DDoS(Distributed Denial of Service) 공격은 다수의 시스템을 동원해 특정 서버나 네트워크를 과부하 상태로 만드는 사이버 공격입니다. 본 글에서는 DDoS 공격의 원리를 이해하고, 이를 효과적으로 방어하는 방법을 알아봅니다.
DDoS 공격의 주요 유형
DDoS 공격은 크게 세 가지로 분류됩니다.
- 볼류메트릭 공격 (Volumetric Attack): 대용량 트래픽으로 대역폭을 포화시킵니다. UDP Flood, ICMP Flood 등이 해당됩니다.
- 프로토콜 공격 (Protocol Attack): 네트워크 프로토콜의 취약점을 이용합니다. SYN Flood, Ping of Death 등이 포함됩니다.
- 애플리케이션 레이어 공격 (Application Layer Attack): HTTP 요청을 대량으로 보내 서버 자원을 고갈시킵니다.
SYN Flood 공격 원리 이해
SYN Flood는 TCP 3-way handshake 과정을 악용합니다. 공격자는 수많은 SYN 패킷을 보내지만 ACK 응답을 보내지 않아 서버의 연결 테이블을 고갈시킵니다. 이로 인해 정상적인 사용자가 서버에 접속하지 못하게 됩니다.
DDoS 공격 탐지 방법
DDoS 공격이 발생하면 다음과 같은 징후가 나타납니다.
- 비정상적인 트래픽 급증
- 서버 CPU/메모리 사용률 급상승
- 특정 IP 대역에서 반복적인 요청 집중
- 서비스 응답 지연 또는 타임아웃 급증
서버에서 netstat -an | grep SYN_RECV 명령으로 비정상적인 SYN 연결 대기 상태를 확인할 수 있습니다.
DDoS 방어 전략
효과적인 DDoS 방어를 위해 다음 방법들을 적용할 수 있습니다.
- SYN Cookie 활성화: Linux에서
sysctl -w net.ipv4.tcp_syncookies=1로 SYN Flood 방어 - Rate Limiting: 단일 IP에서의 요청 수를 제한하여 과부하 방지
- CDN 활용: Cloudflare 등 CDN을 통해 트래픽을 분산
- 방화벽 규칙 설정: iptables나 클라우드 WAF로 비정상 트래픽 차단
- Anycast 네트워크: 트래픽을 여러 서버에 분산하여 단일 지점 장애 방지
- DDoS 방어 서비스: AWS Shield, Cloudflare Magic Transit 등 전문 서비스 활용
자체 서버 DDoS 방어 설정 예시
Linux 서버에서 기본적인 DDoS 방어를 위한 커널 파라미터 설정입니다.
# SYN Cookie 활성화
net.ipv4.tcp_syncookies = 1
# SYN backlog 증가
net.ipv4.tcp_max_syn_backlog = 2048
# TIME_WAIT 소켓 재사용
net.ipv4.tcp_tw_reuse = 1
# 연결 유지 시간 조정
net.ipv4.tcp_keepalive_time = 300위 설정을 /etc/sysctl.conf에 추가하고 sysctl -p로 적용하세요.
마치며
DDoS 공격은 사전 예방과 빠른 대응이 핵심입니다. 클라우드 기반 방어 서비스를 적극 활용하고, 서버 모니터링 시스템을 구축하여 이상 징후를 조기에 감지하는 것이 중요합니다. 정기적인 보안 점검과 인프라 강화로 안전한 서비스 운영을 유지하세요.
![ApoorvCTF 2025 – [AI] Pokédex Neural Network Write Up](https://redchupa.com/wp-content/uploads/2026/04/20250304_1638_32.png "ApoorvCTF 2025 - [AI] Pokédex Neural Network Write Up 3")
