Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 주요 기업들은 매일 수십억 명 고객의 생활, 업무, 여가를 지원하고 디지털 경험을 안전하게 제공하기 위해 Akamai 솔루션을 활용합니다. Akamai Connected Cloud는 대규모로 분산된 엣지 및 클라우드 플랫폼으로, 앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다.
SYN 플러드 DDoS 공격 이해하기
SYN 분산 서비스 거부 공격은 DDoS 공격의 일종으로서 OSI 모델의 레이어 4에서 TCP 프로토콜에 영향을 주고, 대규모 리소스 연결 요청을 보내어 네트워크 디바이스, 부하 분산기, 세션 관리 디바이스 또는 서버를 오프라인으로 만듭니다. '반개방 공격'으로 알려진 SYN 플러드 공격은 TCP/IP 핸드셰이크의 일반 취약점을 악용하여, 방대한 TCP 연결로 서버를 마비시키고, 서버가 정상적인 트래픽과 연결에 서비스를 제공하지 못하게 막습니다. 이러한 유형의 사이버 공격은 수천만 연결을 유지할 수 있는 디바이스를 멈출 수 있습니다. TCP SYN 플러드는 1990년대 초에 처음 사용됐으며 케빈 미트닉(Kevin Mitnick)이 TCP/IP 연결에 DOS 공격을 사용한 사례가 가장 유명합니다.
SYN 플러드 공격 원리
정상적인 클라이언트와 서버 간 일반적인 연결 요청에는 TCP 3방향 핸드셰이크가 사용됩니다. 클라이언트, 사용자가 서버에 SYN(synchronize) 패킷을 보내 연결을 요청합니다. 서버가 SYN-ACK(synchronize-acknowledge) 패킷을 클라이언트에 보내 요청을 승인합니다. 클라이언트가 ACK(acknowledge) 메시지로 응답하면 연결이 수립됩니다. RST(RESET) 같은 기타 TCP '플래그'와 클라이언트와 대상 서버가 서로 전송할 수 있는 사전 정의된 타임아웃 값이 있지만 상위 레벨에서 TCP는 연결 중심 프로토콜입니다.
SYN 플러드 공격에서 공격자는 일반적으로 가짜 IP 주소나 스푸핑된 IP 주소를 사용하여 서버의 모든 포트나 단일 포트에 SYN 패킷을 반복적으로 보냅니다. 이러한 요청은 정상적인 TCP 연결처럼 보이기 때문에 서버는 포트 개방 요청이 있을 때마다 SYN-ACK 패킷으로 각 요청에 응답합니다. 서버가 최종 ACK 패킷을 절대 받지 못하기 때문에 열린 포트 연결의 개수가 계속 증가합니다. 가용한 모든 포트가 열리면 서버는 더 이상 정상적으로 작동하지 못하고 실제 사용자를 위한 TCP 시퀀스 번호를 관리하기가 매우 어려워집니다.
다양한 SYN 플러드 공격
SYN 플러드 공격은 세 가지 방식으로 실행될 수 있습니다.
- 스푸핑 안 된 IP 주소. 이 방법이 배포되면 표적이 되는 기업은 쉽게 속성을 파악하고 방어할 수 있지만 이를 안전하게 수행하는 것은 네트워크 보안 및 사이버 보안 전문가에게 어려운 과제입니다.
스푸핑된 IP 주소. 이 방법에서 공격자는 신뢰할 수 있는 서버나 인터넷에 연결된 디바이스의 소스 IP 주소를 스푸핑하여 패킷을 추적하고 공격을 막기 어렵게 만듭니다.
분산된 IP 주소. 이 형태의 SYN 플러드 공격은 자체 IP 주소나 스푸핑된 주소를 사용하여 보다 복잡하고, 규모가 크고, 방어하기 어려운 공격을 수행할 수 있는 감염된 디바이스로 구성된 분산 네트워크에서 받은 악성 패킷을 봇넷을 사용하여 보냅니다.
SYN 플러드 DDoS 공격의 목표
SYN 플러드 DDoS 공격은 네트워크와 시스템에 심각한 성능 문제를 일으킬 수 있습니다. SYN 플러드 공격은 서버를 마비시키고 오프라인으로 만듦으로써 정상적인 사용자가 서비스를 사용할 수 없게 만들고 데이터 손실을 일으킬 수 있습니다. SYN 플러드 공격은 서버를 오프라인으로 만들어 정상적인 사용자가 애플리케이션, 데이터, 이커머스 사이트에 접속하지 못하게 막습니다. 따라서 기업은 매출 손실, 평판 피해, 중요 인프라 장애, 비즈니스 연속성 손실을 겪을 수 있습니다.
SYN 플러드 DDoS 공격은 '연막'으로 알려진 랜섬웨어 같은 다른 공격을 숨기는 용도로 사용될 수도 있습니다. 공격자가 SYN 플러드 공격을 실시하여 보안팀과 DDoS 방어가 한 부문이나 전략에 리소스를 집중하게 만드는 동안, 다른 악의적인 공격자가 시스템의 다른 부분을 공격할 수 있습니다.
SYN 플러드 공격 방어 방법
SYN 플러드 DDoS 공격에 대한 일반적인 방어 기법은 다음과 같습니다.
- 스푸핑 안 된 소스 IP 주소가 사용되는 경우 SYN 플러드 공격과 기타 DDoS 공격의 악성 트래픽을 탐지하고 차단할 수 있는 IDS(Intrusion Detection System)
- 서버에서 보낼 수 있는 SYN 요청 개수나 초당 SYN 패킷 개수를 제한하는 속도 제한 기법
- 허용된 '반개방' 연결 개수를 늘리도록 백로그 대기열 확대
- 보안팀이 네트워크의 다른 부분에서 발생한 트래픽을 보고 분석할 수 있도록 네트워크 가시성을 확대하는 솔루션 배포
- 일명 안티스푸핑 방법이라 불리는 메모리 리소스를 할당하기 전에 연결을 확인하도록 ACK 패킷에 암호화 해싱을 사용하는 SYN 쿠키
- 가장 오래된 반개방 연결을 재활용하여 새로운 연결 공간을 만들고 플러드 공격 중 시스템 접근성을 유지
- 비정상적인 SYN 패킷을 필터링할 수 있는 방화벽(단, 성능 저하 발생)
- 클라우드 DDoS 방어
Akamai를 통한 SYN 플러드 공격 차단
Akamai는 전 세계 주요 기업들에 안전하고 쾌적한 디지털 경험을 제공합니다. Akamai는 결정, 앱, 경험을 사용자에게 가깝게 유지하고 공격과 위협을 사용자로부터 멀리 떨어트려 고객과 네트워크가 빠르고, 스마트하고, 안전하게 작동하게 합니다.
엔드투엔드 DDoS 및 DoS 방어 솔루션은 최전방 방어선을 구성하는 종합적인 접근법을 제공합니다. 전담 엣지, 분산 DNS, 네트워크 클라우드 방어 전략을 갖춘 DDoS 대응 기술이 부수적인 피해와 단일 장애 지점을 방지하여 고객에게 강화된 안정성, 전문 삭제 역량, 뛰어난 품질의 방어를 제공합니다.
App & API Protector 솔루션은 고객 중심의 자동화를 통해 종합적인 강력한 보호 기능을 제공합니다. 이 솔루션은 현재 사용 가능한 가장 진보된 애플리케이션 보안 자동화 기능을 제공하며 사용하기에도 간편합니다. 새로운 적응형 보안 엔진과 업계 최고의 핵심 기술을 통해 DDoS 방어, API 보안, 봇 방어, 웹 애플리케이션 방화벽을 사용이 간편한 하나의 솔루션으로 구현할 수 있습니다.
Prolexic은 DDoS 공격을 가장 빠르고 가장 효과적이며 확장성 있게 방어합니다. DDoS 방어용 0초 SLA를 제공하는 Prolexic은 공격 서비스를 사전에 줄이고 네트워크 트래픽에 대한 방어 제어 조치를 맞춤화해 공격을 즉시 차단합니다. 완전 관리형 SOCC를 보유하면 기존 사이버 보안 프로그램을 보완할 수 있으며, 업계에서 입증된 경험을 통해 해결 시간을 개선하는 데 도움이 됩니다.
Edge DNS 솔루션은 최대 규모의 엣지 플랫폼으로 DNS 중단을 방지합니다. 이를 통해 기업은 보장된 무중단 DNS 가용성을 누릴 수 있습니다. 클라우드 기반 솔루션인 Edge DNS는 응답성을 개선하고 대규모 DDoS 공격을 방어하면서 연중무휴 24시간 DNS 가용성을 보장합니다.