DoS / DDoS / DRDoS #2 유형

1. DoS (Denial Of Service) 유형

공격명	설명
TCP SYN Flooding	- 3-Way HandShaking의 Half-Open 연결이 가능한 것을 이용한 취약점 - 공격자는 대상 시스템에 출발지 IP를 위조해 무수한 SYN 패킷 전송 - 대상 시스템은 위조된 IP에 SYN/ACK 패킷을 전송하며, ACK 응답을 기다림 - 출발지 IP는 위조되어 정상적인 ACK 응답을 수신하지 못함 - 대상시스템은 ACK 응답을 기다리므로, 정상 서비스 제공이 불가해짐
SMURF Attack	- 출발지 IP를 대상 시스템으로 위조 및 ICMP 패킷을 직접 브로드 캐스팅 주소(X.X.X.255)로 전송 - 해당 패킷을 수신한 시스템은 대상 시스템으로 ICMP 패킷 응답  - 대상시스템은 ICMP 응답을 과다하게 수신하여, 정상 서비스 제공이 불가해짐
Land Attack	- 출발지 IP와 목적지 IP를 동일하게 설정하여 전송 - 해당 요청을 처리하는 과정에서 부하 발생
Ping of Death	- ping에 사용되는 ICMP 패킷의 크기를 정상 크기보다 크게 설정하여 전송하며, 해당 패킷은 네트워크를 거치면서(라우팅 되면서) 작은 조각으로 쪼개지면서 전송됨. - 피해 시스템에서는 수신한 패킷을 재조립하는 과정에서 부하가 발생.
Tear Drop Attack	- 패킷은 네트워크를 통해 전송되면서 단편화를 통해 분할되고, 수신지에서 재조립 - 패킷이 단편회 될 때 오프셋 값을 중복되도록 설정하는 등의 방식을 통해 수신지에서 재조립시 부하 유발
Bonk	- 모든 패킷의 순서번호를 1로 설정하여 전송
Boink	- 첫번째 패킷의 순서번호를 1, 두번째 패킷의 순서번호를 201, 세번째 패킷의 순서번호 1011 등 순서번호를 랜덤하게 전송

2. DDoS (Distributed Denial of Service) 유형

구분	공격명	설명
전통적인 공격	Trinoo	- 많은 호스트로부터 UDP Flooding을 유발
	TFN(Tribed Flood Network)	- Trinoo의 발전된 형태 - UDP Flooding, ICMP Flooding, TCP SYN Flooding 가능
	Stacheldraht	- Trinoo + TFN (두 공격이 제공하는 기능 모두 가짐) - 마스터와 에이전트 간 통신에 암호화 기능을 사용
	TFN2K	- TFN의 발전된 형태 - 통신에 특정 포트를 사용하지 않고, 암호화 통신
대역폭 공격	- UDP Flooding - UDP 프로토콜 반사 공격 - ICMP Flooding	- 대량의 트래픽을 피해 시스템에 전송 하여 대역폭을 고갈 시킴
자원 소진 공격	- TCP SYN, ACK Flooding - Smurf Attack	- 대량의 트래픽을 피해 시스템에 전송 하여 피해 시스템의 서비스 자원을 고갈 시킴
웹/DB 부하 공격	- GET Flooding - Slowloris Attack - RUDY Attack - Slow read Attack	- 정상적인 세션을 맺은 후 과도한 요청을 보내어 서버에 부하를 유발 시킴

3. DRDoS (Distributed Reflection Denial of Service) 유형

공격명	설명
DNS Reflection Attack	- 출발지 IP를 대상 시스템으로 위장하여, 다수의 DNS 서버에 ANY, TXT 레코드 요청. - ANY 레코드 : 도메인에 대한 모든 레코드 질의 시 사용. - TXT 레코드 : 도메인과 관련해 저장해야 할 임의의 문자를 나타냄. - 두 레코드 모두 요청에 비해 응답이 크기 때문에 공격에 주로 사용됨.
NTP Reflection Attack	- 출발지 IP를 대상 시스템으로 위장하여, 다수의 NTP 서버에 monlist 요청. - monlist : 최근에 접속한 최대 600개의 호스트 정보를 요청

 

* 해당 방식 외에도 다양한 방식이 존재하며, 구분한 기준 역시 상대적인 것임.