SYN 플래드

SYN flood
사용자(Alice)와 서버 간의 일반 연결입니다.3방향 핸드쉐이크가 올바르게 실행됩니다.
SYN 플래드공격자(Mallory)는 몇 개의 패킷을 송신하지만, 서버에 「ACK」를 반송하지 않습니다.따라서 접속이 반쯤 열려 서버 리소스를 소비하고 있습니다.정규 사용자인 Alice가 연결을 시도하지만 서버가 연결 개방을 거부하여 서비스 거부가 발생합니다.

SYN 플래드는 공격자가 접속을 완료하지 않고 서버에 대한 접속을 신속하게 시작하는 서비스 거부 공격의 한 형태입니다.서버는 하프 오픈 접속을 대기하는 데 자원을 소비해야 합니다.이러한 리소스는 시스템이 정당한 [1][2]트래픽에 응답하지 않을 만큼 충분한 자원을 소비할 수 있습니다.

공격자가 송신하는 패킷은SYN패킷: 접속 [3]확립에 사용되는TCP의 3방향 핸드쉐이크의 일부입니다.

기술적 세부사항

클라이언트가 서버에 TCP 접속을 개시하려고 하면, 클라이언트서버는, 통상은 다음과 같이 실행되는 일련의 메세지를 교환합니다.

  1. 클라이언트에 의해 접속이 요구됩니다.SYN(synchronize) 메시지가 표시됩니다.
  2. 서버는 이 요청을 수신확인합니다.SYN-ACK클라이언트로 돌아갑니다.
  3. 클라이언트는 다음과 같이 응답합니다.ACK접속이 확립됩니다.

이것은 TCP 3방향 핸드쉐이크라고 불리며 TCP 프로토콜을 사용하여 확립된 모든 접속의 기초가 됩니다.

SYN 플래드 공격은 예상대로 서버에 응답하지 않음으로써 기능합니다.ACK악성 클라이언트는 단순히 예상된 데이터를 전송하지 못할 수도 있습니다.ACK또는, 의 송신원IP 주소를 스푸핑 하는 것에 의해서,SYN서버가 를 송신하도록 합니다.SYN-ACKIP 주소가 위조되어 있는 경우는, 송신되지 않습니다.ACK그 이유는, 「불편한」이 송신되지 않았기 때문입니다.SYN.

단순한 네트워크 폭주가 누락의 원인이 될 수도 있기 때문에 서버는 한동안 확인 응답을 기다립니다.ACK단, 공격에서는 악의적인 클라이언트에 의해 작성된 하프오픈 접속이 서버상의 자원을 바인드하여 최종적으로 서버에서 사용 가능한 자원을 초과할 수 있습니다.이 시점에서 서버는 합법적이든 그렇지 않든 어떤 클라이언트에도 접속할 수 없습니다.이는 합법적 클라이언트에 대한 서비스를 사실상 거부합니다.이러한 방법으로 다른 운영 체제 기능에 리소스가 부족하면 일부 시스템이 오작동하거나 충돌할 수도 있습니다.

대책

RFC 4987에는 다음과 같은 기존의 대응책이 다수 기재되어 있습니다.

  1. 필터링
  2. 잔량 증가
  3. SYN 수신 타이머 감소
  4. 가장 오래된 하프 오픈 TCP 재활용
  5. SYN 캐시
  6. SYN 쿠키
  7. 하이브리드 어프로치
  8. 방화벽 및 프록시

「 」를 참조해 주세요.

레퍼런스

  1. ^ "CERT Advisory CA-1996-21 TCP SYN Flooding and IP Spoofing Attacks" (PDF). Carnegie Mellon University Software Engineering Institute. Archived from the original on 2000-12-14. Retrieved 18 September 2019.
  2. ^ 1996년 9월 14일 뉴욕타임즈, 해커 공격으로 뉴욕 패닉스 서비스 마비
  3. ^ "What is a DDoS Attack?". Cloudflare.com. Cloudflare. Retrieved 4 May 2020.

외부 링크