브로드캐스트 스톰

브로드캐스트 스톰(Broadcast storm)은 컴퓨터 망에 브로드캐스팅 및 멀티캐스트 트래픽이 누적되는 현상이다. 과도한 양의 브로드캐스트 트래픽은 브로드캐스트 스톰을 구성한다. 브로드캐스트 스톰은 네트워크 리소스를 과도하게 소모하여 정상적인 트래픽 전송을 불가능하게 만들 수 있다.^[1] 이러한 스톰을 유발하는 패킷은 체르노빌 패킷(Chernobyl packet)이라고 불린다.^[2]

원인

가장 흔한 원인은 이더넷 네트워크 토폴로지의 스위칭 루프(즉, 스위치 간에 두 개 이상의 경로가 존재하는 경우)이다. 간단한 예로 스위치에 연결된 단일 이더넷 패치 케이블의 양쪽 끝을 들 수 있다. 브로드캐스트와 멀티캐스트는 스위치가 모든 포트에서 전송하기 때문에 스위치는 브로드캐스트 메시지를 반복적으로 재브로드캐스트하여 네트워크에 플러딩을 발생시킨다. 레이어 2 헤더는 TTL(수명) 값을 지원하지 않으므로, 프레임이 루프 토폴로지로 전송되면 영원히 루프가 발생할 수 있다.

경우에 따라 브로드캐스트 스톰은 스머프 공격이나 프래글 공격과 같은 패킷 증폭 공격 중 하나를 사용하여 서비스 거부(DOS)를 목적으로 발생할 수 있다. 공격자는 각 ICMP 에코 패킷에 피해자 호스트의 스푸핑 소스 주소가 포함된 대량의 ICMP 에코 요청(ping) 트래픽을 브로드캐스트 주소로 전송한다. 스푸핑된 패킷이 대상 네트워크에 도착하면 네트워크의 모든 호스트가 스푸핑된 주소로 응답한다. 초기 에코 요청은 네트워크의 호스트 수만큼 곱해진다. 이로 인해 피해자 호스트로의 응답 스톰이 발생하여 네트워크 대역폭을 점유하고 CPU 리소스를 소모하거나 피해자 호스트를 다운시킬 수 있다.^[3]

무선 네트워크에서 소스 주소를 무선 액세스 포인트의 주소로 스푸핑하여 브로드캐스트 주소로 전송된 연결 해제 패킷은 연결 해제 브로드캐스트 DOS 공격을 유발할 수 있다.^[4]

예방

• 스위칭 루프는 주로 링크 애그리게이션, 최단 경로 브리징 또는 신장 트리 프로토콜을 통해 해결된다. 메트로 이더넷 링에서는 ERPS(Ethernet Ring Protection Switching) 또는 EAPS(Ethernet Automatic Protection System) 프로토콜을 사용하여 방지한다.
• 3계층 장비(일반적으로 라우터, 그리고 브라우터라는 고급 필터링을 사용하는 스위치 포함)를 사용하여 브로드캐스트를 필터링한다.
• 3계층 라우터를 사용하여 브로드캐스트 도메인을 물리적으로 분할하거나(또는 2계층 VLAN을 사용하여 논리적으로 분할하는 것과 같은 방식으로), 스위치는 2계층에서 충돌 도메인의 크기를 줄인다.
• 라우터와 방화벽은 악의적으로 유도된 브로드캐스트 스톰(예: 확대 공격)을 감지하고 방지하도록 구성할 수 있다.
• 브로드캐스트 스톰 제어는 많은 관리형 스위치의 기능으로, 수신 브로드캐스트 프레임이 소모하는 대역폭이 지정된 임계값을 초과하면 스위치가 모든 브로드캐스트 트래픽 전달을 의도적으로 중단한다. 이렇게 해도 루트 브로드캐스트 스톰 문제는 해결되지 않지만, 브로드캐스트 스톰 강도는 제한되므로 네트워크 관리자가 네트워크 장비와 통신하여 루트 문제를 진단하고 해결할 수 있다.