SYN Flood 공격

SYN Flood 공격

TCP 3-Way Handshake의 취약점을 악용하여 대량의 SYN 패킷을 보내 서버의 백로그 큐를 소진시키는 L4 DoS/DDoS 공격

동작원리: 공격자가 SYN 패킷 전송(위조 IP) → 서버가 SYN-ACK 응답 후 ACK 대기(Half-Open 상태) → 백로그 큐에 반개방 연결 누적 → 큐 포화 시 정상 연결 불가

특징: 서버 자원(메모리/큐) 소진, IP Spoofing과 결합, 탐지 상대적 용이

방어

• •SYN Cookie: 백로그에 상태 저장 없이 SYN-ACK의 시퀀스 번호에 연결 정보 인코딩, ACK 수신 시 검증 → 메모리 사용 없이 방어
• •SYN Proxy: 방화벽/LB가 3-Way Handshake 대행, 완료 후 서버에 전달
• •백로그 큐 증가: tcp_max_syn_backlog 조정
• •타임아웃 단축: SYN_RECV 타임아웃 줄여 빠른 해제
• •Rate Limiting: SYN 패킷 속도 제한

비교: SYN Flood(L4/연결 자원) vs HTTP Flood(L7/애플리케이션) vs UDP Flood(L4/대역폭)

연관: DDoS, TCP, 방화벽, IDS/IPS, SYN Cookie