🛡️ 서비스 거부(DoS) 공격 종류 - 🚀정처기 실기 대비 문제 포함

🚫 DoS(Denial of Service) 공격이란?

서비스 거부(Denial of Service, DoS) 공격은 시스템의 리소스를 과도하게 사용하여 정상적인 사용자가 서비스를 이용하지 못하도록 만드는 공격입니다. 공격자 한 명이 대상 서버에 대량의 요청을 보내거나, 시스템의 취약점을 이용하여 리소스를 고갈시키는 방식으로 이루어집니다.

예를 들어, 특정 웹사이트에 수많은 접속 요청을 보내 서버의 처리 용량을 초과하게 만들면 다른 사용자들이 해당 사이트에 접속할 수 없게 됩니다. 이는 마치 한 사람이 상점의 문 🚪을 막고 서서 다른 손님들이 들어가지 못하게 하는 것과 같습니다.

🆚 DoS와 DDoS의 차이점

DoS 공격이 단일 시스템에서 공격을 수행하는 반면, 분산 서비스 거부(Distributed Denial of Service, DDoS) 공격은 여러 곳에 분산된 다수의 시스템을 이용하여 공격하는 방식입니다.

공격자는 악성코드에 감염된 여러 컴퓨터(좀비 PC 🧟)를 제어하여 특정 목표 시스템을 동시에 공격하도록 지시합니다. 이로 인해 공격의 규모가 훨씬 커지고, 공격의 출처를 파악하기가 매우 어려워집니다.

🔄 DRDoS(Distributed Reflection DoS)란?

**분산 반사 서비스 거부(Distributed Reflection Denial of Service, DRDoS)**는 DDoS의 변종으로, 공격을 증폭시키는 특징을 가집니다. 공격자는 직접 목표를 공격하는 대신, 정상적인 서비스를 제공하는 제3의 시스템(반사체, Reflector)을 이용합니다.

공격 과정은 다음과 같습니다.

1. 1️⃣ IP 스푸핑 (IP 주소 위조): 공격자는 출발지 IP 주소를 공격 대상의 IP 주소로 위조하여 다수의 반사체 서버(예: DNS, NTP 서버)에 요청을 보냅니다.
2. 2️⃣ 요청 및 응답: 반사체 서버들은 위조된 출발지 IP, 즉 공격 대상에게 응답을 보냅니다.
3. 3️⃣ 증폭 (Amplification): 이때 공격자는 요청보다 응답의 크기가 훨씬 큰 서비스를 이용하여 공격을 증폭시킵니다. 예를 들어, 작은 DNS 쿼리 요청에 대해 매우 큰 DNS 레코드 응답을 보내도록 유도하여 공격 대상에게는 수십, 수백 배 증폭된 트래픽이 전달됩니다. 💥

DRDoS는 공격자가 자신의 IP를 숨길 수 있고, 적은 자원으로 큰 공격 효과를 낼 수 있어 매우 위협적인 공격 방식입니다.

💥 주요 DoS 공격의 종류

다양한 DoS 공격 기법이 있으며, 각기 다른 방식으로 시스템을 마비시킵니다.

DoS 공격 유형별 암기 팁 💡

🔄 랜드 어택 (LAND Attack)

랜드 어택은 출발지 IP 주소와 목적지 IP 주소를 모두 공격 대상의 IP로 설정하여 패킷을 전송하는 공격입니다. 시스템은 자기 자신에게 응답을 보내야 하는 무한 루프에 빠지게 되어 리소스를 소진하고 다운됩니다.

👨‍👩‍👧‍👦 스머프 / 스머핑 (Smurf / Smurfing)

스머프 공격은 출발지 IP를 공격 대상의 IP로 위조 한 후, 네트워크 내의 모든 장치(브로드캐스트 주소)에 ICMP Echo 요청을 보내는 방식입니다. 네트워크의 모든 장치는 위조된 IP 주소, 즉 공격 대상에게 일제히 응답을 보내게 되어 대량의 트래픽으로 시스템이 마비됩니다. 이는 DRDoS의 일종으로 볼 수 있습니다.

스머프(Smurf)는 어디서 왔을까요? 🍄

이 공격의 이름은 만화 **"개구쟁이 스머프"**에서 유래했습니다.

• 작지만 많은 스머프들: 네트워크에 연결된 수많은 장치들 (PC, 프린터 등)
• 하나의 목표를 향해 달려감: 이 장치들이 일제히 하나의 피해자에게 응답을 보냄

즉, 수많은 '스머프(장치)'들이 하나의 '가가멜(피해자)'을 향해 우르르 달려드는 모습과 같다고 해서 '스머프 공격'이라는 이름이 붙었습니다. 정말 직관적이죠? 😄

💧 티어드롭 (Teardrop)

데이터는 네트워크를 통해 전송될 때 여러 개의 작은 조각(Fragment)으로 나뉘었다가 목적지에서 재조합됩니다. 티어드롭 공격은 이 과정의 취약점을 이용합니다. 공격자는 의도적으로 조각의 순서를 뒤섞거나 일부를 누락시켜 보내, 수신 시스템이 조각을 재조합하는 과정에서 과부하가 걸리거나 오류가 발생하여 다운되도록 만듭니다.

💀 죽음의 핑 (Ping of Death)

죽음의 핑은 ICMP 패킷의 최대 크기(65,535바이트)를 초과하는 매우 큰 패킷을 의도적으로 만들어 보내는 공격입니다. 과거의 운영체제들은 이렇게 비정상적으로 큰 패킷을 처리하지 못하고 시스템 충돌을 일으켰습니다. 현대의 시스템은 대부분 이 공격에 대한 방어책이 마련되어 있습니다.

🚪 SYN 플러딩 (SYN Flooding)

SYN 플러딩은 TCP 연결 과정인 3-way-handshake의 취약점을 이용합니다. 공격자는 다수의 SYN(연결 요청) 패킷을 보내지만, 이후의 ACK(응답) 패킷을 보내지 않습니다. 서버는 각 SYN 요청에 대해 리소스를 할당하고 응답을 기다리는 'SYN-RECEIVED' 상태에 머무르게 됩니다. 수많은 연결 요청이 반쯤 열린 상태(Half-Open)로 쌓이면서 서버의 연결 테이블이 가득 차고, 더 이상 새로운 연결을 받아들일 수 없게 됩니다.

SYN이란 무엇일까요? 🤔

SYN은 'Synchronize'(동기화하다)의 약자입니다.

TCP 통신에서 데이터를 주고받기 전, "우리 이제 통신 시작할까요? 준비됐나요? 👋"라고 가장 먼저 보내는 첫인사와 같은 신호입니다.

이 신호에는 "내가 보낼 데이터는 이 번호부터 시작할게!"라는 '순서 번호(Sequence Number)' 정보가 담겨있습니다. 즉, SYN은 통신의 시작을 알리는 동시에, 데이터를 순서대로 잘 주고받기 위해 서로의 시작 번호를 **동기화(Synchronize)**하는 핵심적인 역할을 합니다.

🌊 UDP 플러딩 (UDP Flooding)

UDP는 TCP와 달리 연결 설정 과정이 없는 비연결성 프로토콜입니다. UDP 플러딩은 이러한 특징을 악용하여 다량의 UDP 패킷을 특정 포트로 무작위로 전송하는 공격입니다. 서버는 해당 포트에서 실행 중인 애플리케이션이 있는지 확인하고, 없으면 ICMP "Destination Unreachable" 메시지를 응답합니다. 이 과정이 반복되면서 서버의 리소스가 고갈되어 정상적인 요청을 처리할 수 없게 됩니다.

정처기 실기 대비 실전 문제