기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 인프라 계층 공격
<a name="infrastructure-layer-attacks"></a>

 *가장 일반적인 DDoS 공격인 사용자 데이터그램 프로토콜 (UDP) 반사 공격과 SYN 플러드는 인프라 계층 공격입니다.* 공격자는 이러한 방법 중 하나를 사용하여 대량의 트래픽을 생성하여 네트워크 용량을 폭주시키거나 서버, 방화벽, 침입 방지 시스템 () 또는 로드 밸런서와 같은 시스템의 리소스를 제한할 수 있습니다. IPS 이러한 공격은 식별하기 쉽지만 효과적으로 방어하려면 인바운드 트래픽 플러드보다 더 빠르게 용량을 확장할 수 있는 네트워크나 시스템이 있어야 합니다. 이러한 추가 용량은 공격 트래픽을 필터링하거나 흡수하여 시스템과 애플리케이션이 합법적인 고객 트래픽에 대응할 수 있도록 하는 데 필요합니다.

# UDP리플렉션 공격
<a name="udp-reflection-attacks"></a>

 UDP리플렉션 UDP 공격은 스테이트리스 프로토콜이라는 사실을 악용합니다. 공격자는 공격 대상의 IP 주소를 UDP 원본 IP 주소로 나열하는 유효한 UDP 요청 패킷을 만들 수 있습니다. 공격자는 이제 요청 패킷의 소스 IP를 위조하여 스푸핑했습니다UDP. UDP패킷에는 스푸핑된 소스 IP가 포함되어 있으며 공격자는 패킷을 중간 서버로 보냅니다. 서버는 속아 공격자의 IP 주소로 돌아가지 않고 표적이 된 피해자 IP로 UDP 응답 패킷을 보내도록 속입니다. 중간 서버가 사용되는 이유는 요청 패킷보다 몇 배 더 큰 응답을 생성하여 대상 IP 주소로 전송되는 공격 트래픽의 양을 효과적으로 증폭시키기 때문입니다.

 증폭 요소는 요청 크기에 대한 응답 크기의 비율이며, 공격자가 사용하는 프로토콜 (), 네트워크 시간 프로토콜 ()DNS, 단순 서비스 디렉터리 프로토콜 (NTP), 무연결 경량 디렉터리 액세스 프로토콜 (SSDP), [Memcached](https://memcached.org/), Character Generator Protocol (CharGen) 또는 Quote of the day (QOTD) 에 따라 달라집니다. CLDAP 

 예를 들어 의 증폭 인자는 원래 바이트 수의 28\$154배일 DNS 수 있습니다. 따라서 공격자가 64바이트의 요청 페이로드를 DNS 서버로 보내는 경우 공격 대상에게 3400바이트가 넘는 원치 않는 트래픽을 생성할 수 있습니다. UDP리플렉션 공격은 다른 공격에 비해 트래픽 양이 더 많습니다. 다음 그림은 반사 전략과 증폭 효과를 보여줍니다.

![\[리플렉션 공격을 묘사한 다이어그램 UDP\]](http://docs.aws.amazon.com/ko_kr/whitepapers/latest/aws-best-practices-ddos-resiliency/images/udp-reflection-attack.png)


 참고로 리플렉션 공격은 공격자에게 “무료” 증폭을 제공하기는 하지만 IP 스푸핑 기능을 필요로 하고, Source Address Validation Everywhere (SAVE) 를 채택하는 네트워크 제공자의 수가 늘어남에 따라 이 기능이 제거되면서 DDoS 서비스 제공업체는 리플렉션 공격을 중단하거나 소스 주소 검증을 구현하지 않는 데이터 센터 및 네트워크 제공자로 재배치해야 합니다. [BCP38](https://www.ietf.org/rfc/bcp/bcp38.html) 

# SYN플러드 공격
<a name="syn-flood-attacks"></a>

 사용자가 웹 서버와 같은 전송 제어 프로토콜 (TCP) 서비스에 연결하면 클라이언트가 SYN 패킷을 보냅니다. 서버가 동기화 승인 (SYN-ACK) 패킷을 반환하고, 마지막으로 클라이언트는 확인 () 패킷으로 응답하여 예상된 3방향 핸드셰이크를 완료합니다. ACK 다음 이미지는 이러한 일반적인 핸드셰이크를 보여줍니다.

![\[3방향 핸드셰이크를 SYN 나타내는 다이어그램\]](http://docs.aws.amazon.com/ko_kr/whitepapers/latest/aws-best-practices-ddos-resiliency/images/syn-three-way-handshake.png)


 SYN플러드 공격에서 악의적인 클라이언트는 대량의 SYN 패킷을 보내지만 핸드셰이크를 완료하기 위해 최종 ACK 패킷을 보내지는 않습니다. 서버는 반쯤 열린 TCP 연결에 대한 응답을 기다리게 되며, 결국 타겟이 새 연결을 받아들일 수 있는 용량이 부족해져 새 TCP 사용자가 서버에 연결할 수 없게 된다는 것이 관건이지만, 실제 영향은 미미합니다. 최신 운영 체제는 모두 플러드 SYN 공격으로 인한 상태 테이블 고갈에 대응하기 위한 메커니즘으로 기본적으로 쿠키를 구현합니다. SYN SYN대기열 길이가 미리 정해진 임계값에 도달하면 서버는 대기열에 항목을 만들지 않고 조작된 초기 시퀀스 번호가 ACK 포함된 SYN -로 응답합니다. SYN 그러면 서버가 올바르게 증가된 확인 번호가 ACK 포함된 메시지를 수신하면 해당 항목을 상태 테이블에 추가하고 정상적으로 작업을 진행할 수 있습니다. SYN플러드가 대상 장치에 미치는 실제 영향은 네트워크 용량 및 CPU 고갈인 경향이 있지만 방화벽 (또는 EC2 보안 그룹 [연결 추적) 과 같은 중간 상태 저장 장치는 상태 테이블을 고갈시키고 새 연결을 끊을](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) 수 있습니다. TCP 

# TCP미들박스 리플렉션
<a name="tcp-middlebox-reflection"></a>

 비교적 새로운 공격 경로는 2021년 8월에 발표된 [학술 백서에 처음 공개되었습니다. 이 백서에서는](https://www.usenix.org/system/files/sec21fall-bock.pdf) 국가 방화벽과 상용 방화벽 모두에서 TCP 규정을 준수하지 않을 경우 이러한 방화벽이 어떻게 이러한 방화벽을 속여 증폭 매개체로 작용할 수 있는지를 설명했습니다. TCP 이러한 공격은 2022년 초부터 “야생에서” 발생했으며 오늘날에도 계속 목격되고 있습니다. 이 “기능”을 구현한 공급업체의 다양한 방식에 따라 증폭 요인은 다르지만 Memcached UDP 증폭을 넘어설 수 있습니다.