'SYN flood'

SYN Flood 정의

SYN flood는 서비스 거부(DoS) 공격의 한 종류로, 공격자가 대상 서버에 대량의 SYN(동기화) 요청을 보내 연결 요청으로 서버를 과부하 시켜 정상적인 트래픽에 응답하지 못하게 만드는 공격입니다. 이러한 요청의 폭주는 서버의 자원을 고갈시키고, 서버가 실제 연결을 처리하지 못하게 만듭니다.

SYN Flood 작동 원리

SYN flood 공격은 두 장치 간의 연결을 설정할 때 사용하는 3방향 핸드셰이크 프로세스를 악용합니다. 작동 방식은 다음과 같습니다:

1. 공격자는 대상 서버에 대량의 SYN 패킷을 보내 공격을 시작합니다. 각 SYN 패킷은 공격자의 IP 주소와 무작위로 생성된 시퀀스 번호를 포함합니다.
2. SYN 패킷을 수신한 서버는 잠재적인 연결을 위해 자원을 할당하고, 공격자의 IP 주소로 SYN-ACK(동기화-승인) 패킷을 되돌려 보냅니다.
3. 정상적인 시나리오에서는, 공격자의 장치가 서버의 SYN-ACK 패킷에 대해 승인(ACK) 패킷을 보내 핸드셰이크를 완료하고 연결을 설정해야 합니다. 그러나 SYN flood 공격에서는 공격자가 최종 ACK 패킷을 보내지 않습니다.
4. 서버는 최종 ACK를 기대하며 반쯤 열린 연결을 대기열에 보관하고 승인을 기다립니다. 그 결과로 서버의 메모리 및 연결 슬롯과 같은 자원이 시간이 지남에 따라 고갈되어 정상적인 연결 요청을 처리할 수 없게 됩니다.

예방 팁

SYN flood 공격으로부터 보호하기 위해 다음과 같은 조치를 고려하십시오:

1. SYN 쿠키 구현: SYN 쿠키는 최종 ACK를 클라이언트로부터 수신할 때까지 서버가 자원을 할당하지 않는 기술입니다. 이는 반쯤 열린 연결의 축적으로 인한 SYN flood 공격의 영향을 줄여줍니다.
2. 방화벽 구성: 악성 SYN 패킷을 탐지하고 차단하도록 방화벽을 구성하십시오. 상태 기반 패킷 검사 기능이 있는 방화벽은 네트워크 및 전송 계층의 트래픽을 분석하여 의심스러운 SYN flood 패턴을 식별하고 방지할 수 있습니다.
3. 속도 제한 조치 사용: 한 소스에서 너무 많은 연결 요청이 오는 것을 방지하기 위해 속도 제한 메커니즘을 구현하십시오. 이는 SYN 패킷의 수신 속도를 조절하여 공격의 영향을 줄일 수 있습니다.
4. DoS 보호 서비스 사용: SYN flood 공격을 탐지하고 완화하는 전용 DoS 보호 서비스를 고려하십시오. 이러한 서비스는 네트워크 인프라에 추가적인 방어 레이어를 제공합니다.
5. 네트워크 장치를 최신 상태로 유지: 라우터, 스위치, 방화벽을 포함한 네트워크 장치에 정기적으로 보안 패치를 업데이트하고 적용하십시오. 패치 작업은 공격자가 SYN flood 공격을 시작하기 위해 악용할 수 있는 취약점을 해결하는 데 도움이 됩니다.

관련 용어

• 서비스 거부(Denial-of-Service, DoS) 공격: 서비스를 방해하거나 네트워크를 사용할 수 없게 만드는 사이버 공격입니다. SYN flood 공격은 특정 유형의 DoS 공격입니다.
• 방화벽(Firewall): 사전 설명된 보안 규칙에 따라 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템입니다. 방화벽은 SYN flood 공격을 탐지하고 방지하는 데 중요한 역할을 할 수 있습니다.
• SYN 쿠키: 최종 승인이 수신될 때까지 자원을 할당하지 않아 SYN flood 공격을 완화하는 데 사용되는 기술입니다. SYN 쿠키는 서버에서 반쯤 열린 연결로 인한 자원 고갈을 방지하는 데 도움이 됩니다.