DDoS (Distributed Denial of Service)

DDoS (Distributed Denial of Service)

다수의 분산된 공격원(봇넷)을 이용하여 대상 시스템/네트워크를 과부하시켜 정상 사용자의 접근을 방해하는 공격

특징: 가용성 침해, 대규모 트래픽, 방어 어려움

구성요소: 공격자, 핸들러(Master), 봇(Agent), 대상(Target/Victim)

기술요소: SYN Flood(L4/TCP), UDP Flood(L4), HTTP Flood(L7/정상 요청 과다), Slowloris(L7/연결 유지), DNS Amplification(증폭 공격), NTP Amplification, Memcached Amplification

공격 계층: L3(IP/ICMP Flood) → L4(SYN/UDP Flood) → L7(HTTP Flood/애플리케이션)

L3/L4/L7 공격 유형 상세

• •L3(네트워크 계층): ICMP Flood(Ping Flood/Smurf Attack), IP Fragment 공격, 대역폭 소진 목적
• •L4(전송 계층): SYN Flood(반개방 연결로 백로그 큐 소진), UDP Flood(대량 UDP 패킷), ACK Flood, 연결 자원 소진 목적
• •L7(애플리케이션 계층): HTTP Flood(정상 요청 대량 전송/봇넷), Slowloris(연결 유지로 커넥션 풀 소진), RUDY(느린 POST 전송), DNS Query Flood, 서버 자원(CPU/메모리) 소진 목적

Botnet 기반 공격 동작원리

• •공격자 → C2 서버 → 봇넷(수만~수백만 좀비 PC/IoT) → 대상 서버
• •DDoS-for-Hire(부터/스트레서): 봇넷 임대 서비스, 시간당 수십 달러로 공격 가능
• •IoT 봇넷(Mirai 계열): 기본 계정의 IoT 장치 대량 감염, 1Tbps+ 공격 가능

증폭/반사(DRDoS) 공격: 출발지 IP를 피해자로 위조(IP Spoofing), 증폭 프로토콜로 요청 → 대량 응답이 피해자에게 집중

• •DNS 증폭(28~54배), NTP 증폭(556배), Memcached 증폭(51,000배), SSDP 증폭(30배)

대응 방법 상세

대응: DDoS 방어 서비스(Cloudflare/Akamai), Rate Limiting, 트래픽 필터링, Blackhole Routing(완전 차단), Anycast(트래픽 분산), Scrubbing Center(필터링 센터)

적용사례: 웹사이트 마비, 게임 서버 공격, 정치적 핵티비즘, 경쟁사 공격

비교: DoS(단일 공격원) vs DDoS(분산 공격원) vs DRDoS(증폭 반사 공격)

연관: 봇넷, 네트워크 보안, 가용성, CDN