[DOS/DDOS] TCP SYN Flooding 공격

TCP SYN Flooding 공격

TCP 초기 연결과정(3-Way handshake) 을 이용한 공격으로 다량의 연결 요청을 전송하여 서비스를 중단시키는 공격이다.

공격과정

1. 공격자는 출발지 IP를 유효하지 않은 IP로 위조(IP Spoofing) 하여 공격대상 서버에게 다량의 SYN 요청을 보냄

2. 요청을 받은 서버는 위조된 출발지 IP로 (SYN+ACK) 응답을 보냄 

3. 서버는 Client의 접속을 받아들이기 위해 RAM(메모리) 공간인 백로그(backlog) 큐에 예약상태로 공간을 할당

4. 위조된 IP는 ACK 응답을 서버로 보내지 않음

5. 서버는 Client 로부터 응답이 올 것을 기대하고 RAM에 백로그(backlog) 큐 공간을 계속 할당함

6. 서버의 RAM이 꽉 차게되어 서비스불가 상태가 됨

References

https://www.corero.com/resources/ddos-attack-types/syn-flood.html