트래픽 공격의 유형 - TCP, UDP, ICMP, Smurf 플러딩 공격
∎ TCP 플러딩 공격 - 연결형 프로토콜인 TCP의 취약점 이용. ( SYN, ACK, RST 플러딩 공격)
★1. TCP SYN 플러딩 공격
- 3방향 핸드쉐이크 절차에 의해 연결을 설정하는 TCP 프로토콜의 취약점을 이용한 공격
- 공격 대상 시스템의 동시 가용 사용자 수를 점유하여 정당한 사용자가 접속할 수 없게 함.
<TCP SYN 플러딩 공격 예시>
| ➀ 해커가 시스템 A의 IP 주소로 위장하여 피해 시스템으로 SYN을 보내 연결을 요청. ➁ 피해 시스템이 시스템 A에게 연결 허락 ➂ 연결을 요청하지 않은 시스템 A는 응답 X ➃ 과정이 반복되면서 피해 시스템은 오버플로우 발생 ➄ 서비스를 원하는 시스템 B: 피해 시스템에 연결 요청 ⑥ 피해 시스템이 시스템 B의 연결 요청에 응답 못함. |
<TCP SYN 플러딩 공격에 사용되는 TCP 헤더>
| 근원지 포트 번호 | 목적지 포트 번호(27665, 27444, 12754) | |||||||
| 순서 번호 | ||||||||
| 확인 번호 | ||||||||
| 헤더 길이 | 예약 | U R G |
A C K |
P S H |
R S T |
S Y N |
F I N |
윈도우 크기 |
| 체크섬 | 긴급 포인터 | |||||||
| DATA | ||||||||
2. ACK 플러딩 공격
- ACK 플랙을 1로 세팅한 TCP 메시지를 대량으로 전송하여 공격 대상 시스템이 RST 메시지로
응답하면서 과부하가 초래되게 하는 공격
3. RST 플러딩 공격
- RST 플랙을 1로 세팅한 TCP 메시지를 대량으로 전송하여 실제 서비스 되고 있는 TCP 연결들을
종료시키는 공격.
∎ UDP 플러딩 공격
- 비연결형 UDP 프로토콜의 취약점을 이용한 DDoS 공격의 일종.
- 응용에 할당되지 않은 UDP 31335번 포트 등을 사용하여 공격
- 공격 대상 시스템의 유효하지 않은 목적지 포트를 이용하여 대량의 UDP 메시지를 전송->
ICMP Destination Unreachable 메시지로 응답하면서 과부하가 초래되어 정당한 사용자가 이용 X
<UDP 플러딩 공격의 헤더>
| 근원지 포트 번호 | 목적지 포트 번호 (6338, 10498, 31335) |
| UDP 길이 | 체크섬 |
| 데이터 | |
∎ ICMP 플러딩 공격
- 공격 대상 시스템으로 대량의 ICMP 메시지를 전송-> 트래픽이 폭주 -> 정상적인 서비스 제공 X.
- 유형 필드가 0이고, 코드 필드가 0인 ICMP Echo Reply 메시지가 사용 됨.
<ICMP 플러딩 공격의 헤더>
| 유형(0) | 코드(0) | 체크섬 |
| 식별자(123, 456, 1000, 6666) | 순서번호 | |
| 데이터 | ||
∎ Smurf 공격
- ICMP 브로드캐스트 공격의 일종
- 해커가 공격 대상 시스템의 IP 주소로 위장, 좀비 PC 들에게 ICMP Echo Request 메시지를 보내면
좀비 PC들은 공격 대상 시스템으로 ICMP Echo Reply 메시지를 대량으로 전송, 마비시키는 공격