용어집: 사이버 보안 용어 및 정의

SYN 플러드 공격이란?

SYN 플러드는 TCP SYN 플러드라고도 불리며, 대량의 SYN 요청을 서버에 전송하여 열려 있는 연결로 서버를 압도하는 서비스 거부(DoS) 또는 분산 서비스 거부(DDoS) 공격의 한 유형입니다.

SYN 플러드란 무엇인가?

SYN 플러딩은 반개방 공격이라고도 불리며, 해당 확인에 응답하지 않고 연결 요청으로 서버를 폭격하는 네트워크 계층 공격입니다. 이로 인해 많은 수의 열린 TCP 연결이 서버 리소스를 소모하여 합법적인 트래픽을 근본적으로 밀어내고, 새로운 합법적인 연결을 여는 것이 불가능해지고 이미 연결된 권한이 있는 사용자의 경우 서버가 올바르게 기능하는 것이 어렵거나 불가능해집니다.

SYN 플러드 완화가 중요한 이유는 무엇입니까?

사실상 대중에게 공개되는 웹사이트를 갖춘 모든 조직은 이러한 유형의 공격에 취약합니다. SYN 플러드를 신속하게 감지하여 해결하지 않으면 서버가 급격히 과부하 상태에 빠져 서버 응답이 크게 느려지고 다른 연결이 차단될 수 있습니다. 이렇게 하면 서버가 오프라인 상태가 되어 합법적인 사용자는 서비스를 받지 못하고 애플리케이션과 데이터에 액세스할 수 없게 되거나 전자 상거래가 방해를 받게 됩니다. 그 결과로 사업 연속성 상실, 중요 인프라 중단, 매출 감소 또는 평판 손상이 발생할 수 있습니다. 의료 산업 등 일부 조직의 경우, 데이터 접근 권한 상실로 인한 피해는 생명에 위협이 될 수 있습니다.

F5 Labs의 연구에 따르면 SYN 플러드는 매년 가장 흔한 유형의 볼륨형 DoS 공격 중 하나입니다. 이러한 공격은 랜섬웨어 공격이나 데이터 훔치기, 악성 코드 설치 등 다른 유형의 공격과 함께 사용되거나 이를 감추기 위한 연막막으로 사용될 수 있습니다.

SYN 플러딩은 어떻게 작동하나요?

모든 클라이언트-서버 대화는 표준화된 3자 핸드셰이크로 시작됩니다. 클라이언트가 SYN 패킷을 보내고, 서버는 SYN-ACK로 응답하여 TCP 연결이 설정됩니다. SYN 플러드 공격에서 클라이언트는 엄청난 수의 SYN 요청을 보내고 의도적으로 서버의 SYN-ACK 메시지에 응답하지 않습니다.

이렇게 되면 서버는 클라이언트와의 추가 통신을 기다리며 열린 연결을 유지하게 됩니다. 각각은 서버의 TCP 연결 테이블에서 추적되어 결국 테이블을 채우고 모든 소스에서 더 이상의 연결 시도를 차단합니다. 사업 연속성과 데이터 접근이 손실됩니다.

SYN 플러딩은 스푸핑된 IP 주소에서 연결하는 봇에 의해 자주 발생하며, 공격을 식별하고 완화하기 어렵게 만듭니다. 봇넷은 분산 서비스 거부(DDoS) 공격 으로 SYN 플러드를 실행할 수 있습니다.

F5는 SYN 플러드 공격을 어떻게 완화합니까?

F5 DDoS 보호 솔루션은 네트워크에 대한 공격으로 인해 서버와 앱 계층이 마비되거나 더 나쁜 경우 중단되어 고객이 떠나는 것을 방지하는 데 도움이 됩니다. 당사 솔루션은 SYN 플러드 공격이 발생할 수 있다는 것을 인식하고, 보호된 네트워크에 합법적인 연결이 액세스하도록 허용하면서 연결 테이블을 보호하기 위한 완화 조치를 취합니다. 이러한 유형의 방어 수단을 사용하면 공격자의 SYN 요청에 응답이 오므로 공격이 효과가 있다고 생각하지만, 유효한 연결 요청만 연결 테이블에 슬롯을 유지하기 때문에 연결 테이블은 결코 용량에 도달하지 않습니다.