SYN Flooding
반쯤 열린 TCP 연결을 많이 만들어 서버 연결 큐와 자원을 고갈시킵니다.
SYN Cookie, rate limit
DoS/DDoS 유형별 증상과 완화
서비스 거부 공격은 자원을 고갈시키는 위치와 트래픽 출처 분산 여부로 구분합니다.
UDP·ICMP·Smurf Flood
대량 패킷으로 회선과 장비 자원을 소모하며 반사 주소를 악용할 수 있습니다.
ACL, Blackhole, Sinkhole
Reflection과 DRDoS
출발지 IP를 피해자로 위조해 제3의 서버 응답을 피해자에게 몰아줍니다.
Amplification factor
HTTP Flood와 Slow HTTP
정상처럼 보이는 요청이나 느린 연결로 웹 서버 스레드와 세션을 소모합니다.
WAF, CDN, Anycast
DoS와 DDoS출처가 단일·제한적인지 다수 분산인지 먼저 구분합니다.
완화 장비Scrubbing Center, CDN, Anycast는 대량 트래픽 분산에
연결합니다.
증상 근거공격명만 쓰지 말고 연결 수, 대역폭, 요청 패턴을 근거로
남깁니다.
DDoS 답안은 공격명보다 고갈되는 자원과 완화 지점을 한 쌍으로 써야 근거가 선명합니다.