Constrained Application Protocol이란 IoT 기기들을 위해 사용되는 프로토콜의 일종 으로서, 주로 저전력 컴퓨터들을 위해 만들어진 간단한 UDP 프로토콜이다.
HTTP형식과 유사한 모양을 보이며 UDP프로토콜의 5683번 Port를 사용한다.
CoAP Reflection Attack은 피해자 IP로 스푸핑한 출발지 IP에서 외부 노출된 IoT 기 기 및 모바일 장치들을 대상으로 변조된 GET Request를 보내고, 돌아오는 응답 Packet을 피해자 시스템으로 보내서 피해시스템의 회선 대역폭을 고갈시키는 공격기법이다.
(3) 대응 방안
① UDP 패킷 차단설정
CoAP Reflection Attack패킷은 UDP 프로토콜을 사용하며 5683번을 출발지 Port로 사용
CoAP는 내부망(비인터넷망)에서만 사용되며 외부 노출이 되지 않아야 하기 때문에 5683번 Port 로 인입되는 UDP 프로토콜 패킷은 차단해야 함
② CoAP 기기 외부 노출 확인
CoAP Reflection Attack은 외부에 노출된 CoAP 기기들을 악용한 공격이기에 CoAP기기들을 사용중인 환경이라면 외부에서 접속할 수 없는지 접근 여부를 반드시 확인해야 함
SSDP와 마찬가지로 외부에서 접근할 수 없도록 차단 설정을 해야 하며, 외부로 나가는 OutBound Packet을 모니터링 해야 함
③ DDoS 방어 서비스 이용
CoAP Reflection Attack은 방어 장비가 있어도 기업 네트워크 회선의 수용가능한 트래픽 양을 초과 하면 결국 서비스 장애로 이어짐
따라서 CoAP Reflection Attack의 효과적인 차단을 위해서는 기업 네트워크 회선에 공격 트래픽이 인입되기 전에 사전 차단하는 것이 가장 효과적임
이를 위해 DDoS 방어 서비스를 이용한 대응 프로세스를 준비해야 함
※ 기업의 네트워크 환경/공급자에 따라서 이용할 수 있는 DDoS 서비스가 다를 수 있으므로 이용 가능한 DDoS 서비스를 사전에 검토하여 대응 프로세스를 준비하는 것을 권장
8. CoAP Reflection Attack
8. CoAP Reflection Attack
o WS-Discovery, ARMS Reflection Attack과 함께 FBI(미국 연방 수사국)에서 위험한 신규 DDoS 공격유형으로 경고함
o 해외 DDoS 대응업체인 NETSCOUT에 의하면 2019년 1월부터 CoAP의 스캔활동 및 DDoS 공격이 증가하고 있으며, 평균 공격은 초당 약 100개의 패킷을 생성하여 90초 이상 지속된다고 밝힘
o 현재까지 확인된 CoAP 장치의 위치는 대부분 중국이며, 모바일 P2P 네트워크를 주로 사용 o CoAP장치는 SSDP와 다르게 IP정보가 2주 이내에 80%이상 변경되는 특징이 있기 때문에 공격자
입장에서는 봇넷 구축을 위해 지속적으로 갱신해야 하는 단점이 있지만, 잘 알려지지 않은 유형의 DDoS 반사 공격이기 때문에 앞으로 더욱 발전될 가능성이 높음
최근 동향
2019년 CoAP 스캔 활동
(출처: NETSCOUT, CoAP Attacks In The Wild)
2019년 CoAP 공격 활동
(출처: NETSCOUT, CoAP Attacks In The Wild)