DoS/DDoS 파트 출제 포인트
서비스 거부 공격은 정보보안기사에서 네트워크 보안 파트와 함께 자주 출제됩니다. 각 공격 기법의 동작 원리와 특징, 그리고 대응 방안을 세트로 외워야 합니다. DDoS와 DRDoS의 차이도 반드시 구분하세요.
【기출 토픽 1】 SYN Flooding 공격
기출 문제 예시: TCP 3-way handshake의 취약점을 이용하여 위조된 SYN 패킷을 대량 전송해 서버의 연결 대기 큐를 고갈시키는 공격은?
- ① UDP Flooding
- ② SYN Flooding ✅
- ③ HTTP GET Flooding
- ④ Smurf 공격
해설: SYN Flooding은 출발지 IP를 위조한 SYN 패킷을 대량 전송합니다. 서버는 SYN-ACK를 보내고 ACK를 기다리지만 응답이 없어 연결 대기 큐(Backlog Queue)가 가득 차 정상 연결을 처리할 수 없게 됩니다.
대응: SYN Cookie 기술 적용, Backlog Queue 크기 증가, 방화벽의 비정상 SYN 패킷 필터링
【기출 토픽 2】 Smurf 공격
기출 문제 예시: 출발지 IP를 피해자 IP로 위조한 ICMP Echo Request를 네트워크 브로드캐스트 주소로 전송하여 대량의 응답이 피해자에게 집중되도록 하는 공격은?
- ① SYN Flooding
- ② Smurf 공격 ✅
- ③ Teardrop 공격
- ④ Land 공격
해설: Smurf 공격은 증폭 효과를 이용하는 DoS 공격입니다. 브로드캐스트 네트워크의 모든 호스트가 피해자에게 ICMP 응답을 보내므로 공격자 대비 수십~수백 배의 트래픽이 발생합니다.
대응: 라우터에서 외부에서 유입되는 브로드캐스트 패킷 차단, 각 호스트에서 브로드캐스트 ICMP 응답 비활성화
【기출 토픽 3】 DDoS vs DRDoS 차이
기출 문제 예시: 다수의 좀비 PC를 활용하지 않고, 정상 서버(반사 서버)를 이용하여 피해자에게 대량의 응답 트래픽을 유발하는 공격은?
- ① DDoS (Distributed Denial of Service)
- ② DRDoS (Distributed Reflection DoS) ✅
- ③ Slowloris 공격
- ④ Land 공격
해설:
- DDoS: 감염된 다수의 좀비 PC가 직접 공격 트래픽을 전송
- DRDoS: 출발지 IP를 피해자 IP로 위조해 정상 서버(DNS, NTP 등)에 요청 → 응답이 피해자에게 집중. 공격자 추적이 어렵고 증폭 효과가 큼
【기출 토픽 4】 애플리케이션 계층 DoS 공격
기출 문제 예시: HTTP 헤더를 아주 천천히 전송하여 서버의 연결을 오래 점유하고 정상 사용자의 접속을 방해하는 공격은?
- ① SYN Flooding
- ② HTTP GET Flooding
- ③ Slowloris ✅
- ④ Smurf
해설: Slowloris는 HTTP 헤더를 매우 느리게, 조금씩 전송하여 서버의 연결을 장시간 점유합니다. 적은 트래픽으로도 서버를 마비시킬 수 있어 탐지가 어렵습니다.
DoS 공격 유형 요약:
- 대역폭 소진형: UDP Flooding, ICMP Flooding
- 연결 자원 소진형: SYN Flooding, Slowloris
- 반사/증폭형: Smurf, DRDoS
- 취약점 이용형: Teardrop(IP 단편화), Land(동일 출발지/목적지)
DoS/DDoS 최종 정리
각 공격의 동작 계층(네트워크/전송/응용)과 원리, 대응 방안을 묶어서 암기하세요. SYN Flooding과 SYN Cookie, Smurf와 브로드캐스트 차단은 짝으로 외워두면 응용 문제에서 빠르게 답을 찾을 수 있습니다.