[Network]도스와 디도스? What is DoS/DDoS

DoS / DDoS ((Distributed)Denial of Service)

💡 도스/디도스 (서비스 거부) 공격이란 특정한 네트워크나 웹 리소스에 합법적인 유저가 접근하지 못 하도록 방해하는 것으로 전형적으로 막대한 양의 트래픽을 통해 특정 대상에 과부하를 주거나, 악의적으로 요청을 보내 해당 리소스가 오작동을 일으키게 하거나 완전히 정지시키는 공격을 말합니다.

 

도스는 악의적인 사용자가 단일로 리소스가 오작동을 일으키도록 공격

디도스는 악의적인 사용자가 악성코드를 이용하여 여러 대의 컴퓨터를 감염 시켜 좀비 PC를 만들어 공격합니다.

디도스의 역사

디도스 공격은 1990년대 후반부터 시작되었습니다. 초기의 디도스 공격은 상대적으로 간단한 형태였지만, 시간이 지남에 따라 공격 방법이 다양해지고 복잡해졌습니다.

• 1996년: 뉴욕 타임스 웹사이트가 Trinoo라는 도구를 이용한 디도스 공격으로 다운되었습니다.
• 2000년: Mafiaboy라는 해커가 Yahoo, eBay, CNN, Amazon 등 대형 웹사이트에 디도스 공격을 가해 큰 파장을 일으켰습니다.
• 2007년: 에스토니아의 주요 웹사이트들이 대규모 디도스 공격을 받아 정부와 금융기관이 마비되었습니다.
• 2016년: Mirai 봇넷을 이용한 디도스 공격으로 다인(Dyn) DNS 서비스가 타격을 받아 트위터, 넷플릭스, GitHub 등의 서비스가 중단되었습니다.

디도스의 작동 방식

디도스 공격은 주로 다음과 같은 과정을 거쳐 이루어집니다.

1. 봇넷 구축: 공격자는 악성코드를 이용해 여러 대의 컴퓨터를 감염시켜 원격으로 제어할 수 있는 봇넷을 구축합니다. 감염된 컴퓨터는 '좀비' 컴퓨터라고 불립니다.
2. 공격 명령: 공격자는 봇넷에 포함된 좀비 컴퓨터에 특정 타겟을 공격하라는 명령을 내립니다.
3. 트래픽 발생: 좀비 컴퓨터는 동시에 타겟 서버에 대량의 트래픽을 발생시켜 서버의 자원을 고갈시키고, 정상적인 사용자의 접근을 방해합니다.
4. 서비스 중단: 과도한 트래픽으로 인해 타겟 서버는 정상적인 요청을 처리할 수 없게 되어 서비스가 중단됩니다.

주요 디도스 공격 유형

디도스 공격은 다양한 형태로 나타날 수 있으며, 주요 유형은 다음과 같습니다.

프로토콜 공격

서버의 리소스를 소진시켜 정상적인 트래픽 처리를 방해합니다. 예: SYN 플러딩, Ping of Death.

MTU를 초과하는 비 정상적으로 큰 “ICMP Echo Request”를 전달하여 재조합 과정에서 시스템 충돌 또는 Buffer Over Flow를 유발합니다.

볼륨 기반 공격

대량의 트래픽을 발생시켜 네트워크 대역폭을 고갈시킵니다. 예: ICMP 플러딩, Smurf Attack

목표 사이트에 응답 패킷의 트래픽이 넘쳐서 다른 사용자로부터 접속을 받아들일 수 없게 해당 사이트로 위조해 브로드캐스팅 하여 여러 서버에서 이 서버에 응답 패킷이 오게해 트래픽 과부화 현상이 일어나게 하는 공격 입니다.

애플리케이션 레이어 공격

특정 애플리케이션을 대상으로 하여 리소스를 고갈시킵니다. 예: HTTP 플러딩, Slowloris

HTTP 헤더 정보를 비정상적으로 조작하여 웹서버가 헤더를 기다리게 되고 계속적으로 공격자가 비정상적 요청을 보내면 가용자원의 한계를 넘어 정상적인 접근을 거부하게 하는 공격 입니다.

주요 디도스 사례

• Mafiaboy (2000): 15세의 해커가 Yahoo, eBay, CNN, Amazon 등 주요 웹사이트를 디도스 공격하여 약 12억 달러의 피해를 입혔습니다.
• 에스토니아 공격 (2007): 러시아와의 정치적 갈등으로 인해 에스토니아 정부와 금융기관의 웹사이트가 대규모 디도스 공격을 받았습니다.
• GitHub 공격 (2018): GitHub는 1.35Tbps의 대규모 디도스 공격을 받았으며, 이는 당시 기록된 최대 트래픽 공격 중 하나였습니다.

디도스 공격은 계속해서 진화하고 있으며, 그 피해는 기업과 개인 모두에게 막대한 영향을 미칠 수 있습니다. 이를 방어하기 위해서는 네트워크 보안을 강화하고, 실시간 모니터링을 통해 이상 트래픽을 감지하는 것이 중요합니다. 또한, 클라우드 기반의 디도스 방어 서비스와 분산된 인프라를 통해 공격의 영향을 최소화할 수 있습니다. 디도스 공격에 대한 철저한 대비와 지속적인 보안 강화는 IT 환경에서의 생존을 위한 필수 조건입니다.