탑신병자 듀오 팀 티모입니다.
이번 시간에는 DDoS에 대해 간단히 알아보겠습니다.
최근 다양한 산업군에 DDoS 공격이 급증하며 사회적으로 이슈가 되고 있습니다.
DDoS(Distributed Denial of Service, 분산 서비스 거부 공격)는 웹사이트 또는 네트워크 리소스 운영이 불가능하도록 악성 트래픽을 대량으로 보내는 공격을 말합니다.
공격자가 제 3의 다수의 컴퓨터에 다양한 방법으로 침입 후, 이들을 관리 및 제어하는 서버를 확보하여 공격 대상에 대량의 트래픽을 발생시키는 것이 기본적인 원리입니다.
공격 유형은 크게 대역폭, 자원 소모, 애플리케이션 공격으로 나눌 수 있습니다.
대역폭 공격은 기본 원리에 가장 근접한 유형입니다.
ICMP, IGMP, UDP 패킷을 대량으로 전송하는 방법으로, 서버로 향하는 길을 막는 것이 목적입니다.
이를 통해 서버가 트래픽을 수용하지 못하게 만들어 서비스를 정상적으로 제공할 수 없게 만듭니다.
다음은 자원 소모 공격으로, 전송 계층 프로토콜들의 구조적인 취약성을 악용해 대상 서버나 경로 상 위치한 네트워크 장비(라우터, 방화벽 등)의 자원을 소모시키는 공격입니다.
대표적으로 TCP SYN Flooding이 있으며 이는 TCP 연결 과정인 3 way handshake 구조를 이용,최초로 SYN만 보내며 서버로부터 받은 SYN/ACK 중 ACK는 고의적으로 보내지 않는 공격입니다.
서버가 TCP 연결을 완료하지 못하는 상태를 지속시키고, TCP Queue가 가득 차 새로운 TCP 연결이 불가능하도록 만듭니다.
마지막으로 애플리케이션 공격입니다.
HTTP Get/Post 요청 트래픽을 웹 서버에 대량으로 보내거나, DNS query를 대량으로 발생시켜 서버에 부하를 주는 등의 방법으로 공격합니다.
관리자의 입장에서 갑작스럽게 트래픽이 증가하면 이것이 공격에 의한 것인지 단순 사용자의 급증인지 구분하기 쉽지 않습니다.
단순히 장비로부터 공격을 파악하기에는 특정 시간대에 대량의 패킷이 들어왔다는 정도만 확인할 수 있을 뿐입니다.
따라서 일반적으로 대상과 임계치를 지정 후 이를 넘기면 공격으로 판단해 차단하는 방법을 사용합니다.
예를 들어 국가 별로 트래픽 허용/차단, 특정 IP를 지정해 허용/차단하는 방법으로 대상을 지정하고
필터 조건을 걸어 트래픽 양을 일정량으로 제한하는 방법 등이 있습니다.
대표적으로 AWS Shield가 DDoS 공격에 대한 솔루션을 제공해줍니다.
지금까지 DDoS에 대해 간단히 알아보았습니다.
감사합니다.
'Security' 카테고리의 다른 글
| Vault by HashiCorp (0) | 2024.03.07 |
|---|---|
| [Security] key 암호화와 복호화 (1) | 2024.01.31 |
| CVE(Common Vulnerabilities and Exposures) (0) | 2023.12.22 |
| Hash and Salt (1) | 2023.10.10 |
| [Wordpress] All-In-One Security(AIOS) plugin을 이용한 관리자 페이지 주소 변경 & IP 접근제어 & MFA 설정 (0) | 2023.06.30 |
댓글