Reflection Attack 구조

SECURITY CH3

공격자는 출발지 IP를 피해자로 위조하고, 제3의 서버가 응답 트래픽을 피해자에게 보내도록 만듭니다.

Attacker

공격자

출발지 IP를 피해자 주소로 위조해 요청을 대량 전송합니다.

Reflector

반사 서버

DNS, NTP, SSDP 같은 공개 서버가 요청을 정상 처리합니다.

Victim

피해자

자신이 요청하지 않은 응답 트래픽을 집중적으로 받습니다.

요청 위조

출발지 IP를 피해자 IP로 설정

반사 서버는 요청자가 피해자라고 믿고 응답 대상을 잘못 잡습니다.

응답 반사

제3 서버가 피해자에게 응답

여러 반사 서버를 쓰면 피해자에게 응답 트래픽이 동시에 몰립니다.

증폭 결합

작은 요청이 큰 응답을 유도

응답 크기가 요청보다 크면 Amplification Attack 성격까지 강해집니다.

IP Spoofing 차단

Ingress/Egress Filtering으로 위조 출발지를 제한

반사 서버 줄이기

오픈 리졸버와 불필요한 UDP 서비스를 제한

응답량 제어

Rate Limiting과 모니터링으로 폭주 징후를 완화