DDoS 공격 방법 | DoS 및 DDoS 공격 도구

공격자는 어떻게 웹 서버에 과부하를 발생시키고 웹 자산에 대한 액세스를 중단시킬까요?

Share facebook icon linkedin icon twitter icon email icon

DDoS 공격 방법

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • DoS 및 DDoS 공격 정의
  • 널리 이용되는 DoS 및 DDoS 도구 설명
  • DDoS 공격 도구에 대한 방어 방법 설명

DoS 공격과 DDoS 공격이란 무엇입니까?

서비스 거부(DoS) 및 분산 서비스 거부(DDoS) 분산 서비스 거부(DDoS) 공격은 대상 서버, 서비스, 네트워크를 인터넷 트래픽 폭주로 압도해 정상적인 작동을 방해하고자 하는 악의적인 시도를 말합니다.

DoS 공격은 단일 장치(대부분의 경우 컴퓨터)에서 악의적 트래픽을 보냄으로써 이를 달성합니다. 이 공격은 매우 단순하게 진행될 수 있습니다. 기본적인 ping 폭주 공격은 대상 서버가 효율적으로 처리하고 대응할 수 있는 것 보다 많은 ICMP (ping) 요청을 전송함으써 자행됩니다.

이에 비해 DDoS 공격은 한 대 이상의 장치를 이용해 대상 서버에 악의적 트래픽을 보냅니다. 이러한 장치들은 봇넷에 포함된 경우가 많습니다. 봇넷이란 컴퓨터 등의 기기가 맬웨어에 감염되어 개별 공격자에 의해 원격으로 통제되는 것을 말합니다. 다수의 개별 공격자가 함께 DDoS 공격을 시작해 자신들의 컴퓨터에서 트래픽을 보내는 경우도 있습니다.

다음 두 가지 이유로 인해 최근 인터넷에는 DDoS 공격이 더 많이 나타나 피해를 주고 있습니다. 먼저, 통상적인 DoS 공격을 막을 수 있는 최신 보안 도구가 발전했습니다. 또한, DDoS 공격 도구의 비용이 상대적으로 낮아졌고 운영도 쉬워졌습니다.

DoS/DDoS 공격 도구는 어떻게 분류할 수 있습니까?

DoS/DDoS 공격을 시작하기 위해 변형할 수 있는 도구와 이러한 공격 자체를 목적으로 개발된 도구가 많이 있습니다. 첫 번째 유형의 도구는 흔히 “스트레서라고 하는데 이는 보안 연구자들이나 네트워크 엔지니어들이 자체 네트워크에 대한 스트레스 테스트를 수행하는 데 도움이 되는 것이 본래 목적이지만, 이를 이용해 공격을 자행할 수 있습니다.

특화되어 OSI 모델의 특정 계층만을 목표로 하는 도구도 있으며 다수의 공격 벡터가 가능하도록 설계된 도구도 있습니다. 이러한 도구는 다음의 범주로 나눠집니다.

낮고 느린 공격 도구

이름이 의미하는 바와 같이, 이러한 유형의 공격 도구는 적은 양의 데이터를 사용하며 매우 느리게 작동합니다. 이러한 도구는 대상 서버에 있는 포트를 가능한 한 오랫동안 열어 두기 위해 여러 연결 지점에서 적은 양의 데이터를 전송할 수 있도록 설계되었기 때문에 대상 서버가 추가 연결을 유지할 수 없게 될 때까지 서버 자원을 계속 소모합니다. 규모가 작고 느린 공격은 봇넷 등의 분산형 시스템을 사용하지 않고도 큰 효과를 볼 수 있는 경우가 있으며 단일 장치에서 이용하는 경우가 많습니다.

애플리케이션 계층(L7) 공격 도구

이러한 도구는 HTTP와 같은 인터넷 기반 요청이 발생하는 OSI 모델의 계층 7을 목표물로 삼습니다. 악의적인 행위자는 HTTP 폭주 공격 유형을 사용하여 HTTP GET 및 POST 요청으로 목표물을 압도함으로써 실제 방문자에게서 발생한 정상적인 요청과 구별하기 어려운 공격 트래픽을 시작할 수 있습니다.

프로토콜 및 전송 계층(L3/L4) 공격 도구

프로토콜 스택에서 더 깊이 들어가 보면 UDP 폭주 발생 기간 등 이러한 도구가 UDP와 같은 프로토콜을 활용하여 표적 서버로 대량의 트래픽을 전송합니다. 이러한 공격은 개별적으로는 효과적이지 않을 때가 종종 있지만 일반적으로는 추가 공격 컴퓨터의 이점이 그 효과를 증가시키는 DDoS 공격의 형태로 발견됩니다.

일반적으로 사용되는 DoS/DDoS 공격 도구는 무엇입니까?

널리 이용되는 도구에는 다음이 있습니다.

Low Orbit Ion Cannon (LOIC)

LOIC는 오픈 소스 스트레스 테스트 애플리케이션입니다. 이 애플리케이션은 사용자 친화적인 WYSIWYG 인터페이스를 사용하여 TCP 및 UDP 프로토콜 계층 공격이 수행될 수 있도록 허용합니다. 원 도구의 인기로 인해 웹브라우저를 이용하여 공격을 시작할 수 있도록 허용하는 파생 도구가 만들어졌습니다.

High Orbit Ion Cannon (HOIC)

이 공격 도구는 LOIC의 기능을 확장하고 사용자 지정을 추가하는 방식으로 LOIC를 대체하기 위해 만들어졌습니다. HOIC는 HTTP 프로토콜을 활용하여 완화하기 어려운 표적 공격을 시작할 수 있습니다. 이 소프트웨어는 최소 50명의 인원이 협력하여 조직화된 공격 활동을 할 수 있도록 설계되었습니다.

Slowloris

Slowloris는 대상 서버에 소규모의 저속 공격을 수행하도록 설계한 애플리케이션입니다. 이 도구는 상대적으로 한정된 자원으로도 피해를 입힐 수 있습니다.

R.U.D.Y (R-U-Dead-Yet)

R.U.D.Y.는 사용자가 간단한 포인트 앤 클릭 인터페이스를 사용하여 쉽게 공격을 시작할 수 있도록 설계된 낮고 느린 또 다른 공격 도구입니다. 이 공격은 여러 HTTP POST 요청을 연 다음 가능한 한 오랫동안 이 연결을 열린 상태로 유지함으로써 표적 서버를 느리게 압도하는 것이 목표입니다.

DoS/DDoS 도구에 대해 방어할 수 있는 방법

DoS 및 DDoS 공격이 다양한 형태를 띠므로 이러한 공격을 완화할 때도 다양한 전술이 필요합니다. DDoS 공격을 막기 위해 널리 쓰이는 전술은 다음과 같습니다.

  • 속도 제한: 특정 시간 내에 서버가 수용하는 요청 수를 제한함
  • 웹 애플리케이션 방화벽: 일련의 규칙으로 웹 트래픽을 필터링하는 도구
  • Anycast 네트워크 확산: 서버와 유입 트래픽 사이에 대규모의 분산 클라우드 네트워크를 배치해 요청에 대응할 수 있는 컴퓨팅 자원을 제공하는 것.

Cloudflare는 이러한 전략 모두와 추가적인 전략을 적용해 규모가 크고 복잡한 DoS/DDoS 공격을 막아낼 수 있습니다. Cloudflare의 DDoS 방어와 작동 방식에 관해 자세히 알아보기