소개: 서비스 거부 공격
서비스 거부(DoS) 공격은 네트워크 트래픽을 플러딩하는 것과 같이 사용자가 웹 사이트나 애플리케이션을 사용할 수 없도록 하려는 의도적인 시도입니다. 공격자는 많은 양의 네트워크 대역폭을 소비하거나 다른 시스템 리소스를 연결하여 합법적인 사용자의 액세스를 방해하는 다양한 기술을 사용합니다. 가장 간단한 형태의 단독 공격자는 다음 이미지와 같이 단일 소스를 사용하여 대상에 대해 DoS 공격을 수행합니다.
표 1: DoS 공격 다이어그램
DDoS 공격에서 공격자는 여러 소스를 사용하여 대상에 대한 공격을 오케스트레이션합니다. 이러한 소스에는 맬웨어에 감염된 컴퓨터, 라우터, IoT 디바이스 및 기타 엔드포인트의 분산 그룹이 포함될 수 있습니다. 다음 다이어그램은 손상된 호스트의 네트워크가 공격에 참여하여 대상을 압도하는 패킷 또는 요청 flood를 생성하는 것을 보여줍니다.
DDoS 공격 다이어그램
개방형 시스템 상호 연결(OSI) 모델에는 7개의 계층이 있으며 개방형 시스템 상호 연결(OSI) 모델 표에 설명되어 있습니다. DDoS 공격은 계층 3, 4, 6, 7에서 가장 일반적입니다. 계층 3 및 4 공격은 OSI 모델의 네트워크 및 전송 계층에 해당합니다. 본 문서에서 AWS는 이를 총칭하여 인프라 계층 공격이라고 합니다. 계층 6 및 7 공격은 OSI 모델의 프레젠테이션 및 애플리케이션 계층에 해당합니다. AWS는 애플리케이션 계층 공격으로 이러한 문제를 함께 해결할 것입니다. 이러한 공격 유형의 예는 다음 섹션에서 설명합니다.
개방형 시스템 상호 연결(OSI) 모델
| # | 계층 | 단위 | 설명 | 벡터 예제 |
|---|---|---|---|---|
| 7 | 애플리케이션 | 데이터 |
애플리케이션에 대한 네트워크 프로세스 |
HTTP flood, DNS 쿼리 flood |
| 6 | 프레젠테이션 | 데이터 |
데이터 표현 및 암호화 |
TLS 부정 사용 |
| 5 | 세션 | 데이터 |
호스트 간 통신 |
해당 없음 |
| 4 | 전송 | 세그먼트 |
엔드 투 엔드 연결 및 안정성 |
SYN flood |
| 3 | 네트워크 | 패킷 |
경로 결정 및 논리적 주소 지정 |
UDP 반사 공격 |
| 2 | 데이터 링크 | 프레임 |
물리적 주소 지정 |
해당 없음 |
| 1 | 물리적 | 비트 |
미디어, 신호 및 바이너리 전송 |
해당 없음 |
