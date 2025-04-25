공격의 네 가지 주된 종류는 다음과 같습니다.

애플리케이션 레이어 DDoS 공격

애플리케이션 레이어 DDoS 공격(레이어 7 DDoS 공격)은 웹 애플리케이션의 특정 취약점을 겨냥하여 애플리케이션이 의도한 대로 작동하지 못하도록 합니다. 이러한 DDoS 공격은 인터넷을 통한 두 애플리케이션 간의 데이터 교환을 위한 통신 프로토콜을 대상으로 하는 경우가 많습니다. 일으키기 가장 쉬운 DDoS 공격 중 하나이지만 차단하고 방어하는 것은 어렵습니다.

HTTP 플러드 . HTTP 플러드는 웹 페이지를 로드하거나 인터넷을 통해 콘텐츠를 보내는 데 사용되는 HTTP 인터넷 프로토콜을 악용합니다. HTTP 플러드는 서버, 웹사이트나 웹 애플리케이션에 대량의 HTTP GET이나 POST 요청을 보내 속도가 느려지거나 충돌이 발생하게 만듭니다.

로우 앤 슬로우 공격 . 로우 앤 슬로우 공격은 매우 느린 속도로 정상적인 것으로 보이는 트래픽과 HTTP 요청을 전송하여 탐지를 피하도록 설계된 일종의 DoS(Denial-of-Service) 공격입니다. 로우 앤 슬로우 공격은 대역폭이 거의 필요하지 않으며 단일 컴퓨터 또는 봇넷을 통해 시작될 수 있습니다. 로우 앤 슬로우 공격의 트래픽은 정상적인 레이어 7 트래픽으로 보이고 보안 알림을 트리거하는 속도로 전송되지 않기 때문에 탐지하기가 어렵습니다. Slowloris. Slowloris DDoS 공격은 표적 서버에 대한 여러 개의 HTTP 연결을 동시에 열고 유지하여 웹 서버를 제압하도록 설계되었습니다. Slowloris는 평소보다 느리지만 표준 트래픽인 것처럼 보이는 요청으로 서버 리소스를 고갈시킵니다. 공격자는 클라이언트가 GET 또는 POST 요청을 여러 패킷으로 분할하는 HTTP 프로토콜의 고유한 기능을 이용합니다. Slowloris 공격은 여러 연결을 최대한 오랫동안 열어둠으로써 표적으로 삼은 웹 서버를 감염시킵니다. 감염은 완료되지 않은 부분 HTTP 요청을 전송함으로써 이루어집니다.

. 로우 앤 슬로우 공격은 매우 느린 속도로 정상적인 것으로 보이는 트래픽과 HTTP 요청을 전송하여 탐지를 피하도록 설계된 일종의 DoS(Denial-of-Service) 공격입니다. 로우 앤 슬로우 공격은 대역폭이 거의 필요하지 않으며 단일 컴퓨터 또는 봇넷을 통해 시작될 수 있습니다. 로우 앤 슬로우 공격의 트래픽은 정상적인 레이어 7 트래픽으로 보이고 보안 알림을 트리거하는 속도로 전송되지 않기 때문에 탐지하기가 어렵습니다. Slowloris. Slowloris DDoS 공격은 표적 서버에 대한 여러 개의 HTTP 연결을 동시에 열고 유지하여 웹 서버를 제압하도록 설계되었습니다. Slowloris는 평소보다 느리지만 표준 트래픽인 것처럼 보이는 요청으로 서버 리소스를 고갈시킵니다. 공격자는 클라이언트가 GET 또는 POST 요청을 여러 패킷으로 분할하는 HTTP 프로토콜의 고유한 기능을 이용합니다. Slowloris 공격은 여러 연결을 최대한 오랫동안 열어둠으로써 표적으로 삼은 웹 서버를 감염시킵니다. 감염은 완료되지 않은 부분 HTTP 요청을 전송함으로써 이루어집니다.

프로토콜 DDoS 공격

프로토콜 공격은 OSI 모델의 레이어 3 및 레이어 4에서 인터넷 통신 프로토콜의 약점과 취약점을 대상으로 합니다. 이런 공격은 TCP(Transmission Control Protocol) 또는 ICMP(Internet Control Message Protocol) 프로토콜을 악용하는 악의적인 연결 요청을 보내 서버나 방화벽과 같은 다양한 네트워크 인프라 리소스의 컴퓨팅 용량을 소비하고 고갈시키는 것을 목적으로 합니다.

SYN 플러드. 인터넷 애플리케이션에 접속하는 주요 방법 중 하나는 TCP를 사용하는 것입니다. 이 연결을 위해서는 웹 서버와 같은 TCP 서비스로부터 3방향 핸드셰이크가 필요합니다. 사용자가 서버에 연결된 위치에서 SYN(Synchronization) 패킷을 전송하면 SYN-ACK(Synchronization Acknowledgement) 패킷을 반환하고 최종 ACK(Acknowledgement) 통신을 통해 최종 대답해 TCP 핸드셰이크를 완료합니다. SYN 플러드 공격 도중악성 클라이언트는 많은 양의 SYN 패킷(일반적인 핸드셰이크 중 하나)을 전송하지만, 핸드셰이크를 완료하기 위한 ACK(acknowledgement)는 보내지 않습니다. 이렇게 하면 서버가 이런 반개방형 TCP 연결에 대한 응답을 기다리는 상태가 됩니다. 결국 서버는 연결 상태를 추적하는 서비스를 위해 새 연결을 수락할 수 있는 용량이 부족해집니다.



이를 콜택시에 비유하면, 콜택시 회사에 수천 또는 수십만 건의 가짜 요청이 이루어지는 상황이라고 볼 수 있습니다. 택시는 승객이 탑승하여 이동을 시작하길 기다리지만 그러한 일은 절대 일어나지 않습니다. 결국 이용 가능한 택시가 모두 소진되고 정상적인 승객은 서비스를 이용할 수 없게 됩니다.

스머프(smurf) DDoS 공격. 이 DDoS 공격의 이름은 작고 파란 휴머노이드의 가상 군단과 같이 수많은 작은 공격자들이 훨씬 규모가 큰 상대를 순전히 용량으로 압도할 수 있다는 개념에 기반합니다. 스머프 DDoS 공격에서 공격 표적의 스푸핑된 소스 IP가 있는 대량의 ICMP 패킷은 IP 브로드캐스트 주소를 사용해 컴퓨터 네트워크로 브로드캐스팅됩니다. 기본적으로 네트워크에 있는 대부분의 디바이스는 소스 IP 주소로 회신을 보내 응답합니다. 네트워크의 시스템 수에 따라 피해자의 컴퓨터가 트래픽 폭주로 크롤링 속도가 늦춰질 수 있습니다.

DNS 증폭·반사 DDoS 공격

Domain Name System 또는 DNS 증폭·반사 공격은 증폭 DDoS 공격 기법의 한 종류로, 해커가 표적의 IP 주소를 스푸핑하여 오픈 DNS 서버로 대량의 요청을 보냅니다. 이에 대응해 DNS 서버는 스푸핑된 IP 주소의 악의적인 요청에 다시 응답해 DNS 회신을 통해 표적 대상에 대한 공격을 생성합니다. DNS 응답에서 생성되는 대량의 트래픽이 피해 기업의 서비스를 매우 빠른 속도로 마비시키고 서비스를 사용할 수 없게 만들며 정상 트래픽이 원하는 목적지에 도달하지 못하게 합니다.

이러한 종류의 공격을 콜택시에 비유하면, 피해자의 주소로 택시를 보내기 위해 수백 또는 수천 건의 콜택시 요청이 이뤄진 상황을 생각해 볼 수 있습니다. 이 콜택시들은 피해자의 집으로 이어지는 거리를 막아 정상적인 방문자가 피해자의 주소에 도달하지 못하게 합니다. 콜택시의 비유를 확장하면 다음 섹션의 증폭 DDoS 공격을 설명하는 것도 가능합니다.

증폭 DDoS 공격

볼륨 기반의 DDoS 공격은 OSI 레이어 3과 4를 겨냥해 여러 소스에서 발생한 트래픽으로 표적을 제압하고 결국 표적의 가용 대역폭을 모두 소모하여 속도가 느려지거나 충돌하게 만듭니다. 증폭 공격은 종종 다른 종류의 DDoS 공격이나 더 위험한 사이버 공격으로부터 주의를 돌릴 목적으로 사용됩니다.