DoS Attack

DoS Attack( Denial-of-service attack )

: 서비스 거부 공격 또는 디오에스/도스는 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다

 

Dos 공격의 분류

- 파괴 공격

- 시스템 자원의 고갈 

- 네트워크 자원의 고갈

 

파괴 공격

: 디스크나 데이터,  시스템의 파괴

 

시스템 자원의 고갈

: CPU, 메모리, 디스크의 사용에 과다한 부하를 가중시킴

 

네트워크 자원의 고갈

: 쓰레기 데이터로 네트워크의 대역폭을 고갈시킴

 

DoS 공격의 종류

- Ping Of Death
- Land Attack
- SYN Flooding
- TearDrop Attack

 

Ping Of Death

: Ping을 이용하여 ICMP 패킷을 정상적인 크기보다 크게 만드는 것이다

만들어진 패킷은 네트워크를 통해 라우팅되어 공격 네트워크에 도달하는 동안 작은 조각으로 Fragment된다 공격 대상 시스템은 이렇게 작은 조각호된 패킷을 모두 처리행하므로 정상적인 Ping의 경우보다 엄청난 부하가 걸린다

 

 

Land Attack

: 출발지 IP를 도착지 IP로 속여 수신단에서 도착지 IP가 자신이므로 루핑이 발생하면서 가용성이 저하된다

 

 

SYN Flooding

: TCP/IP 네트워크에서의 정상적 TCP 연결 3-way 핸드셰이크(handshake) 과정의 경우, 클라이언트가 원격지 서버의 특정 포트에 SYN 패킷(packet)을 발송함으로써 연결을 요청하고 요청을 받은 원격 서버가 SYN/ACK 패킷으로 응답한 후 수신된 연결 요청 정보를 해당 시스템의 TCP 연결 자원인 백 로그 큐(Backlog Queue)내 incomplete connection queue에 저장한다
 이때 서버가 응답한 SYN+ACK에 대하여 클라이언트가 ACK로써 응답을 보내지 않으면 accept() 시스템콜을 통해 클라이언트와 통신할 연결소켓 생성하지 못하므로 서버는 incomplete connection queue에 있던 연결 요청 정보를 completed connection queue로 이동하는 연결 요청 정보 삭제 과정을 수행하지 못하고 해당 연결 요청 정보가 그대로 남아있다는 half-open TCP 연결 상태에 머무르는 구조적 취약점이 있다
그렇기 때문에 공격자는 서버 특정 포트에 SYN packet을 발송하는 과정을 대량으로 중첩시켜서 백 로그 큐내 incomplete connection queue를 가득 채움으로써 소진시키게 되고 이로인해 더 이상 새로운 클라이언트의 TCP 연결요청을 받을 수 없게되니 이 후 요청되는 다수의 TCP 연결이 완료되지 않고 무시된다

 

- ARP Spoofing을 이용해 SYN+ACK 패킷을 다른 Client가 받게 만든다

 

TearDrop Attack

: TCP/IP 통신에서 보내는 쪽에서는 IP 데이타그램을 쪼개고 받는 쪽에서는 이를 합치는(프레그멘테이션과 리어셈블리) 아주 정상적으로 일어나야 할 과정을 공격자가 임의적으로 과도하게 발생 시키거나, 꼬이게 함으로써 대상컴퓨터가 다운되게 하는 DOS공격의 일종이다 또한 이 공격은 어떤 OS의 IP fragment 재조합 코드 안에 버그를 일으키는 invalid fragmented IP패킷을 보낸다 이 취약성은 공격자가 목적 시스템을 손상시켜 서비스손실을 유발시키고, 서버를 다운 시킬 수도 있다

 

- 시퀀스 넘버를 이상하게 만들어 대상 서버가 재조합 하지 못하게 만든다