DDoS(1) - DDoS란?/DDoS 공격 발전형태 (KISA DDoS 공격 대응 가이드)

📌SYN Flood (=half-open attack)

: 공격자가 피해 시스템에 TCP(SYN) 연결 요청을 연속해 전송할 때 발생

 

서버가 SYN 연결 요청을 받은 후, ACK을 받기 위해 통신을 열린 상태로 유지한다. 하지만 클라이언트(공격자)가 SYN 응답을 보내지 않음으로써 피해 서버의 연결 시간이 초과될 때까지 서버의 리소스를 소비시킨다.

  ➡피해 서버가 정상 사용자와의 연결이 불가능한 서비스 장애 발생

 

 

공격자가 서버의 ACK에 응답하지 않는 방식

1️⃣ 처음 ACK 패킷을 보낼 때, 스푸핑 된 source IP 주소를 사용하는 봇넷을 사용해 전송

  ➡ SYN+ACK 패킷 받은 클라이언트는 '나 SYN 보낸 적 없는디'하고 ACK을 안 보냄

2️⃣ 스푸핑되지 않은 공격자 본인의 IP를 사용 후 단순 무시

 

 

원리

✅ Backlog Queue

3-way-handshake를 위해 연결을 진행 중인 요청을 담아두는 큐로, SYN Backlog Queue에는 SYN을 보낸 요청들의 정보가저장된다. 저장된 SYN 정보들은 ACK을 주기 전까지 저장된다. ACK을 받지 못한 서버는 계속해서 Queue에 다음 정보들을 저장하고 결국 Queue에 SYN 요청 정보가 넘치게 된다.

 

 

대응방안

1️⃣ TCP Connection Timeout

TCP Connection Timeout 시간을 짧게 설정하여 ACK을 보내지 않은 SYN 정보들은 Queue에서 삭제되도록 한다.

 

2️⃣ Backlog Queue

Backlog Queue를 늘린다. 

 

3️⃣  SYN쿠키

클라이언트에 요청이 올 경우, SYN/ACK 패킷에 쿠키값을 담아 보내 ACK이 왔을 때 쿠키값을 검증한다. 정상 연결일 경우, Listen Backlog로 넘겨서 연결을 수립한다. SYN Backlog Queue를 사용하지 않는 방법이다.

 

 

---

 

📌DDoS(Distributed Denial of Service) 공격이란?

: 다수의 서버, PC 등을 이용해 비정상적인 트래픽을 유발시켜 대상 시스템을 마비시키는 공격

 

1️⃣ 공격자는 취약한 서버를 공격 후 악성코드를 배포하고, 유포지/경유지 서버에서 악성코드를 내려 받은 서버/기기를 이용하여 *봇넷을 구축한다.

2️⃣ 공격자는 봇넷에 명령을 전당해 대규모 트래픽을 유발(=DDoS)시키거나, 취약 서버를 악용하여 *반사공격(=DRDoS)을 수행한다.

 

✅ 봇넷

: 악성코드 등에 감염된 피해 서버, 기기들로 구성된 네트워크 집단

 

✅ 반사공격 (DRDoS;Distributed Reflective Denial of Service)

: 공격자가 Source IP 주소를 공격 대상의 IP 주소로 스푸핑하여 서버에 대량의 요청 패킷을 보낸다.

요청을 받은 반사 서버는 요청을 증폭시켜 공격대상 서버로 응답 패킷을 전송한다.

 

---

📌DDoS 공격 형태

구분	대역폭 공격	자원 소진 공격	웹/DB 부하 공격
공격 특성	높은 bps (초당 비트 수)	높은 pps (초당 패킷 수) 높은 connection (cli-svr 연결)	높은 pps 높은 connection
공격 유형	UDP Flooding 및 UDP 기반 반사공격, (DNS, NTP, CLDAP, SSDP 등), Tsunami syn flooding, ICMP Flooding 등	TCP SYN, ACK Flooding 등	GET Flooding, POST Flooding
피해 대상	동일 회선을 사용하는 모든 시스템 접속 불가	대상 서버, 네트워크 장비 등의 과부하 발생	대상 웹/D서버 과부화 발생
Protocol	UDP, ICMP, TCP, GRE	TCP	HTTP, HTTPS
IP 위/변조 여부	위/변조 가능	위/변조 가능	위/변조 불가능 (실제 IP로 공격)
비고	일시적으로 대량의 트래픽을 발생시키기 때문에 회선 대역폭이 작으면 방어가 어려움	대역폭 공격에 비해 적은 트래픽으로도 서버 과부화를 유발할 수 있음	정상적으로 세션을 맺을 후 과도한 http 요청으로 웹/DB

 

 

 

---

 

출처: KISA DDoS 공격 대응 가이드

KISA 인터넷 보호나라&KrCERT