DoS 공격 유형

1. Smurf Attack

• 개념: 공격자가 ICMP Echo Request(ping)을 네트워크의 브로드캐스트 주소로 전송하면서, 출발지 IP를 피해자의 IP로 위조함. 이때 브로드캐스트 주소는 네트워크 내 모든 장비에게 메시지를 전파하는 주소이다.
• 결과: 브로드캐스트된 네트워크에 있는 **모든 호스트가 피해자의 IP로 ping 응답(Echo Reply)**을 보내게 되며, 그 결과로 피해자에게 수많은 응답이 한꺼번에 몰려들어 시스템 또는 네트워크가 과부하됨.
• 유형: 반사(reflection)형 공격. 공격자가 직접 공격하지 않고, 제3자를 이용해 공격을 유도하는 방식이다.

---

2. Ping of Death

• 개념: ICMP 패킷, 즉 ping 요청은 일반적으로 최대 65,535바이트까지만 허용되는데, 공격자는 이보다 더 큰 크기의 패킷을 조각(fragment) 내어 전송한 후, 대상 시스템이 이를 재조립하는 과정에서 버퍼 오버플로우를 유발하도록 만든다.
• 결과: 시스템은 과도한 크기의 데이터를 처리하는 데 실패하면서 오동작, 다운, 또는 재부팅과 같은 현상을 일으킬 수 있다.
• 현황: 현대의 운영체제 및 네트워크 장비는 이러한 유형의 비정상적인 크기의 ICMP 요청을 차단하거나 정상적으로 처리할 수 있도록 보완되어 있는 경우가 많다.

---

3. Land Attack

• 개념: 공격자가 전송하는 패킷의 출발지와 목적지 IP 주소 및 포트를 동일하게 설정하여 대상 시스템에 보낸다. 즉, 시스템이 자기 자신에게 연결 요청을 보내는 형태가 된다.
• 결과: 시스템은 스스로에게 응답을 하려고 시도하면서, 일부 TCP/IP 스택이 이 상황을 제대로 처리하지 못해 과부하 또는 시스템 다운으로 이어질 수 있다.
• 유형: 비교적 단순한 구조의 공격이지만, 취약한 네트워크 프로토콜 구현을 악용하는 대표적인 사례 중 하나이다.

---

4. Teardrop Attack

• 개념: 공격자가 IP 패킷을 조각(fragment)으로 나누어 전송하되, 각 조각의 오프셋(offset) 값이 비정상적이거나 중복되도록 조작한다. 오프셋은 각 조각이 전체 데이터의 어느 부분에 해당하는지를 알려주는 값이다.
• 결과: 대상 시스템은 이러한 비정상적인 오프셋 정보를 가진 조각들을 조립하려다 메모리 오류 또는 시스템 충돌을 일으킬 수 있다.
• 현황: 오래된 운영체제에서 주로 문제가 되었으며, 최신 시스템에서는 대부분 보완되어 있다.

---

5. SYN Flooding

• 개념: TCP 연결에는 세 단계의 절차(3-way 핸드셰이크)가 필요하다. 먼저 클라이언트가 SYN 패킷을 보내고, 서버는 SYN-ACK으로 응답한 뒤, 클라이언트가 ACK로 응답하면서 연결이 완료된다. 공격자는 이 중 SYN 요청만 반복적으로 보내고, 최종 ACK는 보내지 않는다.
• 결과: 서버는 클라이언트의 ACK를 기다리며 리소스를 일정 시간 점유하게 되는데, 이러한 미완성 연결 요청이 반복되면 서버의 연결 대기 큐가 가득 차 정상적인 사용자가 접속할 수 없게 된다.
• 대응: SYN cookies, 연결 타임아웃 조정, 방화벽 설정 등을 통해 일정 수준까지는 방어가 가능하다.

---

6. UDP Flooding

• 개념: 공격자는 임의의 포트에 대해 대량의 UDP 패킷을 전송한다. UDP는 비연결형 프로토콜이라 수신자가 응답을 보내는 방식이 TCP와 다르다.
• 결과: 수신 측에서는 요청을 받은 포트가 열려있지 않은 경우, ICMP "Destination Unreachable" 메시지를 생성하게 되며, 이 과정에서 불필요한 자원 소모가 발생한다. 이 응답 처리 비용이 누적되면 대상 시스템은 과부하에 걸릴 수 있다.
• 유형: 네트워크 대역폭 또는 시스템 리소스를 고갈시키는 단순하지만 효과적인 공격 방식이다.

---

7. Ping Flooding (ICMP Flooding)

• 개념: 공격자가 대상에게 **대량의 ICMP Echo Request(ping)**를 보내는 공격이다. ICMP는 네트워크 상태 확인용 프로토콜로, 상대가 응답을 보내도록 설계되어 있다.
• 결과: 대상 시스템은 수많은 ping 요청에 대한 응답(Echo Reply)을 처리하느라 CPU, 메모리 등의 자원을 지나치게 소모하게 되며, 결국 정상적인 서비스 제공이 어려워질 수 있다.
• 전제 조건: 공격자가 대상보다 더 많은 네트워크 대역폭이나 처리 성능을 확보하고 있어야 효과적이다.