새로운 형태의 디도스 공격 발견

‘Tsunami SYN Flood Attack’ 패킷당 1000bytes의 트래픽 유발

일반적인 SYN 패킷 25배 크기로 패킷 데이터양 추가해 공격

[보안뉴스 민세아] 최근 디도스 솔루션 보안업체 라드웨어에서 DDoS(Distributed Denial of Service) 공격의 새로운 유형인 ‘Tsunami SYN Flood Attack’을 발견했다. 이 업체의 Emergency Response Team(ERT)는 48시간 동안 대량의 공격을 탐지했다.

▲공격대상별 공격비율

이번 Tsunami SYN-Flood Attack은 주로 ISP나 게임 회사의 데이터센터를 공격했으며 4~5Gbps의 공격이 발생했다. 기존 SYN flood Attack은 패킷당 40~60bytes의 트래픽을 유발하는데 반해 Tsunami SYN-Flood Attack은 패킷당 1000bytes의 트래픽을 유발한다.

일반적으로 SYN 패킷은 TCP 3way handshake 과정에서 생성되는 메시지이며 해커들은 일반적인 SYN 패킷에 25배(최대 1000bytes)의 크기로 패킷 데이터양을 추가하는 방식으로 공격을 수행한다.

라드웨어 영국지사의 Crawley는 “공격을 위해 봇넷(Botnet)을 이용했으나 공격자들은 트래픽이 발생하는 기계를 완벽히 제어할 수 없었다”며, “더 많은 봇(bots)을 트래픽에 덧붙여 공격한다”고 설명했다.

이와 관련 보다 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터 홈페이지를 참고하거나 아래의 출처를 확인하면 된다.

[출처]

1. http://itsecuritynews.info/2014/10/12/tsunami-syn-flood-ddos-attack-a-dangerous-trend/

2. http://securityaffairs.co/wordpress/29141/cyber-crime/tsunami-syn-flood-ddos.html

3. http://blog.radware.com/security/2014/10/tsunami-syn-flood-attack/

[용어정리]

·ISP(Internet Service Provider) : 개인이나 기업에 인터넷 접속 서비스, 웹 사이트 구축 등을 제공하는 회사

·TCP 3way handshake : TCP/IP프로토콜을 이용해서 통신을 하는 응용프로그램이 데이터를 전송하기 전에 먼저 정확한 전송을 보장하기 위해 상대방 컴퓨터와 사전에 세션을 수립하는 과정

·봇넷(Botnet) : 스팸메일이나 악성코드 등을 전파하도록 하는 악성코드 봇(Bot)에 감염되어 해커가 마음대로 제어할 수 있는 좀비PC들로 구성된 네트워크

[민세아 기자(boan5@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)