DOS공격이란?
쉽게 말해서 서비스 거부 공격으로 시스템이나 네트워크 자원을 소모하도록 해 서비스를 불가능하게 하는 공격이다.
ex) Syn attack, DDOS, LAND ATTACK
오늘 정리해볼건 TCP SYN ATTACK - SYN FLOODING 이다.
TCP SYN ATTACK (SYN FLOODING)
- SYN FLOODING 과 같은 뜻
쉽게 말하면 다량의 SYN 패킷을 서버로 전달하여 서버의 대기큐를 가득채워 새로운 클라이언트와의 연결요청을 무시하도록 장애를 유발시키는 기법으로 서버의 half-open 상태를 야기시킨다.
여기서 half-open 상태란 tcp 의 통신 방법인 3 way-hand shaking 방법에서 두 호스트가 정상적으로 동기화 되지 않은 상태를 말한다. 정상적인 상태에선 서버가 syn + ack 로 답하지만 이 상태에선 rst + ack 로 답해 종료시키는 정상적이지 않은 연결상태이다. (사실 half-open은 잘 몰라서 다음에 다시 정리할게요)
이제 본론으로 돌아와서 syn flooding 공격의 공격과정을 알아볼게요.
공격과정
1. 주소가 위조된 syn 을 계속해서 서버로 보냄
2. 서버는 syn + ack 를 보내지만 당연하게도 위조된 주소이기 때문에 ack 가 돌아오지 않음
3. 이때 서버는 syn 을 받기 때문에 시스템 제공을 위해 queue에 정보를 저장함 -> queue가 계속 쌓임
4. 새로운 클라이언트가 연결 요청을 해도 queue 의 공간이 부족해 연결이 되지 않
대응책
1. 요청에 임계치를 설정해 요청 수를 넘기면 차단하는 방법
2. IP 패킷 위조에 대한 필터링도 가능 -> 라우터에서 해야하는 역할인데 기능을 지원하지 않는 장비들도 많음
3. SYN cookie를 설정하는 방법
'네트워크 > 네트워크 일반' 카테고리의 다른 글
정적 라우팅 (0) | 2022.01.26 |
---|---|
DOS 공격 - LAND ATTACK (0) | 2022.01.22 |
동적 라우팅 RIPv2 (0) | 2021.10.17 |
ARP (0) | 2021.09.10 |
소전 3일차 VLSM,FLSM (0) | 2021.07.26 |