서비스 거부(DoS) 공격은 서버에 트래픽을 범람시켜 웹 사이트 또는 리소스를 사용할 수 없게 만듭니다. 분산 서비스 거부(DDoS) 공격은 여러 대의 컴퓨터 또는 기계를 사용하여 표적 리소스를 범람시키는 DoS 공격입니다. 두 가지 유형의 공격 모두 서비스 중단을 목표로 서버 또는 웹 애플리케이션에 과부하를 발생시킵니다.
서버가 처리할 수 있는 양보다 많은 전송 제어 프로토콜/사용자 데이터그램 프로토콜(TCP/UDP) 패킷으로 범람하는 과정에서 충돌이 발생하거나 데이터가 손상될 수 있으며, 리소스가 잘못 이동되거나 심지어 시스템을 마비시키는 정도까지 소진될 수 있습니다.
DoS와 DDoS 공격의 차이점은 무엇입니까?
DoS와 DDoS의 주된 차이점은 전자는 시스템 대 시스템 공격인 반면, 후자는 여러 개의 시스템이 하나의 시스템을 공격하는 것에 있습니다. 그러나, 그 특성 또는 탐지와 관련해 다음과 같은 다른 차이가 있습니다.
- 탐지/완화의 용이성: DoS는 단일 위치에서 발생하기 때문에 그 출처를 탐지하고 연결을 끊기가 더 쉽습니다. 사실, 능률적인 방화벽으로 이를 수행할 수 있습니다. 반면, DDoS 공격은 여러 원격 위치에서 시작되어 그 출처를 위장합니다.
- 공격 속도: DDoS 공격은 여러 위치에서 발생하기 때문에 단일 위치에서 발생하는 DoS 공격보다 훨씬 빠르게 배포될 수 있습니다. 공격 속도가 증가하면 이를 탐지하기가 더 어려워집니다. 즉, 피해가 증가하거나 심지어 치명적인 결과가 발생할 수 있습니다.
- 트래픽 양: DDoS 공격은 여러 원격 시스템(좀비 또는 봇)을 사용합니다. 즉, 여러 위치에서 많은 양의 트래픽을 동시에 전송할 수 있으므로 탐지를 방해하는 방식으로 서버에 빠른 속도로 과부하가 발생합니다.
- 실행 방법: DDoS 공격은 멀웨어(봇)에 감염된 여러 호스트를 조정하여 명령 및 제어(C&C) 서버로 관리되는 봇넷을 생성합니다. 반면 DoS 공격은 일반적으로 스크립트나 도구를 사용하여 단일 시스템으로부터 공격을 수행합니다.
- 소스 추적: DDoS 공격에서 봇넷을 사용하면 실제 출처를 추적하는 것이 DoS 공격의 출처를 추적하는 것보다 훨씬 복잡해집니다.
DoS 및 DDoS 공격의 유형
DoS 및 DDoS 공격은 다양한 형태를 띨 수 있으며 다양한 방법으로 사용될 수 있습니다. 이는 회사가 거래를 놓치게 만들거나, 경쟁업체에 심각한 타격을 주거나, 다른 공격에 집중하지 못하게 하거나, 아니면 단순히 문제를 일으키거나 진술을 하게 만드는 것일 수 있습니다. 다음은 그러한 공격이 띠는 몇 가지 일반적인 형태입니다.
티어드롭 공격
티어드롭(Teardrop) 공격은 수많은 인터넷 프로토콜(IP) 데이터 조각을 네트워크로 전송하는 DoS 공격입니다. 네트워크가 조각들을 원래 패킷으로 다시 컴파일하려고 하면 다시 컴파일할 수 없습니다.
예를 들어, 공격자는 매우 큰 데이터 패킷을 여러 조각으로 분할하여 표적화된 시스템이 재조합할 수 있도록 할 수 있습니다. 그러나 공격자는 표적화된 시스템에 혼란을 일으키기 위해 패킷을 분해하는 방법을 변경합니다. 이렇게 되면 조각을 원래 패킷으로 재조합할 수 없습니다.
플러딩 공격
플러딩(Flooding) 공격은 서버에 여러 개의 연결 요청을 전송한 다음 핸드셰이크를 완료하기 위한 응답을 하지 않는 DoS 공격입니다.
예를 들어, 공격자는 클라이언트로 연결하기 위해 다양한 요청을 보낼 수 있지만, 서버가 연결을 확인하기 위해 다시 통신하려고 하면 공격자는 응답을 거부합니다. 프로세스를 수없이 반복한 후, 서버는 실제 클라이언트가 연결할 수 없는 대기 중인 요청으로 인해 너무나 감당할 수 없는 상태가 되고 서버에 “접속 장애”가 일어나거나 심지어 충돌하기까지 합니다.
IP 단편화 공격
IP 단편화(Fragmentation) 공격은 수신 네트워크가 재조합할 수 없는 변경된 네트워크 패킷을 제공하는 일종의 DoS 공격입니다. 네트워크는 대량의 비조합 패킷으로 모든 리소스가 소진되어 교착 상태가 됩니다.
볼류메트릭 공격
볼류메트릭(Volumetric) 공격은 대역폭 리소스를 표적으로 삼는 데 사용되는 DDoS 공격의 한 유형입니다. 예를 들어, 공격자는 봇넷(Botnet)을 사용하여 대량의 요청 패킷을 네트워크로 전송하여 인터넷 제어 메시지 프로토콜(ICMP) 에코 요청으로 대역폭을 압도합니다. 이로 인해 서비스가 느려지거나 완전히 중단됩니다.
프로토콜 공격
프로토콜 공격은 OSI 모델의 계층 3 및 4의 약점을 악용하는 DDoS 공격의 한 유형입니다. 예를 들어, 공격자는 요청을 전송하지만 예상대로 응답하지 않거나 스푸핑된 원본 IP 주소를 사용하여 다른 요청에 응답하여 TCP 연결 시퀀스를 악용할 수 있습니다. 응답되지 않은 요청은 사용할 수 없게 될 때까지 네트워크의 리소스를 사용합니다.
애플리케이션 기반 공격
애플리케이션 기반 공격은 OSI 모델의 계층 7을 표적으로 하는 DDoS 공격의 한 가지 유형입니다. 예를 들어, 공격자가 부분적인 HTTP(Hypertext Transfer Protocol) 요청을 전송하지만 완료하지는 않는 슬로로리스 공격이 있습니다. 각 요청에 대해 HTTP 머리글이 주기적으로 전송되어 네트워크 리소스가 연결됩니다.
공격자는 서버가 새로운 연결을 할 수 없을 때까지 맹공격을 지속합니다. 이러한 유형의 공격은 손상된 패킷을 전송하기보다는 부분적으로 전송하고 대역폭을 거의 또는 전혀 사용하지 않기 때문에 탐지하기가 매우 어렵습니다.
DoS 및 DDoS 공격 방어를 개선하는 방법
다음은 DoS 및 DDoS 보호에 대한 몇 가지 높은 수준의 모범 사례입니다.
1. 네트워크를 지속적으로 모니터링: 이는 정상적인 트래픽 패턴을 식별하고 조기 탐지 및 완화하는 데 매우 유용합니다.
2. DoS 공격을 시뮬레이션하기 위한 테스트 실행: 이를 통해 위험을 평가하고, 취약성을 노출하며, 사이버 보안에 대한 직원 교육을 실시할 수 있습니다.
3. 보호 계획 수립: 체크리스트를 작성하고, 대응 팀을 구성하며, 대응 매개 변수를 정의하고, 보호를 배포합니다.
4. 중요한 시스템과 정상적인 트래픽 패턴 식별: 전자는 보호 계획을 수립하는 데 도움이 되고, 후자는 위협을 조기에 탐지하는 데 도움이 됩니다.
5. 추가 대역폭 프로비저닝: 공격을 저지하지는 못할 수 있지만, 네트워크가 트래픽 급증에 대처하고 공격의 영향을 줄이는 데에는 도움이 됩니다.
DDoS 공격은 진화하면서 더욱 정교하고 강력해지고 있습니다. 따라서 조직은 지능형 보고 도구 및 분석 같은 포괄적인 전략을 사용하여 수많은 위협 매개 변수를 동시에 모니터링하는 솔루션을 필요로 합니다. 알려진 공격으로부터 조직을 보호하고 잠재적인 제로 데이 공격에 대비하려면 FortiDDoS와 같은 다층 DDoS 보호가 필요합니다.
FortiDDoS에는 Fortinet DDoS 공격 완화 어플라이언스가 포함되어 있는데, 이것은 3, 4, 7계층에 대한 지속적인 위협 평가 및 보안 보호를 제공합니다.
