[정보보호] 서비스 거부 공격: DoS와 DDoS

 

서비스 거부 공격 (Denial of Service, DoS)

 

 

 

 

다른 해킹에 비해 비교적 간단한 훼방 공격으로, 특정 서비스나 시스템의 정상적인 작동을 방해하여 사용자가 서비스를 이용할 수 없게 만든다. 

 

• 취약점 공격형: 특정 형태의 오류가 있는 네트워크 패킷 처리 로직의 문제점을 이용하여 오작동 유발.
  • 보잉크(Boink), 봉크(Bonk), 티어드롭(Tear Drop)
  • 랜드(Land) 공격
• 자원 고갈 공격형: 네트워크 대역폭, 시스템의 CPU, 세션 등의 자원을 소모시켜 시스템 마비.
  • 랜드(LAND) 공격
  • 죽음의 핑(Ping of Death)
  • SYN 플러딩 공격
  • HTTP GET 플러딩 공격, HTTP CC 공격
  • 동적 HTTP 리퀘스트 플러딩 공격
  • 슬로 HTTP 헤더 DoS (슬로로리스) 공격, 슬로 HTTP POST 공격
  • 스머프 공격
  • 메일 폭탄 공격

 

DoS 공격 상세

 

• 보잉크(Boink)/봉크(Bonk)/티어드롭(TearDrop) 공격:
  • 프로토콜의 오류 제어 로직을 악용하여 시스템 자원 고갈.
  • IP Fragmentation 과정 악용 (패킷 순서, 길이 조작).
  • Bonk: Sequence Number를 모두 같은 번호로 조작.
  • Boink: 정상 패킷 전송 중 Sequence Number를 비정상적으로 조작.
  • Tear Drop: 패킷의 시퀀스 넘버와 길이를 조작하여 패킷 데이터 부분이 겹치거나 빠진 상태로 전송.
  • 대응책: 패치 관리를 통해 Fragment Offset 정보가 잘못된 패킷 무시.

 

• 랜드(LAND) 공격:
  • 출발지 IP 주소와 목적지 IP 주소 값을 똑같이 만들어서 공격 대상에게 전송.
  • 무한 루프 상태 유도 → CPU 부하 상승 → 시스템 마비.
  • 대응책: 방화벽/라우터/운영체제에서 출발지 IP와 목적지 IP가 같으면 차단.

 

• 죽음의 핑(Ping of Death) 공격:
  • ping 명령으로 패킷을 최대한 길게 보내 패킷을 쪼갬.
  • 공격 대상 시스템이 대량의 작은 패킷을 수신하느라 네트워크 마비.
  • ICMP: ping이 사용하는 프로토콜.
  • 대응책: 방화벽에서 ICMP를 차단하여 ping이 내부 네트워크에 들어오지 못하도록 함.

 

• TCP SYN Flooding 공격:
  • TCP 3-Way Handshake 과정에서 마지막 ACK를 송신하지 않아 백로그 큐(Backlog Queue)를 소진시킴.
  • 출발지 IP를 존재하지 않는 IP로 위조하여 서버의 SYN+ACK 메시지에 대한 ACK 응답이 발생하지 않도록 조작.
  • 공격 대상 소켓 상태 조회 시 SYN_RECV 상태 다량 발생.
  • 대응책:
    • ACK를 받을 때까지 백로그 큐에 연결 정보를 담지 않음 (SYN Cookie).
    • 운영체제/방화벽/DDoS 대응 장비를 통해 SYN 요청 임계치 설정.
    • TCP 연결 요청을 무한히 기다리지 않도록 Timeout 설정.

 

• HTTP GET Flooding 공격:
  • 정상 접속 후 HTTP GET 메소드로 특정 페이지를 무한대로 실행하는 공격.
  • 웹 서버는 정상적인 TCP 세션과 정상으로 보이는 HTTP GET 요청에 과부하.
  • 대응책: 1개의 IP에서 특정 페이지에 무한 접속 시 차단 (다수 IP는 어려움).

 

• HTTP CC 공격:
  • HTTP 1.1 버전의 Cache-Control 헤더 옵션(no-store, must-revalidate)을 사용하여 캐시 기능을 사용하지 않도록 강제.
  • 웹 서버가 캐시를 사용하지 않고 응답해야 하므로 웹 서비스의 부하 증가.

 

• Dynamic HTTP Request Flooding 공격:
  • 차단 기법을 우회하기 위해 지속적으로 요청 페이지를 변경하여 웹 페이지 요청.

 

• Slow HTTP Header DoS (Slowloris) 공격:
  • HTTP 메시지 헤더 정보를 비정상적으로 조작 (마지막 빈 라인 + 개행 문자 미전송).
  • 웹 서버가 헤더 정보를 완전히 수신할 때까지 연결을 유지하도록 하여 시스템 자원 소비.

 

• Slow HTTP POST (RUDDY) 공격:
  • 비정상적으로 크게 설정한 Content-Length로 조작한 후, 소량의 데이터를 지속적으로 천천히 전송.
  • 서버는 명시된 크기만큼 데이터 모두 수신할 때까지 연결 상태 유지 대기.

 

• 스머프(Smurf) 공격:
  • ICMP 패킷과 네트워크의 임의 시스템을 이용하여 패킷을 확장, 서비스 거부 공격 수행.
  • 출발지 IP를 타겟의 IP로 위조 후 증폭 네트워크로 ICMP Echo Request 메시지를 Broadcast 전송.
  • 타겟 IP로 대량의 ICMP Echo Reply 메시지 전송 유도.
  • 대응책: 외부로부터 오는 Directed Broadcast 패킷 차단, 동일한 ICMP Echo Reply 패킷 다수 발생 시 차단, Broadcast ICMP Echo Request 패킷 무시.
• 메일 폭탄 공격:
  • 스팸메일과 같은 종류로, 메일 서버가 메일 폭주로 디스크 공간이 가득 차서 메일을 받을 수 없게 함.

 

 

분산 서비스 거부 공격 (Distributed DoS, DDoS)

 

 

 

DoS 공격의 확장된 형태로, 여러 대의 컴퓨터 (좀비 PC)를 이용하여 분산적으로 서비스 거부 공격을 수행한다. 공격자는 '두목', 마스터는 '행동대장', 에이전트(좀비 PC)는 '졸개'에 비유할 수 있다. 

• 최근 DDoS 공격 과정:
  1. 악성코드 작성: 전파 가능한 형태의 악성코드를 작성.
  2. 공격 대상 및 스케줄 코딩: 공격 대상과 시간을 악성코드에 미리 코딩 또는 향후 공격자 명령 수신.
  3. 악성코드 전파: 인터넷을 통해 악성코드(봇) 전파.
     • 감염된 PC를 좀비 PC라고 하며, 좀비 PC끼리 형성된 네트워크를 봇넷(Botnet)이라고 함.
  4. 공격 수행: 공격자가 명령을 내리거나 봇넷이 정해진 스케줄에 따라 일제히 공격 명령 수행.