SYN Flood란?

1. SYN Flood란?

SYN Flood는 TCP 연결 과정에서 발생하는 취약점을 악용하여 서버의 연결 자원을 소진시키는 DDoS(Distributed Denial of Service) 공격 방식입니다.
TCP 연결 과정에서 SYN 패킷을 지속적으로 전송하고, 정상적인 ACK 응답을 보내지 않음으로써 서버의 연결 요청을 과부하 상태로 만들어 서비스 거부 상태를 유발합니다.

이 공격 방식은 적은 트래픽만으로도 서버의 자원을 빠르게 고갈시키기 때문에 매우 효과적인 공격 기법으로 알려져 있습니다.

 

2. SYN Flood의 역할

SYN Flood는 네트워크와 서버의 가용성을 방해하여 서비스 운영을 마비시키는 것이 주된 목적입니다.

 

  1. 서버의 연결 자원 고갈

• 지속적인 SYN 요청을 보내 서버가 SYN-ACK 응답을 보내도록 하면서 대기 상태를 유지하도록 만듭니다.

  2. 네트워크 트래픽 과부하 발생

• 서버가 많은 연결을 유지하려고 시도하면서 네트워크 리소스를 소진하게 됩니다.

  3. 정상적인 사용자 접근 차단

• 서버가 과부하 상태가 되어 정상적인 사용자의 요청을 처리하지 못하게 됩니다.

 

3. SYN Flood의 동작 방식

SYN Flood는 TCP 3-Way Handshake(3단계 핸드셰이크) 과정을 악용하는 방식으로 동작합니다.

1. 공격자가 서버에 다량의 SYN 패킷을 전송합니다.
2. 서버는 SYN-ACK 패킷을 응답하여 연결을 대기 상태로 유지합니다.
3. 공격자는 ACK 패킷을 보내지 않거나, IP 주소를 위조하여 서버가 대기 상태를 계속 유지하게 만듭니다.
4. 서버는 일정 시간 동안 대기하면서 리소스를 점유하고, 연결 요청이 많아질수록 더 많은 리소스가 소모됩니다.
5. 결과적으로 정상적인 사용자의 요청을 처리하지 못하고, 서비스가 중단될 수 있습니다.

 

4. SYN Flood의 주요 유형

공격 유형	설명
Direct SYN Flood	단일 IP에서 다량의 SYN 패킷을 지속적으로 전송하는 방식
Spoofed SYN Flood	발신 IP를 위조하여 여러 IP에서 SYN 요청을 보내는 방식
Reflected SYN Flood	중간 장치를 이용해 SYN 패킷을 반사시켜 공격하는 방식
Distributed SYN Flood	다수의 봇넷을 이용하여 SYN 패킷을 동시에 전송하는 방식

 

5. SYN Flood의 장점과 단점

장점	단점
적은 트래픽만으로도 효과적인 공격 가능	방화벽 및 보안 장비로 차단 가능
익명성을 유지하면서 공격 수행 가능	패킷 분석을 통해 감지될 가능성 존재
기존의 TCP 프로토콜을 악용하므로 탐지가 어려울 수 있음	보안 솔루션이 발전하면서 차단 기술이 개선됨

 

6. SYN Flood 공격과 다른 DDoS 공격 비교

비교 항목	SYN Flood	UDP Flood	ICMP Flood (Ping Flood)
공격 방식	TCP 연결을 유지하여 서버 자원 소진	대량의 UDP 패킷 전송	Ping 요청을 대량 전송
대상	TCP 서버	네트워크 장비	네트워크 전체
피해 유형	서버 연결 과부하	네트워크 트래픽 증가	네트워크 대역폭 소모
방어 방법	SYN 쿠키, 타임아웃 설정	UDP 차단, 트래픽 제한	ICMP 제한, 방화벽 설정

 

7. SYN Flood 방어 및 대응 방법

1. SYN 쿠키(SYN Cookie) 적용

• 서버가 SYN 요청을 받을 때 실제로 연결을 생성하지 않고, 클라이언트가 다시 응답할 경우에만 연결을 확정하는 방식입니다.

2. 타임아웃 값 조정

• 연결 대기 시간을 줄여서 불필요한 리소스 점유를 최소화할 수 있습니다.

3. 방화벽 및 IDS/IPS 활용

• 침입 탐지 및 방어 시스템(IDS/IPS)을 이용하여 SYN Flood 공격을 차단할 수 있습니다.

4. 패킷 필터링 및 속도 제한

• 특정 패턴의 SYN 패킷을 감지하여 차단하고, SYN 요청 속도를 제한할 수 있습니다.

5. 리미트 기반 연결 제한

• 일정 시간 내에 특정 IP에서 들어오는 SYN 요청을 제한하여 공격을 방어할 수 있습니다.

 

8. SYN Flood를 사용할 때 고려할 요소

1. 공격 감지 및 모니터링

• 네트워크 트래픽을 분석하고, 비정상적인 SYN 요청 패턴을 감지하는 것이 중요합니다.

2. 보안 장비의 최신 업데이트 유지

• 최신 보안 패치를 적용하여 보안 장비가 SYN Flood 공격을 효과적으로 차단할 수 있도록 해야 합니다.

3. 서버 리소스 관리

• 서버의 연결 대기 시간을 최적화하고, 비정상적인 연결을 빠르게 해제할 수 있도록 설정해야 합니다.

 

 정리

1. SYN Flood는 TCP 3-Way Handshake 과정을 악용하여 서버의 연결 자원을 소진시키는 DDoS 공격 방식으로, 대량의 SYN 요청을 보내 서버를 과부하 상태로 만든다.
2. SYN Flood 공격 방식은 Direct SYN Flood, Spoofed SYN Flood, Reflected SYN Flood, Distributed SYN Flood 등으로 나뉘며, IP 위조와 봇넷을 활용하는 경우도 많다.
3. SYN Flood를 방어하기 위해 SYN 쿠키 적용, 타임아웃 값 조정, 방화벽 및 IDS/IPS 설정, 패킷 필터링 등의 대응 방법을 활용해야 한다.