#3 DOS, DDOS 공격

//DOS(denial-of-service) 공격 이란?

DOS는 번역하면 서비서 거부 공격으로

특정한 네트워크나 웹서비스에 정상적인 유저가 접근하지 못하도록 방해하는 것입니다.

일반적으로는 막대한 트래픽을 통해 웹서버에 과부하를 건다거나, 악의적인 요청을 보내 해당 리소스가 오작동을 일으키거나 정지시킵니다. 통상적으로 DOS공격은 유명한 사이트, 은행, 신용카드 지불 게이트웨이, 루트 네임서버  상대로 이루어집니다.

 

// DDOS(Distributed Denial-of-Service)공격이란?

DDOS는 번역하면 분산 서비스 거부 공격으로

기본적으로 DOS공격과 비슷하나 DOS공격은 단일 소스에서 공격하는 반면 DDOS 공격은

공격자가 여러대의 좀비pc를 사용하여 분산적으로 공격하는 방법입니다.

DOS공격보다 공격성공확률이 높으며, 공격이 여러 지점에서 시작되므로 공격의 근원지를 추적하는 것이 어렵기 때문입니다.

 

 

 

//특징

- 특정 서버에 수많은 접속 시도를 하여 서버의 TCP를 바닥나게 하는 것

- 서버나 네트워크 대역이 감당할 수 없는 많은 양의 트래픽을 순간적으로 일으켜  서버를 마비시킴

- 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 함

 

 

 

//공격 유형

버퍼 오버플로 공격(Buffer overflow attack)

가장 일반적인 공격 유형인 버퍼 오버플로는 개발자들이 본래 설계한 시스템 처리 능력보다 많은 트래픽을 대상으로 보냄으로써 발생합니다. 이러한 유형의 공격은 악의적 행위자가 목표로 하는 과정을 정지시키거나 심지어는 제어할 수 있습니다.

ICMP flood 

ICMP flood 공격은 대상 네트워크에서 잘못 구성된 장치를 타깃으로 하며, 해당 장치가 단일 노드 대신 모든 노드(컴퓨터)에 가짜 패킷을 배포하도록 하여, 네트워크 과부하를 초래합니다. 이러한 유형의 공격은 종종 '죽음의 핑(the ping of death)' 혹은 '스머프 공격(smurf attack)'이라 불립니다.

SYN flood 

SYN flood는 서버에 연결 요청을 보내지만, 연결을 완전히 인증하지는 않습니다. 이러한 과정은 해당 웹 서버의 모든 오픈 포트를 대상으로 하며, 서버가 강제로 중단될 때까지 계속됩니다.

 

 

 

 

 

//DOS,DDOS공격 대응 방법

1)방화벽설치

방화벽은 통상 내부 네트워크와 외부 네트워크의 경계에 우선적으로 설치합니다. 일부에선 방화벽만 있으면 모든 보안이 다 되는 것으로 착각하고 있는데 방화벽으로 막을수 있는 건 전체의 30% 정도밖에 안 됩니다. 단순히 1차적 방어막이라고 생각하길 바랍니다.

 

2)침입탐지 시스템설치와 운영

침입탐지 시스템은 외부 공격에 대한 일차적인 차단이 실패한 경우 네트워크에 침입해 들어온 공격을 탐지하기 위한 시스템으로 DoS와 DDoS 공격이 일정한 패턴으로 되어 있고, 각 구성 요소간에도 특정한 형식의 통신이 지속적으로 이루어 지고 있기 때문에 공격시나 공격 전에 그 양상을 탐지할 수 있으므로 설치 후 업그레이드를 꾸준히 해야한다.

 

3) 안정적인 네트워크 설계

일정량 이상의 패킷이 라우터로 들어올 경우, 그 이상의 패킷은 통과시키지 않도록 하거나 각 장비간 로드 밸런싱을 성정하는 방법 등이 있다.

 

 

 

 

//Nginx 웹서버 DOS공격 방어

https://ysmanse.tistory.com/29

nginx DDos 공격 방어 설정

 

 

 

 

출처:https://websecurity.tistory.com/120