로우 앤 슬로우 공격은 정상적인 것처럼 보이지만 매우 느린 속도로 애플리케이션 트래픽 또는 일반적으로 HTTP 요청을 전송해 탐지를 회피하도록 설계된 DoS(Denial-of-Service) 공격의 한 종류입니다. 저속 공격이라고도 하는 로우 앤 슬로우 공격은 대역폭이 거의 필요하지 않으며, 단일 컴퓨터나 봇넷을 통해 시작될 수 있습니다. 이러한 종류의 공격으로 인한 트래픽은 정상적인 OSI 모델 레이어 7(애플리케이션 레이어) 트래픽으로 보이며, 증폭 보안 알림을 트리거할 정도의 속도로 전송되지 않기 때문에 탐지하기 어렵습니다.
무차별 암호 대입 공격은 상대적으로 느린 속도로 사용자 이름과 비밀번호를 추측해 계정이나 시스템에 대한 무단 접속을 시도함으로써 탐지를 피하거나 잠금을 트리거하는 느린 방법론을 사용할 수도 있습니다. 공격자는 감염되거나 손상된 호스트의 대규모 네트워크를 활용해 이러한 공격을 수행하며, 일반적으로 수천에서 수백만 개의 봇을 사용합니다.
DoS 또는 DDoS 공격이란 무엇일까요?
DoS(Denial-of-Service) 공격 및 DDoS(Distributed Denial-of-Service) 공격은 서버, 웹사이트, 애플리케이션 또는 네트워크를 표적으로 삼아 대량의 악성 트래픽을 발생시킵니다. DoS 공격은 서버의 처리, 대역폭 또는 메모리 리소스를 고갈시키는 트래픽이나 요청을 전송함으로써 디바이스의 속도를 늦추거나 충돌을 일으켜, 유효한 트래픽과 정상적인 사용자에 대응할 수 없게 만듭니다. DoS 공격은 단일 디바이스를 사용해 트래픽을 생성합니다. DDoS 공격은 사이버 범죄자의 통제 하에 있는 수천 또는 수백만 개의 멀웨어에 감염된 디바이스를 사용해 트래픽을 생성합니다.
로우 및 슬로우 공격은 어떻게 작동하나요?
단시간에 대량의 트래픽으로 서버를 폭격하는 다른 DoS 공격과 달리, 로우 및 슬로우 DDoS 공격은 보안 알림을 유발할 수 있는 갑작스러운 트래픽 급증을 피하기 위해 소량의 악성 트래픽을 표적에 보냅니다. 이러한 종류의 공격은 스레드 기반의 웹 서버로 트래픽을 전송해 각 스레드를 느린 요청으로 묶습니다. 공격이 점점 더 큰 규모로 이루어지면 결국 서버는 정상적인 트래픽에 응답할 수 없게 됩니다. 로우 앤 슬로우 공격은 주로 HTTP에 초점을 맞추지만, TCP 기반 서비스를 대상으로 하는 느린 전송 속도의 TCP 세션도 포함할 수 있습니다.
로우 앤 슬로우 공격이 효과적인 이유는 무엇인가요?
로우 앤 슬로우 공격이 효과적인 이유는 침입 탐지 시스템의 레이더망을 피할 수 있기 때문입니다. 서버로 전송되는 트래픽은 매우 느린 속도로 패킷을 생성하기 때문에 정상적인 트래픽과 구별하기 어렵습니다. 로우 앤 슬로우 공격은 서버로 전송되는 요청의 속도를 제한함으로써 기존 DDoS 공격을 식별하고 차단하는 데 일반적으로 사용되는 속도 보호 기술을 회피할 수 있습니다.
로우 및 슬로우 공격의 일반적인 종류는 무엇인가요?
가장 일반적인 로우 앤 슬로우 공격에는 다음 세 가지가 있습니다.
- Slowloris. Slowloris 공격은 서버에 연결한 후 일부 HTTP 헤더를 천천히 전송해, 서버가 나머지 헤더를 기다리는 동안 연결을 계속 열어두게 합니다. Slowris 공격은 서버에서 사용 가능한 최대 연결 수를 소모함으로써 결국 서버의 리소스를 고갈시키고, 정상적인 사용자에 대한 응답을 방해합니다.
- Sockstress. Sockstress 공격은 TCP/IP 쓰리웨이 핸드셰이크의 취약점을 악용해 무기한 연결을 생성합니다.
- R.U.D.Y. 이 공격(R-U-Dead-Yet의 약어)은 양식 필드를 채우기 위해 HTTP POST 요청을 생성합니다. 악성 요청은 예상되는 데이터 양을 알려주지 않고 매우 느리게 데이터를 전송하기 때문에, 서버는 더 많은 데이터가 도착할 것으로 예상해 연결을 계속 열어두게 됩니다.
로우 앤 슬로우 공격을 가장 효과적으로 방어하는 방법은 무엇인가요?
로우 앤 슬로우 공격을 차단하려면 사이버 보안팀이 멀티레이어 방어 접근 방식을 배포해야 합니다.
- 행동 분석. 보안팀은 정상적인 트래픽 패턴을 분석하고 트래픽 동작을 실시간으로 지속적으로 모니터링함으로써 로우 앤 슬로우 공격을 가리키는 비정상을 발견할 수 있습니다.
- 실시간 모니터링. CPU, 메모리, 애플리케이션 상태, 연결 테이블, 애플리케이션 스레드, 기타 리소스를 모니터링하면 공격이 진행 중임을 나타내는 비정상을 발견할 수 있습니다.
- 연결 증가. 서버 가용성을 업그레이드하고 더 많은 연결을 추가하면 로우 앤 슬로우 공격으로 서버 리소스를 고갈시키기가 더욱 어려워집니다.
- 역방향 프록시 기반 보호. 이 접근 방식은 로우 앤 슬로우 공격이 오리진 서버에 도달하기 전에 방어합니다.
- DDoS 방어 솔루션 배포. DDoS 방어 솔루션은 웹 애플리케이션 방화벽과 같은 다양한 기술을 사용해 공격을 탐지하고 방어합니다.