DDoS 공격이란?

 

 

✅ DDOS란 ? 

 

 DDOS는  다수의 시스템이  봇넷으로 조직되어 

대상 네트워크/서버  / 서비스에  엄청난 양의 트래픽을 발생시키는 사이버 공격이다. 

 

 

 

 

트래픽이 갑자기 엄청 많이 들어와서   서비스의 속도가 느려지게 되거나,   서버 다운이 되면서  

정상적인 사용자의 접근이 거부될 수 있다. 

 

https://www.cloudflare.com/ko-kr/learning/ddos/what-is-a-ddos-attack/

 

예상치 못한 교통체증으로 고속도로가 막히면 도착하기까지 시간이 엄청 오래걸리거나 

목적지에 도달하지 못하는 느낌과 유사하다고 생각하면 된다. 

 

 

 

온라인 서비스가 중단되면  재정적 손실, 평판 훼손 등 다양한 문제가 발생할 수 있다. 

 

 

 

 

 

✅  DDOS공격의 특징

디도스 공격을 실행하기 위해 다양한 지역에 분산된 소스에 의존한다. 

소스는 공격자가 제어하는   <감염된 장치>로  봇넷을 형성한다. 

 

* 봇넷은 악성 소프트웨어 (멀웨어)에 감염되어   공격자에 의해 조종되는 컴퓨터 네트워크이다.

 

공격은 서로 다른 IP주소와  지리적 위치에서 발생하는 것처럼 보이기 떄문에 

대응이 어렵고,  

합법 사용자와 , 악의적인 사용자를 구별하기 위한 다계층 방어가 필요하다. 

 

 

 

 

✅ 공격 유형

 

1. 볼륨 기반 공격

네트워크 레이어 (3계층) 을 대상으로 삼는다. 

 

◼  ICMP 플러드

대량의 에코 요청 ( ping)을 전송한다. 

서버는 각 ping에 응답하려고 시도하며  이과정에서 네트워크 리소스가 소모된다. 

 

 

---

 

2. 프로토콜 기반 공격

프로토콜 기반 DDoS 공격은 네트워크(3레이어) 및 전송(4레이어) 계층에서 프로토콜의 취약점을 악용한다.

 

메모리나 테이블과 같은 서버 리소스를 고갈시킨다. 

 

 

◼  SYN 플러드 (4레이어)

두 대의 컴퓨터가 네트워크 연결을 시작할 때  통신 순서(TCP Handshake) 를 악용한 것이다. 

 

쉽게 말해 

음식 점 예약 전화를 걸고 전화를 끊어버리는 것이다. 

SYN요청만 수없이 보내고,   handshake를 완료하지 않으면 TCP는 종료되지 않는다. (실제 연결 ACK은 되지 않았다)

불완전한 연결이 유지되면서 서버의 메모리 리소스가 고갈되고  새로운 연결을 차단하게 된다. 

 

◼  죽음의 핑 (3레이어)

IP프로토콜에서 정의한 크기 제한을 초과하는 대형 ICMP패킷을 전송한다.

 

정상적인 ICMP 핑 패킷은 65535이하만 보내야하는데

공격자가 이를 Fragment로 쪼개 놓은 다음   합쳤을 때 65535바이트를 초과하게 만들어서  서버에 보내면

버퍼크기 초과/ 메모리 영역 침범 등 오류가 발생하면서 뻗는다. 

 

 

◼  스머프 공격 (3레이어)

공격자가 ping을 보내는데   소스IP를 피해자의 IP로 스푸핑한다. (속인다)

관련 대상 네트워크에 있는 모든 컴퓨터가  한 대상에세 ICMP응답을 보내버린다. 

피해자는 엄청난 양의 응답 트래픽에 의해 다운된다. 

 

> 마을에서 모든 스머프들이 촌장한테 건의사항을 말하려고 한다. 

누군가 우리집을   촌장 집인 척 주소를 속였다.

그래서 스머프들은 우리집 우편함에 편지를 쏟아붓는 상황이 된것이다. 

 

 

◼ IP 스푸핑  (3레이어 / 4레이어)

공격자가 출발지 IP를 조작해  어디에서 왔는지 알기 어렵게 만든다. 

공격자는 본인을 노출시키지 않고,   응답이 다른 사람(조작한IP)에게 가도록 만들수 있다. 

 

---

 

3. 애플리케이션 레이어 공격

서버가 실제로 처리해야 하는 웹 요청이나 앱 요청을 악용하는 방식이다.

 

◼  HTTP 플러드

수많은 GET/POST요청을 통해 웹서버가 바빠져서  정상 요청을 받지 못함

특정 리소스를 많이 사용하는 URL을 대상으로 하기에 서버 처리용량/ 대역폭이 고갈될 수 있다.

 

◼ 슬로로리스(Slowloris)

일부 HTTP 요청을 아주 천천히 보내서  서버가 계속 기다리게 만든다

결국 다른 연결을 받을 수 없게된다. 

 

◼  DNS 쿼리 플러드

DNS에 너무 많은 질문을 보내서 진짜 사용자의 요청은 무시되게 만든다.

 

◼  봇 기반 공격

감염된 좀비가 동시에 요청을 보내 서버를 마비시킨다 (진짜 사용자처럼 보여서 막기 어렵다)

 

 

 

---

 

 

✅ 식별 방법

DDOS 공격에서는 공격 트래픽과 정상 트래픽을 구분해야한다. 

웹서버 단에서 들어오는 트래픽의 패턴을 모니터링 하여 

비정상적인 요청을 보내는 IP를 추적 해볼 수 있다. 

 

 

 

 

---

References

 

https://www.cloudflare.com/ko-kr/learning/ddos/what-is-a-ddos-attack/

https://www.akamai.com/ko/glossary/what-is-ddos