[네트워크] SYN Flooding

SYN Flooding

- TCP 3-way-handshake의 취약점을 이용한 DOS 공격 방식

- 두번째 패킷 전송(SYN + ACK) 후 서버는 클라이언트에 ACK를 받기 전까지 연결 요청을 백로그 큐에 저장

- 공격자는 첫번째 패킷(SYN)만 계속 전송해 백로그 큐를 가득 차게 만들어 서버가 더이상 요청을 받아들일 수 없도록 함

 

1) 공격 방식

(1) 공격자는 SYN 패킷만을 계속 전송

(2) 서버는 해당 요청을 백로그 큐에 저장

(3) 백로그 큐가 가득 차게 되면 서버는 더이상 요청을 받아들일 수 없게 됨

 

2) 방어 방법

(1) Backlog Queue 사이즈 확장

- 백로그 큐의 사이즈 확장

- 임시 방편

 

(2) TCP Connection timeout

- 타임아웃 시간을 짧게 잡아 백로그 큐를 계속해서 비워주는 방법

- 일반 응답시간이 느린 요청도 거부할 수 있음

 

(3) SYN Cookie

- 방화벽 단에서 SYN를 먼저 받고, SYN Cookie를 포함한 SYN+ACK를 보내는 방법

- 정상적인 응답 패킷이 돌아오지 않는다면, 방화벽에서 차단