TCP SYN FLooding 공격

1) 개요

- TCP SYN Flooding 공격은 TCP 연결 설정 과정의 취약점을 이용한 공격으로 출발지 IP를 존재하지 않는 IP 주소로 위조하여 대량의 SYN Packet을 발송하여 해당 시스템의 백 로그큐를 꽉차게 만들어 더 이상 새로운 새로운 연결요청을 받을 수 없도록 하는 공격이다.

 

2) 특징

- 이 공격의 경우에 ACK 응답이 오지 않아 백 로로그큐에 연결정보가 계속 쌓이게 된다. netstat -an 명령어를 통해 소켓상태를 살펴보면 다수의 SYN_RECV상태의 tcp 소켓을 확인할 수 있고 SYN_RECV 상태가 바로 ACK 응답을 대기하고 있는 상태이다.

 

3) 대응책

- 완전한 3-way handshaking이 이루어지지 않는다면 백로그큐가 소비되지 않도록 설정한다. 

- 방화벽 or 디도스 대응장비를 이용하여 동일 IP의 연결 요청에 대한 임계치 설정을 통해 과도한 연결요청이 발생하는 것을 차단한다.

- FIrst SYN Drop 설정을 한다. 클라이언트로부터 전송된 첫 번째 SYN은 Drop하여 재요청 패킷이 도착하는지 확인하여 출발지 IP가 위조되었는지 판단한다. 

- 백로그큐의 크기를 늘려준다.

- SYN+ACK에 대한 대기 시간을 줄인다.