DoS & DDoS

보안노트·2024년 5월 18일
정보보안
0

DoS(Denial of Service)


  • 단일 시스템에서 특정 서비스나 시스템에 고의적으로 대량의 트래픽을 보내 서비스를 마비시키거나 시스템 자원을 고갈시키는 공격 기법이다.

  • 단일 소스에서 발생하며, 보통 하나의 컴퓨터 또는 인터넷 연결을 통해 수행된다.

  • 단일 지점에서 공격이 발생하므로 비교적 쉽게 탐지하고 방어할 수 있다는 특징이 있다.



DoS 공격 종류


1. Smurf

  • 공격자의 IP를 위조하는 공격


  • 공격자의 IP를 위조한 후, 공격 대상 시스템으로 대량의 ICMP Echo Request 패킷을 보낸다.


  • 이렇게 보내진 ICMP 패킷들은 공격 대상의 네트워크에서 받고 응답을 보내게 되며, 이로 인해 공격 대상의 네트워크 대역폭이 고갈되며 정상적인 네트워크 서비스를 할 수 없게 된다.


2. Land Attack

  • 공격자가 전송하는 TCP 패킷의 출발지 IP와 목적지 IP를 공격 대상의 IP 주소로 설정하여 공격 대상 시스템에 보내는 공격 기법.

  • 공격 대상의 시스템은 자기 자신으로부터 수신한 패킷을 처리하려 하며 시스템 자원을 소모하고 결국 자원이 고갈되어 정상적인 서비스를 제공할 수 없게 된다.


3. SYN Flood

  • 일반적인 TCP 연결 과정

    • 클라이언트가 서버에 SYN 패킷을 보낸다.

    • 서버는 SYN/ACK 패킷을 보내고, 클라이언트는 ACK 패킷을 보내며 연결을 맺는다.1


  • SYN Flood 공격은 이 과정을 악용하여 대량의 가짜 IP 주소 SYN 패킷을 대상 서버에 전송한다.

  • 이때, 공격자는 ACK 패킷을 전송하지 않고, 대상 서버는 SYN/ACK 패킷을 대량으로 보내며 대기열에 연결 요청이 쌓이게 된다. 따라서 대상 서버는 연결 요청을 처리하지 못하게 된다.

  • 대표적인 대응 방법은 SYN 쿠키 디펜스 기술이 있다.
    서버가 SYN 패킷을 받을 때마다 데이터를 생성하여 클라이언트에 전송하게된다.
    이 방법을 통해 서버는 정상적인 연결 요청에만 데이터를 생성한다.


4. ICMP Flood

  • 대량의 ICMP 패킷을 보내는 공격 기법이다.

ICMP (Internet Control Message Protocol)
네트워크에서 발생하는 문제를 진단하고, 오류 메세지를 보내는 등의 제어 메세지를 전달하기 위한 프로토콜.


  • 공격자는 ICMP Flood 공격을 통해 목표 서버의 CPU 리소스를 고갈시키는 것을 목적으로 한다.

  • 간단한 스크립트나 도구를 사용하여 공격할 수 있으며, 대부분의 방화벽에서 차단되지 않는 경우가 많아 대처가 어려운 공격 중 하나이다.
    이를 막기 위해서는 방화벽이나 IPS 등의 보안장비를 사용하여 대량의 ICMP 패킷을 필터링하거나 차단하는 것이 필요합니다.



5. UDP Flood

  • UDP 패킷을 대량으로 보내는 공격 기법이며, 대상 시스템의 UDP 포트를 공격하는 방식이다.

  • 공격자는 UDP 패킷을 보낼 때, 대상 서버의 IP 주소와 포트 번호를 송신자 IP 주소와 랜덤한 포트 번호로 조작하여 전송한다.

  • UDP 프로토콜은 연결 설정 과정이 없기 때문에 대상 서버는 대량의 UDP 패킷을 받고 서버에 처리 요청을 하게 된다.



6. HTTP Flood

  • 가짜 HTTP 요청을 대량으로 전송하는 공격 기법이다.

  • 여러 대의 컴퓨터를 이용해 대량의 HTTP 요청을 보내고, 이를 받는 웹 서버는 응답을 반환한다.

  • 이러한 공격에 대처하기 위해서는 서버의 부하 분산(Load Balancing)기술이나 웹 방화벽을 사용할 수 있다.

  • 로드 밸런싱은 부하를 분산하여 여러 대의 서버에서 분산 처리가 가능하며, 웹 방화벽은 대량의 HTTP 요청을 필터링할 수 있기에 공격 트래픽을 효과적으로 차단할 수 있다.



7. Slowloris

  • HTTP 요청 헤더에 특정 값을 포함하여 서버가 요청을 처리하지 못하도록 연결을 계속 유지하는 방식이다.

  • 공격자가 HTTP 요청을 여러 개 보내고, 각 요청에 Keep-Alive 값을 설정하여 연결을 유지하게 된다.



DDoS(Distributed Denial of Service)란?


  • 다수의 시스템을 이용해 특정 서버나 네트워크 자원을 대상으로 과도한 요청을 보내 서비스가 정상적으로 작동하지 못하게 만드는 공격이다.

  • 여러 소스에서 동시에 발생하며, 네트워크에 연결된 다수의 감염된 컴퓨터들을 통해 수행된다.

  • 여러 지점에서 동시다발적으로 공격이 발생하기 때문에 탐지하고 방어하기가 매우 어렵다는 특징이 있다.

profile
보안노트
이전 포스트

쿠키(Cookie) & 세션(Session)

다음 포스트

TCP & UDP

0개의 댓글

관련 채용 정보