네트워크 기반 공격 정리

분류: DoS / DDoS / Scanning / Sniffing / Spoofing / Session Hijacking

1) 한눈에 비교 표

구분	정의	주요 기법	징후/피해	탐지 포인트	대응·예방
DoS	단일 주체가 서비스나 호스트 자원을 소진시켜 정상 이용을 방해	SYN Flood, UDP/ICMP Flood, Slowloris(HTTP 헤더 지연), App-layer DoS	응답 지연·타임아웃, 특정 포트/프로토콜로 트래픽 급증	단일 소스의 비정상 트래픽, SYN-ACK 미스매치	레이트 리미트, SYN 쿠키, IPS 룰, 자원 임계치 조정, 애플리케이션 타임아웃 튜닝
DDoS	다수(봇넷)가 동시에 트래픽·요청을 발생시켜 대규모 서비스 마비	Volumetric(UDP/ICMP), Protocol(SYN/ACK, 반사·증폭: NTP/DNS/SSDP), Application(HTTP GET/POST)	대역폭 포화, CDN·WAF 우회 시 웹 레이어 다운	다수 IP/ASN, 단일 벤더·포트 다양, 증폭 프로토콜 패턴	스크러빙센터, Anycast/CDN, Geo·ASN 기반 차단, 소스 IP 검증(BCP 38), WAF·봇 관리
Scanning	공격 전 정찰 단계로 서비스/포트·취약점 탐색	Ping Sweep, TCP SYN/FIN/Xmas, UDP Scan, 버전/OS 핑거프린팅	포트 스캔 로그 증가, 비정상 시도(닫힌 포트)	짧은 시간 다수 포트/호스트 접근 패턴, TTL/플래그 조합	포트 노출 최소화, 포트노킹, 방화벽/IPS, 배너 제거, 스캔 감지 룰(Threshold)
Sniffing	네트워크에서 패킷 도청/수집	허브·미러포트, ARP 스푸핑 후 중간자, 무선(오픈/WEP), 프록시	계정 정보 유출, 세션 토큰 노출	의심스런 ARP 변동, 스위치 포트 미러링 기록, 평문 프로토콜 사용 흔적	암호화(HTTPS/TLS, SSH), 스위치 포트 보안, 동적 ARP 검사(DAI), 무선 WPA2/3
Spoofing	가짜 식별 정보로 신뢰를 속임	IP/ARP/DNS/이메일(From) 스푸핑	트래픽 탈취·우회, 피싱, 서비스 오용	MAC-IP 매핑 변조, DNS 응답 위조, 스팸·피싱 헤더	소스 IP 검증(ingress/egress), 동적 ARP 검사, DNSSEC, SPF/DKIM/DMARC
Session Hijacking	이미 성립한 세션을 탈취하거나 가로채기	네트워크 레벨: TCP 시퀀스 예측/Reset, ARP 스푸핑 MITM웹 레벨: 세션 토큰 탈취(XSS/스니핑/고정)	계정 탈취, 임의 거래/변경	비정상 위치·디바이스에서 동일 세션, TCP RST 폭주, 중복 쿠키 사용	TLS 전면화, HttpOnly/Secure 쿠키, CSRF 토큰, 재인증·MFA, 세션 바인딩(IP/UA), HSTS

2) 개념·기법 핵심 포인트

DoS vs DDoS

공통: 가용성(Availability) 저해.
차이: 공격자 수와 규모. DDoS는 분산(봇넷)이라 소스 차단만으로 방어 어려움 → 스크러빙·Anycast 필요.

Scanning (정찰)

목적: 열린 포트/서비스·버전·취약점 후보 파악.
시험 키워드: SYN 스캔(반열결), FIN/Xmas(스텔스), OS 핑거프린팅(TTL/윈도우 크기).

Sniffing (스니핑)

패시브형: 허브/무선 평문 도청 → 탐지 어려움.
액티브형: ARP 스푸핑으로 MITM 구성 후 도청.

Spoofing (스푸핑)

ARP: MAC<->IP 매핑 위조 → 로컬 세그먼트에서 흔함.
IP: 소스 IP 위조(반사·증폭 DDoS와 궁합).
DNS: 권한 없는 응답 주입, 캐시 포이즈닝.
이메일: From 위조 → SPF/DKIM/DMARC로 완화.

Session Hijacking

네트워크 레벨: TCP 시퀀스 넘버 예측/삽입, RST 플러딩으로 연결 강탈.
웹 레벨: 세션 토큰을 XSS/스니핑/부적절한 쿠키 설정으로 탈취 → 세션 고정(Fixation), 재사용(Replay).

3) 계층별 관점 (OSI/설계 포인트)

2계층(L2): ARP 스푸핑/스니핑, 포트 보안(Sticky MAC), DAI, DHCP Snooping
3계층(L3): IP 스푸핑, BCP 38(소스 어드레스 검증), ACL
4계층(L4): SYN Flood, RST Injection → SYN 쿠키/Connection Limit
7계층(L7): HTTP Slowloris/GET Flood, 세션 하이재킹(쿠키·토큰) → WAF/레이트리밋·MFA

4) 로그로 잡아내는 법 (현장 감별사)

SYN Flood: SYN >> SYN-ACK >> (ACK 없음)의 비정상 비율 상승
반사/증폭 DDoS: 출발지 포트/프로토콜이 NTP 123/UDP, DNS 53/UDP 등으로 몰림, 패킷 크기 불균형
스캔: 짧은 시간 동일 소스가 다수 포트/다수 호스트 접근(수평/수직 스캔)
스니핑 징후: ARP 테이블의 MAC 흔들림, 동일 IP에 MAC 다수 변경
스푸핑: gratuitous ARP 빈발, 서로 다른 인터페이스에서 동일 IP 관측
세션 하이재킹: 동일 쿠키로 지리적으로 이질적 접속, 혹은 짧은 시간 다중 RST

5) 대응 체크리스트 (시험 암기형)

공통 하드닝

최소 노출(필요 포트만), 최신 패치, 원격관리 분리, 기본 크리덴셜 제거
레이트 리미트/커넥션 제한, 백오프, 큐/타임아웃 튜닝

네트워크 장비

BCP 38(Ingress/Egress 필터로 소스 IP 위조 차단)
DAI + DHCP Snooping, 포트 보안(Sticky MAC), 동적 VLAN
IDS/IPS, NetFlow/sFlow, 미러 포트 상시 모니터링

암호화/웹 보안

TLS 전면화, HSTS, 안전한 쿠키( Secure / HttpOnly / SameSite )
CSRF 토큰, 세션 재발급·바인딩(IP/UA), MFA
관리자 페이지 접근제어(주소/IP 제한, VPN)

DDoS 특화

스크러빙센터/클라우드 DDoS 보호, Anycast·CDN, Geo·ASN 차단
증폭 악용 서비스(NTP/DNS/SSD P 등) 열린 리졸버/모드 비활성

6) 자주 묻는 기출 포인트 Q&A

Q1. DoS와 DDoS의 차이는?
A. 공격 주체가 단일 vs 다수(분산). DDoS는 반사·증폭과 결합해 대역폭을 포화시키기 쉬움.

Q2. 스캔은 공격인가요?
A. 직접 피해가 없더라도 침해 전 단계의 명백한 적대 행위로 간주, 탐지·차단 정책 필요.

Q3. 스니핑은 왜 무섭나?
A. 평문 트래픽에서 자격증명/세션 토큰이 탈취될 수 있고, 패시브형은 탐지가 매우 어려움.

Q4. 스푸핑과 세션 하이재킹 관계는?
A. 스푸핑(특히 ARP) 으로 MITM을 만든 뒤, 세션 토큰/스트림을 가로채 하이재킹으로 이어질 수 있음.

7) 초압축 암기 카드

DoS/DDoS: 가용성 저해 — SYN Flood / 반사·증폭 / L7 Flood
Scanning: 정찰 — SYN/FIN/Xmas, 버전·OS 식별
Sniffing: 도청 — 암호화로 무력화, ARP 스푸핑 동반 주의
Spoofing: 위장 — IP/ARP/DNS/이메일, BCP38·DAI·DNSSEC·SPF
Session Hijacking: 세션 탈취 — TLS, 안전한 쿠키, CSRF, MFA, 바인딩

마무리 Tip

키워드 매칭형 문제가 많습니다. 공격기법 ↔ 방어기법을 1:1로 떠올리는 연습을 하세요.
실무 감점 요소: 평문 서비스(Telnet/FTP/HTTP) 방치, 열린 리졸버(DNS)·NTP monlist 같은 증폭원 방치.

네트워크 기반 공격 유형 - 이해하기