DoS (Denial of Service): 시스템 무력화를 목적으로 한 공격 기법

DoS (Denial of Service): 시스템 무력화를 목적으로 한 공격 기법

• 개요
• DoS 공격의 역사 및 발전
• DoS vs DDoS
• 주요 DoS 공격 유형
  • 1. 볼륨 기반 공격 (Volume-Based Attacks)
  • 2. 프로토콜 공격 (Protocol Attacks)
  • 3. 애플리케이션 계층 공격 (Application Layer Attacks)
  • 4. 증폭 공격 (Amplification Attacks)
• DoS 공격의 실제 사례
  • 1. GitHub (2018년)
  • 2. Amazon Web Services (2020년)
  • 3. 미라이 봇넷 공격 (2016년)
• DoS 공격 대응 및 방어 기법
  • 1. 네트워크 레벨 방어
  • 2. 시스템 레벨 방어
  • 3. 애플리케이션 레벨 방어
  • 4. 클라우드 기반 방어
• DoS 공격 예방을 위한 보안 체크리스트
  • 1. 네트워크 인프라 준비
  • 2. 모니터링 및 경고 시스템
  • 3. 인시던트 대응 계획
  • 4. 외부 서비스 및 협력
• 결론
• 최신 동향 및 미래 전망
• Keywords

개요

• DoS(Denial of Service, 서비스 거부 공격)는 시스템, 서버 또는 네트워크 리소스를 고의적으로 소진시켜 정상적인 서비스 제공을 불가능하게 만드는 사이버 공격 기법
• 목적: 시스템의 정상적 운영을 방해하여 합법적 사용자의 서비스 이용을 차단
• 공격 대상: 웹 서버, 네트워크 장비, DNS 서버, 이메일 서버, 클라우드 서비스 등
• 주요 특징: 다량의 불필요한 요청을 발생시켜 시스템 자원(CPU, 메모리, 네트워크 대역폭)을 고갈시킴

DoS 공격의 역사 및 발전

• 1974년: 최초의 DoS 개념이 등장한 것으로 알려짐
• 1990년대 후반: Ping of Death, SYN Flood 등 초기 DoS 공격 등장
• 2000년대: Yahoo, eBay, Amazon 등 대형 사이트 대상 공격 발생
• 2010년대: 클라우드 서비스와 IoT 기기를 활용한 대규모 DDoS 공격 증가
• 현재: AI와 머신러닝을 활용한 지능형 DoS 공격 기법 등장

DoS vs DDoS

• DoS (Denial of Service)

  • 단일 출처에서 발생하는 공격
  • 비교적 탐지 및 차단이 용이함
  • 공격자의 IP 주소가 노출되어 추적 가능성 높음

• DDoS (Distributed Denial of Service)

  • 다수의 감염된 시스템(봇넷)에서 동시에 발생하는 분산 공격
  • 대규모 트래픽으로 방어 시스템 우회 가능
  • 공격 출처 추적이 어려움
  • 현대의 주요 위협 형태

graph TB
    A[공격자] --> B[단일 시스템]
    B --> C[대상 서버]

    D[공격자] --> E1[감염된 시스템 1]
    D --> E2[감염된 시스템 2]
    D --> E3[감염된 시스템 3]
    D --> E4[감염된 시스템 ...]

    E1 --> F[대상 서버]
    E2 --> F
    E3 --> F
    E4 --> F

    subgraph DoS 공격
    A
    B
    C
    end

    subgraph DDoS 공격
    D
    E1
    E2
    E3
    E4
    F
    end

주요 DoS 공격 유형

1. 볼륨 기반 공격 (Volume-Based Attacks)

• ICMP Flood: 대량의 ICMP Echo Request(ping) 패킷을 전송하여 대역폭 소진
• UDP Flood: 대량의 UDP 패킷을 무작위 포트로 전송하여 서버 자원 소모
• 특징: 네트워크 대역폭 포화를 목표로 하며, 초당 전송량(Gbps)으로 측정

2. 프로토콜 공격 (Protocol Attacks)

• SYN Flood: TCP 연결 과정의 취약점을 이용한 공격
  • TCP 3-way handshake 과정에서 SYN 패킷만 보내고 응답을 무시
  • 서버의 연결 대기 상태(half-open connections) 자원 고갈

sequenceDiagram
    participant 공격자
    participant 서버

    공격자->>서버: SYN 패킷 전송
    서버->>공격자: SYN-ACK 패킷 전송
    Note over 공격자,서버: 공격자는 ACK 패킷을 보내지 않음
    Note over 서버: 서버는 연결 대기 상태 유지

    공격자->>서버: 다른 SYN 패킷 전송
    서버->>공격자: SYN-ACK 패킷 전송
    Note over 공격자,서버: 공격자는 계속해서 응답하지 않음
    Note over 서버: 서버 연결 테이블 자원 고갈

• Fragmentation Attacks: 분할된 IP 패킷을 서버가 재조립하는 과정에서 자원 소모
• Ping of Death: 최대 크기를 초과하는 ICMP 패킷 전송으로 시스템 오류 유발

3. 애플리케이션 계층 공격 (Application Layer Attacks)

• HTTP Flood: GET/POST 요청을 대량 발생시켜 웹 서버 자원 소진
• Slowloris: 불완전한 HTTP 요청을 지속적으로 전송하여 웹 서버 연결 점유
• Slow POST/Slow Read: HTTP 요청/응답 처리 속도를 의도적으로 지연시켜 서버 자원 점유
• 특징: 적은 대역폭으로도 효과적인 공격 가능, 정상 트래픽과 구분이 어려움

4. 증폭 공격 (Amplification Attacks)

• DNS Amplification: 작은 요청으로 큰 응답을 생성하는 DNS 서버의 특성 악용
• NTP Amplification: NTP 서버의 monlist 기능을 이용한 트래픽 증폭
• SSDP Amplification: UPnP 장치 검색 프로토콜 악용
• 특징: 공격자의 요청 대비 수십~수백 배 증폭된 트래픽 생성

graph LR
    A[공격자] -->|작은 요청 패킷| B[DNS 서버]
    B -->|큰 응답 패킷| C[희생자]

    subgraph 증폭 공격
    A
    B
    C
    end

    style A fill:#f9f,stroke:#333,stroke-width:2px
    style B fill:#bbf,stroke:#333,stroke-width:2px
    style C fill:#fbb,stroke:#333,stroke-width:2px

DoS 공격의 실제 사례

1. GitHub (2018년)

• 초당 1.35Tbps의 트래픽으로 공격받음
• Memcached 서버를 이용한 증폭 공격
• Akamai의 DDoS 방어 서비스를 통해 8분 만에 복구

2. Amazon Web Services (2020년)

• 2.3Tbps 규모의 역대 최대 DDoS 공격 기록
• CLDAP(Connection-less Lightweight Directory Access Protocol) 반사 공격
• AWS Shield를 통해 방어 성공

3. 미라이 봇넷 공격 (2016년)

• IoT 기기를 감염시켜 대규모 봇넷 구축
• Dyn DNS 서비스 대상 공격으로 Twitter, Spotify 등 주요 서비스 마비
• 최대 1Tbps 트래픽 발생

DoS 공격 대응 및 방어 기법

1. 네트워크 레벨 방어

• 트래픽 필터링: 비정상적인 트래픽 패턴 식별 및 차단
• 대역폭 확장: 추가 트래픽을 처리할 수 있는 용량 확보
• 지리적 분산: 여러 데이터 센터를 통한 로드 밸런싱
• 레이트 리미팅: IP 주소당 요청 수 제한

2. 시스템 레벨 방어

• 서버 자원 최적화: CPU, 메모리 등 시스템 리소스 효율적 관리
• 타임아웃 설정: 비정상적인 연결에 대한 적절한 타임아웃 구성
• 방화벽 설정: 시스템 수준의 패킷 필터링
• SYN 쿠키: SYN Flood 공격 방어를 위한 TCP 연결 검증 기법

3. 애플리케이션 레벨 방어

• CAPTCHA: 자동화된 요청과 사람의 요청 구분
• 요청 검증: 비정상적인 요청 패턴 식별 및 차단
• 캐싱: 서버 부하 감소를 위한 콘텐츠 캐싱
• 웹 애플리케이션 방화벽(WAF): 애플리케이션 계층 공격 방어

4. 클라우드 기반 방어

• DDoS 방어 서비스: Cloudflare, AWS Shield, Akamai 등
• 트래픽 스크러빙: 악성 트래픽 필터링 서비스
• 자동 스케일링: 트래픽 증가에 따른 자원 자동 확장
• 머신러닝 기반 탐지: 고급 패턴 인식으로 새로운 공격 유형 식별

flowchart TD
    A[DoS 공격 트래픽] --> B[ISP/네트워크 경계]
    B --> C{DDoS 방어 서비스}
    C -->|악성 트래픽| D[차단/필터링]
    C -->|정상 트래픽| E[로드 밸런서]
    E --> F[WAF]
    F --> G[애플리케이션 서버]
    G --> H[정상 서비스 제공]

    style A fill:#f99,stroke:#333,stroke-width:2px
    style D fill:#f99,stroke:#333,stroke-width:2px
    style H fill:#9f9,stroke:#333,stroke-width:2px

DoS 공격 예방을 위한 보안 체크리스트

1. 네트워크 인프라 준비

• 네트워크 토폴로지 문서화 및 검토
• 방화벽 및 라우터 구성 최적화
• 불필요한 서비스 및 포트 비활성화
• 대역폭 관리 계획 수립

2. 모니터링 및 경고 시스템

• 네트워크 트래픽 기준선(baseline) 설정
• 실시간 트래픽 모니터링 도구 구축
• 이상 징후 감지 알림 설정
• 로그 분석 시스템 구현

3. 인시던트 대응 계획

• DoS 공격 대응 절차 문서화
• 비상 연락망 구축
• 역할 및 책임 명확화
• 정기적인 대응 훈련 실시

4. 외부 서비스 및 협력

• ISP와의 협력 관계 구축
• 클라우드 기반 DDoS 방어 서비스 검토
• 백업 시스템 및 복구 계획 수립
• 보안 업데이트 및 패치 관리

결론

• DoS 공격은 지속적으로 진화하며 더욱 복잡하고 지능화되고 있음
• 단일 방어 기법만으로는 충분한 보호가 어려우므로 다층적 방어 전략 필요
• 예방, 탐지, 대응의 통합적 접근 방식이 효과적
• 정기적인 보안 평가 및 모의 공격을 통한 취약점 식별이 중요
• 클라우드 기반 보안 서비스와 AI 기술을 활용한 선제적 대응이 미래 방향성

최신 동향 및 미래 전망

• AI 기반 공격 증가: 머신러닝을 활용한 지능형 DoS 공격 등장
• IoT 기기 취약점: 보안이 취약한 IoT 장치를 이용한 대규모 봇넷 증가
• 5G 네트워크: 더 빠른 연결 속도로 인한 잠재적 위협 증가
• 제로 트러스트 보안: 네트워크 접근 제어를 통한 새로운 방어 패러다임
• 국제적 협력: 국가 간 사이버 보안 협력을 통한 대규모 공격 대응

---

Keywords

DDoS, Service Denial Attack, Traffic Amplification, SYN Flood, 서비스 거부 공격, 트래픽 증폭, 대역폭 소진, 봇넷, 시스템 보안, 방화벽