717. 반사 증폭 공격 (Amplification Attack / DRDoS)

핵심 인사이트: 디도스 해커의 가장 큰 고민 두 가지. "내 IP를 경찰한테 안 들켰으면 좋겠다." 그리고 "내 작은 펀치 한 방이 100배로 뻥튀기돼서 적을 날려버렸으면 좋겠다." 이 두 가지 몽상을 완벽한 현실로 이뤄낸 끔찍한 공격이 바로 'DRDoS (반사 증폭 공격)'다. 전 세계의 선량한 거대 서버(DNS, NTP)들을 속여서, 그들이 내 대신 타겟을 향해 수백 배 무거운 주먹을 날리게 조종하는 악마의 꼼수다.

Ⅰ. DRDoS (Distributed Reflection DoS, 분산 반사 서비스 거부 공격)의 개념

해커가 직접 타겟 서버(피해자)에게 트래픽을 쏘지 않고, 정상적으로 운영되는 제3의 인터넷 서버들(DNS, NTP 등)을 **'반사경(Reflector)'**이자 **'확성기(Amplifier)'**로 악용하여 피해자에게 엄청난 트래픽 폭탄을 쏟아붓게 만드는 최신/최악의 디도스 기법입니다.

Ⅱ. 공격의 2대 핵심 메커니즘 🌟

1. 반사 (Reflection) - "경찰 추적 회피 (IP 스푸핑)"

• 해커는 질문 패킷을 정상 서버(DNS 등)에 던질 때, 겉면에 적힌 '출발지 IP'를 자기 주소가 아니라 **'공격할 타겟(피해자) 서버의 IP'**로 위장(IP 스푸핑)해서 씁니다.
• 멍청한(UDP 기반) 정상 서버들은 질문을 받고, "아, 피해자 IP에서 질문이 왔구나!"라고 속아서, 진짜 해커가 아닌 억울한 피해자 서버 쪽으로 일제히 답장을 날려버립니다(반사). 경찰이 추적해도 해커 IP는 패킷 어디에도 남지 않습니다.

2. 증폭 (Amplification) - "작은 조약돌로 바위 만들기"

• 이 공격의 진짜 무서운 점입니다. 해커는 대답이 아주 길게 나오는 특수한 질문(명령어)만 골라서 묻습니다.
• 해커가 고작 60바이트짜리 가벼운 질문 패킷을 보내면, 속은 정상 서버는 **3,000바이트(50배 증폭)**짜리 거대한 응답 패킷 박스를 피해자에게 던집니다.
• 해커가 자기 노트북으로 1Gbps 트래픽을 쏘면, 반사 서버를 거쳐 피해자에게 도달할 때는 무려 50Gbps 짜리 쓰나미가 되어 서버를 완전히 박살 냅니다.

Ⅲ. DRDoS의 3가지 악당 구성원

1. Attacker (해커): 실제 공격을 조종하는 흑막.
2. Reflector (반사/증폭 서버): 해커의 IP 스푸핑에 속아 넘어가 확성기 역할을 하는 억울하지만 멍청한 전 세계의 정상적인 UDP 서버들 (DNS, NTP, Memcached 등).
3. Victim (피해자 타겟 서버): 전 세계에서 갑자기 날아온 응답 패킷(쓰레기 바위)들을 수십 기가씩 얻어맞고 마비되는 불쌍한 대상.

Ⅳ. 왜 UDP만 쓰이는가? (방어 대책)

• DRDoS는 구조상 절대적으로 UDP 통신 프로토콜만 악용할 수 있습니다.
• 만약 TCP였다면 서버가 "진짜 연결할 거야?"라고 3-way 핸드셰이크를 거치므로 IP 스푸핑 꼼수가 즉시 들통납니다. 하지만 UDP는 묻지도 따지지도 않고 답장(응답)을 휙 던져버리는 특성이 있어 반사 공격의 완벽한 먹잇감이 됩니다.

📢 섹션 요약 비유: 해커가 철수(타겟 서버)를 괴롭히고 싶습니다. 해커는 길거리를 지나가는 덩치 큰 마동석(반사 서버)의 뒤통수에 작은 조약돌을 탁 던집니다. 그리고 잽싸게 도망치면서 철수 명찰(IP 스푸핑)을 현장에 떨어뜨립니다. 빡친 마동석이 뒤돌아보니 철수 명찰이 떨어져 있습니다. 마동석은 조약돌을 던진 범인이 철수인 줄 오해하고, 철수의 집으로 달려가 거대한 바위(수십 배 증폭된 응답)를 100개씩 던져 집을 박살 내버립니다. 경찰이 수사해도 범인은 마동석이고, 철수는 마동석에게 맞아 죽었고, 진짜 범인인 해커는 그림자도 찾을 수 없는 완벽한 완전범죄입니다.