기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 애플리케이션 계층 공격 공격자는 계층 7 또는 애플리케이션 계층 공격을 사용하여 애플리케이션 자체를 표적으로 삼을 수 있습니다. 이러한 공격에서 공격자는 SYN 플러드 인프라 공격과 마찬가지로 응용 프로그램의 특정 기능에 과부하를 일으켜 합법적인 사용자가 응용 프로그램을 사용할 수 없게 하거나 응답하지 못하게 하려고 합니다. 소량의 네트워크 트래픽만 생성하여 요청 양이 매우 적은 경우에도 이러한 문제가 발생할 수 있습니다. 이로 인해 공격을 탐지하고 완화하기 어려울 수 있습니다. 애플리케이션 계층 공격의 예로는 HTTP 플러드, 캐시 버스팅 공격, - 플러드 등이 있습니다. WordPress XML RPC + *HTTP플러드 공격에서* 공격자는 웹 애플리케이션의 유효한 사용자가 보낸 것으로 보이는 HTTP 요청을 보냅니다. 일부 HTTP 플러드는 특정 리소스를 대상으로 하는 반면, 더 복잡한 HTTP 플러드는 애플리케이션과 사람의 상호 작용을 모방하려고 시도합니다. 이로 인해 요청 속도 제한과 같은 일반적인 완화 기법을 사용하기가 더 어려워질 수 있습니다. + *캐시 무효화 공격은* 쿼리 문자열의 변형을 사용하여 콘텐츠 전송 네트워크 () 캐싱을 우회하는 HTTP 플러드의 일종입니다. CDN 캐시된 결과를 반환하는 대신 모든 페이지 요청을 오리진 서버에 CDN 연결해야 하는데, 이러한 오리진 페치는 애플리케이션 웹 서버에 추가적인 부담을 줍니다. + WordPress핑백 *RPC플러드라고도 하는 WordPress XML - 플러드 공격을* 사용하면 공격자는 콘텐츠 관리 소프트웨어에서 호스팅되는 웹 사이트를 표적으로 삼습니다. WordPress 공격자는 [XML- RPC](https://docs.python.org/3/library/xmlrpc.client.html#%3A~%3Atext%3DXML%2DRPC%20is%20a%20Remote%2Cand%20get%20back%20structured%20data) API 함수를 오용하여 많은 요청을 생성합니다. HTTP 핑백 기능을 사용하면 WordPress (사이트 A) 에서 호스팅되는 웹 사이트가 사이트 A가 WordPress 사이트 B로 연결한 링크를 통해 다른 사이트 (사이트 B) 에 알린 다음 사이트 A를 페치하여 링크의 존재 여부를 확인할 수 있습니다. 핑백 플러드에서 공격자는 이 기능을 악용하여 사이트 B가 사이트 A를 공격하도록 합니다. 이러한 유형의 공격에는 일반적으로 HTTP 요청 헤더의 User-Agent에 `WordPress:` “" 라는 명확한 서명이 있습니다. 애플리케이션의 가용성에 영향을 줄 수 있는 다른 형태의 악성 트래픽도 있습니다. *스크레이퍼 봇은* 웹 애플리케이션에 액세스하여 콘텐츠를 훔치거나 가격과 같은 경쟁 정보를 기록하려는 시도를 자동화합니다. *무차별* 대입 공격 및 *크리덴셜 스터핑* 공격은 애플리케이션의 보안 영역에 무단으로 액세스하기 위해 프로그래밍된 공격입니다. 엄밀히 말하면 이러한 DDoS 공격은 아니지만, 자동화된 특성은 DDoS 공격과 비슷해 보일 수 있으며 이 백서에서 다루는 것과 동일한 모범 사례를 구현하여 공격을 완화할 수 있습니다. 애플리케이션 계층 공격은 Domain Name System (DNS) 서비스를 대상으로 할 수도 있습니다. 이러한 공격 중 가장 흔한 것은 공격자가 여러 개의 올바른 형식의 DNS 쿼리를 사용하여 서버의 리소스를 고갈시키는 *DNS쿼리 폭주입니다*. DNS 이러한 공격에는 공격자가 하위 도메인 문자열을 무작위로 지정하여 특정 확인자의 로컬 캐시를 우회하는 캐시 무효화 구성 요소도 포함될 수 있습니다. DNS 따라서 확인자는 캐시된 도메인 쿼리를 이용할 수 없고 대신 신뢰할 수 있는 서버에 반복적으로 접속해야 하므로 공격이 증폭됩니다. DNS 전송 계층 보안 (TLS) 을 통해 웹 응용 프로그램을 제공하는 경우 공격자는 협상 프로세스를 공격할 수도 있습니다. TLS TLS계산 비용이 많이 들기 때문에 공격자는 읽을 수 없는 데이터 (또는 이해할 수 없는 데이터 (암호문)) 를 합법적인 핸드셰이크로 처리하기 위해 서버에 추가 워크로드를 생성하여 서버의 가용성을 떨어뜨릴 수 있습니다. 이 공격의 변형으로 공격자는 핸드셰이크를 완료하지만 암호화 방법을 계속 재협상합니다. TLS 또는 공격자는 여러 세션을 열고 닫아 서버 리소스를 고갈시키려 할 수도 있습니다. TLS