[Network] DoS 공격 (Denial of Service Attack) 정의 및 종류

DoS 공격 (Denial of Service Attack)

: 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 시스템을 마비시킴

 

DDos 공격 (Distributed DoS)

: 여러 대의 공격자를 분산 배치하여 동시에 동작하게 함으로써 특정 사이트 공격

 

 

Smurfing (ICMP Flooding)

: ICMP의 특성을 이용하여 대량의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크 과부하

1. 공격자는 공격 대상이 속해있는 네트워크에 브로드캐스팅으로 ICMP echo 요청(request)함

발신 주소를 공격 대상 IP로 변경함

2. 네트워크 내에 존재하는 모든 호스트에게 ICMP echo 전달

3. 모든 호스트들이 공격 대상에게 응답(response) 패킷을 보냄

4. 공격 대상은 과부하가 발생함

 

대응 방안: 브로드캐스트로 전송된 ICMP 패킷에 대하여 응답하지 않도록 설정

 

SYN Flooding

: TCP의 3-way handshaking을 악용한 공격 방법

공격대상에게 SYN 패킷을 보내서 공격대상은 네트워크 연결을 위해 메모리에 일정 공간 확보함

공격자는 SYN 패킷을 다량으로 보냄

서버는 SYN+ACK을 보내지만 응답(ACK) 패킷을 받지 못해 메모리를 점유한 채로 대기

대응 방안: 특정 IP에서 과도한 SYN패킷이 들어오는 것을 막음

 

 

Ping of Death

: 규정 크기 이상의 ICMP패킷(ping)을 전송하여 시스템을 마비시킴

크기가 큰 패킷은 네트워크 상에서 분할되어 다량의 패킷으로 전송됨

대응 방안: ICMP 패킷을 막음

 

 

LAND 공격

: IP스푸핑을 이용한 SYN 공격, 패킷의 출발지와 목적지 IP를 동일하게 설정하여 전송하는 공격

공격자는 공격대상 시스템의 IP주소로 출발지 주소를 변경한(spoofed) SYN 패킷을 보냄

패킷을 받은 시스템은 응답을 자신에게 보내게 되고 연결 세션이 쌓여서 시스템이 마비됨

 

 

Teardrop 공격

TCP/IP 통신에서 데이터 패킷을 전송할 때 패킷은 네트워크 전송 크기(MTU)에 맞게 단편화가 되고 재조합됨

단편화된 각 패킷들은 IP헤더 내 재조합 순서를 가리키는 fragment offset 값을 가짐

1. 공격자가 단편화된 패킷 조각의 fragment offset 값이 겹치거나 빈 공간이 생기게 만들어 보냄

2. 시스템은 단편화된 패킷을 재조합하지 못해 장애가 발생함