DoS 와 DDoS 구분하기

쉽게 혼동하는 DoS와 DDoS 구분하기

Denial of Service (DoS) 와 Distributed Denial of Service (DDoS) 를 혼동 하는 사람들이 많아 간략하게 정리 해본다.

DoS

Denial of Service, 시스템의 구조적 취약점을 이용해 마비 시키는 공격, 가용성 훼손의 대표

방식에는 많은 것들이 있지만 대부분 같은 메커니즘을 공유한다. 악의적으로 데이터 패킷을 대량으로 보내 대상 시스템의 리소스 혹은 네트워크 대역폭을 고갈 시키는 공격 기법 이다.

• Ping Flood
• Ping of Death
• SYN Flood
• UDP Flood
• UDP Smurf

DDoS

Distributed Denial of Service, DoS의 종류 중 하나로 여러 공격자가 하나의 Target을 두고 DoS를 행함

Distributed, 분산에서 알 수 있듯 다수의 시스템이 하나의 시스템을 공격하는 형태이다. Target 시스템에서 단일 공격자에 대해 비정상 트래픽을 감지하고 해당 공격자에 대한 연결을 원천 차단해버린다면 끝난다. 허나 DDoS의 경우 복수의 공격자가 존재하므로 빠른 대응이 불능해진다. 많게는 몇만개의 시스템을 가지고 움직이므로 대응이 느려질 수 밖에 없다.

중국 계열 공격 도구가 많으며 지난 2009년 정부 기관을 대상으로 행하여진 공격을 필두로 현 시대에도 Github 등 많은 호스트가 target이 된다. 이는 호스트가 별도의 취약점이 없어도 단순한 매커니즘으로 동작하므로 원천 차단이 불가능한 것에서 온다. 정말 단순하게 새로고침을 반복하여도 엄청난 트래픽이 발생되므로 이를 이용하여 공격을 시도하는 사례도 존재한다.

DDoS 의 종류

대역폭 공격

대역폭 공격은 높은 Bit Per Second (bps)를 갖고 동일 네트워크 상에 존재하는 모든 시스템에게 영향을 끼친다.

• UDP Flooding
• UDP 기반 반사 공격
  • DNS
  • NTP
  • CLDAP
  • SSDP
• Tsunami SYN Flooding
• ICMP Flooding

순간적으로 대량의 트래픽을 유도 하므로 메인 회선의 대역폭이 작은 경우 방어가 어렵다.

자원 소진 공격

높은 Packet Per Second (pps)와 높은 connection을 갖는 특징이 있다.

• TCP SYN Flooding
• TCP ACK Flooding

Target 의 과부하를 발생시키며 비교적 적은 트래픽으로도 과부하를 유발한다.

Web/DB 부하 공격

자원 소진 공격과 동일하게 높은 pps / connection을 갖는다.

• GET Flooding
• POST Flooding

정상적인 수단으로 과도한 HTTP 요청으로 웹 서비스 서버나 DB 서버에 과부하를 유도한다.

Reference

• https://www.boannews.com/media/view.asp?idx=108225