SYN 플러드 공격(SYN Flood Attack)은 네트워크 서비스를 방해하기 위한 일종의 DDoS(분산 서비스 거부) 공격 방법 중 한가지 방법으로, 이 공격은 TCP/IP 프로토콜의 취약점을 이용하여 서버가 처리하지 못하게 만드는 기법입니다.
SYN 플러드 공격 설명:
- 공격 원리: 클라이언트는 TCP 연결을 시작할 때 서버에 SYN(Synchronize) 패킷을 보내며, 서버는 SYN-ACK(Synchronize-Acknowledge) 패킷으로 응답합니다. 클라이언트는 마지막으로 ACK(Acknowledge) 패킷을 보내 연결을 확립합니다. 이 과정을 '3-way handshake'라고 합니다.
- 공격 방법: 공격자는 가짜 IP 주소를 사용하여 대량의 SYN 패킷을 서버에 보냅니다. 서버는 각각의 연결 요청에 대해 SYN-ACK 응답을 보내고, 연결을 기다리는 '반 열린 연결' 상태로 들어갑니다. 하지만, 가짜 주소로부터는 ACK가 오지 않기 때문에, 서버는 불필요한 연결을 기다리며 자원을 낭비하게 됩니다. 결국 서버는 정상적인 요청도 처리하지 못하게 됩니다.
방어 방법:
- SYN 쿠키: SYN-ACK 응답에 특별한 초기 순서 번호를 사용하여 실제 연결 요청과 가짜 요청을 구분합니다. 클라이언트가 유효한 ACK를 보낼 때만 서버가 자원을 할당합니다.
- 방화벽 및 IDS/IPS 사용: 비정상적인 SYN 트래픽을 감지하고 필터링하는 방화벽이나 침입 탐지/방지 시스템을 사용합니다.
- 연결 제한 설정: 동시에 열 수 있는 최대 반 열린 연결 수를 제한합니다.
- 네트워크 장비 설정: 라우터나 스위치에서 SYN 플러드 공격을 감지하고 완화할 수 있는 설정을 활성화합니다.
'네트워크 보안' 카테고리의 다른 글
| HTTP/GET, POST ATTACK (0) | 2023.12.21 |
|---|---|
| TCP-Bypass Attack (0) | 2023.12.21 |
