킷 덤프

그 외에는 RakNet 프로토콜 기반 서버를 대상으로 오픈 커넥션(Open Connection) 요청을 대량 전송해 서버 자원을 소진시키는 RakNet 오픈 커넥션 플러드(RakNet Open Connection Flood)로 진행되었습니다.

RakNet Open Connection Flood 패킷 덤프

해당 공격은 자동으로 차단되어 서비스에 영향을 미치지 않았습니다.

DDoS 공격 로그

분석 기간 내 탐지된 주요 공격 목록

서버 구분 공격 유형 공격 기간 공격 규모
H서버
DNS DRDoS SSDP DRDoS PUSH and ACK Flood
9월 23일 03:10 ~ 03:15 (5분) 1241Gbps
304Mpps
A서버
UDP Flood (Payload Length = 520)
9월 21일 05:14 ~ 08:58 (3시간 44분) 248.1Gbps
94.5Mpps
B서버
UDP Flood (Payload Length = 520) SYN Flood RST Flood
9월 21일 02:48 ~ 03:21 (33분) 483.2Gbps
116.2Mpps
A서버
UDP Flood (Payload Length = 520) SYN Flood RST Flood
9월 21일 02:48 ~ 04:32 (1시간 44분) 486.9Gbps
118.2Mpps
B서버
DNS DRDoS SSDP DRDoS PUSH and ACK Flood
9월 20일 22:19 ~ 01:09 (2시간 50분) 48.1Gbps
9.2Mpps
C서버
UDP Flood (Payload Length ≥ 1400) DNS DRDoS NTP DRDoS
9월 20일 18:14 ~ 18:23 (9분) 101.2Gbps
98.5Mpps
D서버
ACK Flood
9월 19일 05:21 ~ 05:40 (19분) 218.8Gbps
51.5Mpps
C서버
UDP Flood (Payload Length ≥ 1400) DNS DRDoS
9월 18일 00:59 ~ 01:11 (12분) 284.6Gbps
30.5Mpps
E서버
DNS DRDoS
9월 15일 21:00 ~ 21:01 (1분) 144.7Gbps
14.8Mpps
C서버
UDP Flood (Payload Length ≥ 1400) DNS DRDoS NTP DRDoS
9월 14일 23:01 ~ 23:09 (8분) 181.4Gbps
99.3Mpps
E서버
DNS DRDoS
9월 11일 20:24 ~ 20:48 (24분) 81.1Gbps
8.9Mpps
E서버
DNS DRDoS
9월 8일 22:33 ~ 22:36 (3분) 63.6Gbps
10.3Mpps
F서버
DNS DRDoS
9월 5일 22:18 ~ 22:29 (11분) 43.4Gbps
5.6Mpps
F서버
DNS DRDoS STUN DRDoS
9월 5일 16:52 ~ 17:05 (13분) 45.5Gbps
5.3Mpps
F서버
DNS DRDoS STUN DRDoS
9월 4일 12:15 ~ 12:35 (20분) 65.9Gbps
10.0Mpps
G서버
DNS DRDoS ACK Flood SYN Flood
9월 1일 00:24 ~ 00:27 (3분) 183.0Gbps
31.3Mpps

결론

위의 리포트와 로그를 통해 최근 대규모 DDoS 공격과 멀티 벡터 공격의 빈도가 증가하고 있음을 확인할 수 있습니다. 또한 게임 서버를 대상으로 한 L7 멀티벡터 DDoS 공격이 유입되어 차단이 더욱 어려워지고 있습니다.

저희는 자체 스크러빙센터 기반 트래픽 프로파일링과 서비스별 맞춤 정책이 포함된 차세대 DDoS 방어 시스템을 통해 이러한 위협을 서비스 지연 없이 방어하고 있습니다.

귀하 또는 귀하의 조직이 DDoS 공격을 받으시거나 사전 예방을 원하신다면, allequalit@alave.io 또는 카카오톡 플러스친구(https://pf.kakao.com/_qETxhK)로 연락 주시기 바랍니다.