서비스 거부 위협의 기원
기존의 서비스 거부 공격에서 해커는 가상의 반환 인터넷 프로토콜(IP) 주소를 사용하여 대상 시스템 또는 서비스에 여러 요청을 전송합니다. 서버가 이러한 주소를 인증하려고 하면 오류 코드 응답이 급증하여 SMTP 트래픽의 반복적인 체인이 발생하여 서버를 빠르게 포화 상태로 만들 수 있습니다. 마찬가지로 스머프 공격의 경우 해커는 해당 대상 시스템에 속하는 스푸핑된 IP 주소를 사용하여 여러 호스트에 패킷을 브로드캐스트합니다. 수신자 호스트 시스템이 응답하면 응답하는 패킷 트래픽으로 효과적으로 플러딩됩니다.
SYN 플러드에서 공격자는 TCP 3-Way Handshake(SYN, SYN-ACK, ACK) 프로세스를 활용하여 서비스를 오프라인으로 전환합니다. 3-Way Handshake에서 서버 A는 서버 B에 대한 TCP SYNchronize 요청 메시지를 시작합니다. 요청을 수신하면 호스트 B(대상 머신)는 SYNchronize-ACKnowledgement 패킷을 서버 A로 다시 보냅니다. 이 시점에서 서비스 거부 공격이 발생합니다. TCP 소켓 연결을 설정하기 위한 합법적인 교환에서 다음 단계는 호스트 A가 호스트 B로 ACKnowledge 메시지를 다시 보내는 것이지만 호스트 A를 제어하는 해커가 이를 방지하면 핸드셰이크를 완료할 수 없습니다. 그 결과 호스트 B에 추가 요청에 사용할 수 없는 연결된 포트가 있습니다. 공격자가 이러한 특성을 반복적으로 요청하면 호스트 B에서 사용 가능한 모든 포트가 빠르게 끊기고 사용할 수 없게 될 수 있습니다.
진화하는 서비스 거부 위협
SYN 폭주, 바나나 공격 및 기타 유형의 기존 DoS 해킹은 오늘날에도 여전히 사용되고 있으며, 물론 봇넷 기반 DDoS 공격은 여전히 지속적인 위협으로 남아 있습니다. 그러나 최근 몇 년 동안 악의적인 해커는 목표로 삼는 시스템과 서비스의 수를 늘리고 위협 표면을 상당히 확장했습니다. 점점 더 많은 조직이 리소스를 완전히 오프라인으로 전환하지 않고 비용이 많이 드는 서비스 속도를 유발하는 저강도 "서비스 저하" 공격의 표적이 되고 있습니다. 이러한 공격 방법은 점점 더 많은 조직이 웹 운영을 강화하기 위해 Amazon Web Services(AWS) 및 이와 유사한 클라우드 제품에 의존하게 됨에 따라 점점 더 보편화되고 있습니다.
대형 소매업체, 금융 서비스 제공업체, 소비자 브랜드 또는 이와 유사한 영리 기업이 AWS, Microsoft Azure 또는 기타 클라우드 운영자에서 웹 사이트를 호스팅하는 경우 해당 계약에는 서비스 수준 계약이 적용됩니다. 실제로 클라우드 운영자는 주어진 가격으로 해당 웹 사이트가 X개의 웹 트래픽을 지원하는 데 필요한 처리 리소스, 대역폭 및 지원 인프라를 제공할 것을 약속하며, 여기서 X는 기가바이트의 데이터, 소매 거래 수, 가동 시간 및 관련 메트릭으로 측정됩니다. 트래픽 부하가 합의된 수준을 초과하는 경우(트래픽이 합법적이면 긍정적일 수 있음) 웹사이트 소유자에게 더 높은 요금이 부과됩니다. 이 프로세스는 필요에 따라 처리 리소스를 동적으로 늘리거나 줄이는 Auto Scaling 기능이 있는 Amazon CloudWatch와 마찬가지로 완전히 자동화되는 경우가 많습니다.
값비싼 서비스 폄훼
상상할 수 있듯이 악의적인 행위자는 불법 트래픽을 대상 웹 사이트로 유도하여 이러한 관계에 자신을 주입할 수 있으며 대상 조직의 비즈니스 수행 비용을 쉽게 증가시킬 수 있습니다. 간헐적인 트래픽 버스트를 보내는 펄스 "좀비" 서버는 이러한 종류의 공격에 자주 사용됩니다. 문제의 트래픽 로드는 악의적인 소스에서 비롯된 것이 아니라 가끔씩 발생하기 때문에 합법적인 트래픽과 매우 유사해 보이며, 이는 사이버 보안 직원이 이를 발견하고 중지하는 것이 매우 어려울 수 있음을 의미합니다.
이러한 유형의 서비스 거부 또는 서비스 저하 사고에 사용되는 또 다른 도구 집합은 원래 웹 사이트 소유자가 웹 인프라의 약점을 식별하는 데 도움이 되도록 설계된 소위 "스트레서" 애플리케이션입니다. WebHive를 비롯한 이러한 앱은 구하기 쉽고 사용이 간편하여 여러 클라우드 인스턴스에 설치하여 강력한 DDoS 기능을 구축할 수 있습니다. 이러한 방식으로 함께 조정된 이러한 공격 도구는 대규모 상업용 웹 사이트를 장기간 오프라인 상태로 만들 수 있습니다.
서비스 거부(DoS) 핵심 사항
서비스 거부 공격은 수년에 걸쳐 변화하고 변화했지만 그로 인한 피해는 계속 증가하고 있습니다. 다양한 산업 부문의 대기업을 대상으로 한 Ponemon Institute의 설문 조사에 따르면 일반적인 기업은 매년 4건의 서비스 거부 사고를 겪고 있으며 DoS를 처리하는 데 드는 연간 평균 총 비용은 약 150만 달러입니다. DoS 공격을 탐지, 예방 및 대응할 수 있는 보안 아키텍처를 구축하는 것은 효과적인 사이버 보안 프로그램의 중요한 단계입니다.
피드백