서비스 거부 (Denial of Service, DoS) 공격

16. 서비스 거부 (Denial of Service, DoS) 공격

16.1. DoS 개요

DoS 공격은 서비스 거부 공격으로, 공격자가 정상적인 사용자 트래픽을 방해하거나, 시스템 자원을 소진시키기 위해 서버에 과도한 요청을 보내는 방식입니다. 이 공격은 서버의 처리 능력이나 네트워크 대역폭을 고갈시켜 정상적인 사용자가 서비스를 이용할 수 없게 만듭니다.

일반적으로 DoS 공격은 단일 공격자에 의해 발생하는 반면, DDoS (Distributed Denial of Service) 공격은 여러 공격자들이 분산되어 대규모로 공격을 감행합니다.

16.2. DoS 공격 예시

1. 단순 트래픽 과부하예시: 수천 번의 HTTP 요청을 동일한 서버에 보내서 서버의 리소스를 소진시키는 공격입니다.
2. 가장 기본적인 DoS 공격은 서버에 과도한 요청을 보내는 것입니다. 예를 들어, 무한 루프나 너무 큰 요청을 서버에 보내서 자원 (메모리, CPU 등)을 고갈시키는 방식입니다.
3. 정교한 DoS 공격 - 자원 소모를 최적화한 공격
4. 예시:

curl -X POST http://victim.com/api/large_request -d "data=....."

1. 공격자는 더 정교한 방법을 사용하여 서버의 취약한 부분을 공략하거나, 특정 리소스만 소모하게 할 수 있습니다. 예를 들어, 복잡한 SQL 쿼리를 보내 서버의 DB 자원을 고갈시키거나, 파일 시스템에 과도한 요청을 보내 시스템을 멈추게 할 수 있습니다.
2. UDP Flood 공격
3. 예시:

hping3 --udp -p 80 --flood victim.com

1. UDP 프로토콜을 사용해 대량의 요청을 보내 서버를 마비시키는 공격입니다. UDP는 연결 지향적이지 않기 때문에, 서버가 패킷을 처리하는 데 과도한 자원을 사용하게 됩니다.

16.3. DoS 공격의 영향

• 서비스 중단: 서버나 네트워크 자원이 고갈되어 서비스가 중단됩니다. 이는 웹 애플리케이션, 데이터베이스 서버, API 서버 등 모든 서비스에 영향을 미칠 수 있습니다.
• 비즈니스 손실: 서비스가 마비되면 고객의 서비스 이용이 불가능해지고, 기업의 신뢰성에 손상을 줄 수 있습니다.
• 리소스 소모: 공격자는 서버 자원, 네트워크 대역폭을 과도하게 소모시켜서, 실제 사용자가 정상적으로 서비스를 이용하지 못하게 만듭니다.

16.4. DoS 공격 방어 방법

트래픽 필터링 및 제한

• 트래픽 필터링을 통해, 비정상적인 요청 패턴이나 너무 많은 요청을 차단합니다. 예를 들어, **레이트 리미팅 (Rate Limiting)**을 적용해 한 사용자에게서 들어오는 요청을 제한할 수 있습니다.
• 예시: 한 IP에서 너무 많은 요청이 들어오는 경우 차단

const rateLimit = (req, res, next) => {
  const ip = req.ip;
  if (isRateLimited(ip)) {
    return res.status(429).send('Too many requests');
  }
  next();
}

1. 방화벽 및 IP 차단
   • DoS 공격이 특정 IP 주소에서 발생하는 경우, 방화벽을 사용하여 악의적인 트래픽을 차단할 수 있습니다. iptables와 같은 도구를 사용하여 특정 IP를 차단할 수 있습니다.
   예시: iptables를 사용하여 특정 IP 차단

sudo iptables -A INPUT -s <attacker_ip> -j DROP

1. 클라우드 기반 DoS 보호 서비스 사용
   • 클라우드 기반 보안 서비스(예: Cloudflare, AWS Shield)를 사용하여 DoS 및 DDoS 공격에 대응할 수 있습니다. 이러한 서비스는 트래픽을 분석하고, 의심스러운 트래픽을 차단하거나, 트래픽을 분산시켜 서버를 보호합니다.
   • Cloudflare와 같은 서비스는 DoS 공격을 자동으로 감지하고 대응할 수 있습니다.
2. 웹 애플리케이션 방화벽 (WAF) 사용
   • WAF는 웹 애플리케이션에 대한 악의적인 요청을 감지하고 차단하는 도구입니다. WAF를 사용하여 SQL 인젝션, 크로스 사이트 스크립팅(XSS) 외에도 DoS 공격을 필터링할 수 있습니다.
3. 서버 리소스 모니터링
   • 서버의 리소스를 실시간으로 모니터링하여 비정상적인 자원 소모가 감지되면 즉시 대응할 수 있도록 합니다. CPU 사용량, 메모리 사용량, 네트워크 대역폭을 모니터링하여 DoS 공격을 감지할 수 있습니다.
4. 최적화된 코드와 서버 설정
   • 애플리케이션 코드나 서버 설정에서 비효율적인 요청 처리를 최적화하여 공격자가 서버 자원을 소모하는 것을 방지합니다. 예를 들어, 쿼리 성능을 최적화하고, 캐싱을 사용하여 서버의 부하를 줄일 수 있습니다.
5. CAPTCHA 적용
   • CAPTCHA를 적용하여 사용자가 실제로 사람이 맞는지 확인하는 방법을 사용합니다. 이 방법은 자동화된 DoS 공격에 대한 방어가 가능합니다.
   예시: 로그인 페이지에 CAPTCHA 추가

<form action="/login" method="POST">
  <label for="username">Username:</label>
  <input type="text" id="username" name="username">
  <label for="password">Password:</label>
  <input type="password" id="password" name="password">
  <div class="g-recaptcha" data-sitekey="your-site-key"></div>
  <button type="submit">Login</button>
</form>

1. 분산형 시스템 설계
   • 서비스가 고도로 분산형 아키텍처를 채택하면 서버가 과부하되는 것을 막을 수 있습니다. 여러 서버에 요청을 분산시키고, 로드 밸런싱을 통해 서비스가 마비되지 않도록 합니다.

16.5. DDoS (분산 서비스 거부) 방어

DDoS (Distributed Denial of Service) 공격은 여러 공격자가 동시에 다양한 경로로 공격을 시도하는 공격입니다. 이 공격은 하나의 서버가 아닌 분산된 네트워크에서 발생하므로 방어가 더 어렵습니다. DDoS 공격 방어를 위해서는 클라우드 보안 서비스나 대규모 트래픽을 처리할 수 있는 서버 리소스가 필요합니다.

• DDoS 방어 네트워크 (Cloudflare, AWS Shield, Akamai 등): DDoS 공격을 분산시키거나, 대규모 트래픽을 처리할 수 있도록 지원하는 서비스를 사용합니다.

16.6. 결론

서비스 거부(DoS) 공격은 웹 애플리케이션과 서버에 심각한 가용성 문제를 초래할 수 있습니다. 이 공격에 대한 방어를 위해서는 트래픽 모니터링, 서버 최적화, 클라우드 보안 서비스와 같은 다양한 방법을 활용해야 합니다. 또한, DDoS 공격에 대비해 전문적인 방어 솔루션을 도입하는 것이 중요합니다.

DoS 공격에 대한 방어를 체계적으로 구축하면, 서비스의 안정성과 비즈니스 연속성을 유지하는 데 큰 도움이 됩니다.