다른 사이버 공격과 달리 DDoS 공격은 네트워크 리소스의 취약점을 악용하여 컴퓨터 시스템을 침해하지 않습니다. 대신 하이퍼텍스트 전송 프로토콜(HTTP) 및 전송 제어 프로토콜(TCP)과 같은 표준 네트워크 연결 프로토콜을 사용하여 엔드포인트, 앱 및 기타 자산에 처리할 수 있는 트래픽을 초과하는 양의 트래픽을 발생시킵니다. 웹 서버, 라우터 및 기타 네트워크 인프라는 한정된 수의 요청만 처리하고 주어진 시간에 제한된 수의 연결을 유지할 수 있습니다. DDoS 공격은 리소스의 사용 가능한 대역폭을 모두 사용함으로써 해당 리소스가 합법적인 연결 요청 및 패킷에 응답하지 못하도록 합니다.

DDoS 공격은 크게 세 단계로 나뉩니다.

DDoS 공격 대상의 선택은 공격자의 동기에 따라 결정되며 그 범위는 광범위할 수 있습니다. 해커들은 DDoS 공격을 이용해 조직으로부터 돈을 갈취하고 공격을 끝내는 조건으로 몸값을 요구하기도 합니다. 일부 해커는 자신의 신념 활동을 위해 DDoS를 사용하며 자신이 동의하지 않는 조직과 기관을 표적으로 삼습니다. 부도덕한 행위자들은 경쟁 기업을 폐쇄하기 위해 DDoS 공격을 사용하며, 일부 국가는 사이버 전쟁에서 DDoS 전술을 사용하기도 했습니다. 

가장 일반적인 DDoS 공격 대상은 다음과 같습니다.

• 온라인 소매업체. DDoS 공격은 디지털 스토어를 다운시켜 고객이 일정 기간 동안 쇼핑을 할 수 없게 함으로써 소매업체에게 심각한 금전적 피해를 입힐 수 있습니다.
  
  

• 클라우드 서비스 제공업체. AWS(Amazon Web Services), Microsoft Azure, Google Cloud Platform과 같은 클라우드 서비스 제공업체는 DDoS 공격의 주요 표적입니다. 이러한 서비스는 다른 비즈니스를 위한 데이터와 앱을 호스팅하기 때문에 해커가 한 번의 공격으로 광범위한 서비스 중단을 일으킬 수 있습니다. 2020년에 AWS는 대규모 DDoS 공격을 받았습니다(ibm.com 외부 링크). 악성 트래픽이 최고조에 달했을 때는 초당 2.3테라비트에 달하는 트래픽이 쏟아졌습니다.
  
  

• 금융 기관. DDoS 공격으로 인해 은행 서비스가 오프라인 상태가 되어 고객이 계정에 액세스하지 못하게 될 수 있습니다. 2012년에는 미국의 주요 은행 여섯 곳이 정치적 동기에 의한 것으로 추정되는 조직적인 DDoS 공격을 받았습니다(ibm.com 외부 링크).
  
  

• 서비스형 소프트웨어(SaaS) 제공 업체. 클라우드 서비스 제공 업체와 마찬가지로 Salesforce, GitHub, Oracle과 같은 SaaS 제공 업체는 해커가 한 번에 여러 조직의 운영을 중단시킬 수 있기 때문에 매력적인 공격 대상입니다. 2018년, GitHub는 당시 사상 최대 규모의 DDoS 공격을 받았습니다(ibm.com 외부 링크).
  
  

• 게임 회사. DDoS 공격은 서버에 트래픽을 폭증시켜 온라인 게임을 중단시킬 수 있습니다. 이러한 공격은 주로 개인적 앙심을 품은 불만 있는 플레이어에 의해 시작됩니다. 예를 들어, 원래 Minecraft 서버를 대상으로 구축되었던 Mirai 봇넷(ibm.com 외부 링크)의 경우가 그러했습니다.

DDoS 공격에는 일반적으로 해커가 원격으로 디바이스를 제어할 수 있는 멀웨어에 감염된 인터넷 연결 디바이스의 네트워크인 봇넷이 필요합니다. 봇넷에는 랩톱 및 데스크톱 컴퓨터, 휴대폰, IoT 장치 및 기타 소비자 또는 상업용 엔드포인트가 포함될 수 있습니다. 이러한 손상된 장치의 소유자는 일반적으로 자신이 감염되었거나 DDoS 공격에 사용되고 있다는 사실을 인식하지 못합니다. 

일부 사이버 범죄자는 처음부터 봇넷을 구축하는 반면, 다른 사이버 범죄자는 '서비스형 서비스 거부'라는 모델에 따라 미리 구축된 봇넷을 구매하거나 임대합니다.

(참고: 모든 DDoS 공격이 봇넷을 사용하는 것은 아니며, 일부 공격은 감염되지 않은 디바이스의 정상적인 작동을 악의적인 목적으로 악용합니다. 아래 '스머프 공격'을 참조하세요.)

해커는 봇넷의 장치에 연결 요청 또는 기타 패킷을 대상 서버, 장치 또는 서비스의 IP 주소로 보내도록 명령합니다. 대부분의 DDoS 공격은 대량의 요청을 전송하여 공격 대상의 대역폭을 모두 소모하는 무차별 대입 공격에 의존하지만, 일부 DDoS 공격은 소수의 복잡한 요청을 전송하여 공격 대상이 이에 대응하는 데 많은 리소스를 소비하도록 요구합니다. 공격 트래픽이 대상 시스템을 압도하여 서비스 거부를 유발하고 합법적인 트래픽이 웹사이트, 웹 애플리케이션, API 또는 네트워크에 액세스하지 못하도록 한다는 점은 두 경우 모두 동일합니다.

해커는 사이버 범죄자가 봇넷에서 보낸 패킷에 대해 가짜 소스 IP 주소를 위조하는 기술인 IP 스푸핑을 통해 공격 소스를 모호하게 만드는 경우가 많습니다. 해커는 "리플렉션"이라고 하는 IP 스푸핑의 한 형태로 악성 트래픽이 피해자의 IP 주소에서 전송된 것처럼 보이게 만듭니다. 

DDoS 공격 유형은 7개의 네트워크 '계층'을 정의하는 개념적 프레임워크인 오픈 시스템 상호 연결(OSI) 참조 모델의 용어를 기반으로 명명되거나 설명되는 경우가 많습니다(OSI 7-Layer 모델이라고도 함).

이름에서 알 수 있듯이 애플리케이션 계층 공격은 사용자 요청에 대한 응답으로 웹 페이지가 생성되는 계층인 OSI 모델의 애플리케이션 계층(계층 7)을 대상으로 합니다. 애플리케이션 계층 공격은 웹 애플리케이션을 악성 요청으로 넘쳐나게 하여 애플리케이션을 중단시킵니다.

가장 일반적인 애플리케이션 계층 공격 중 하나는 공격자가 여러 기기에서 동일한 웹사이트로 대량의 HTTP 요청을 지속적으로 전송하는 HTTP 플러드 공격입니다. 웹사이트가 모든 HTTP 요청을 따라잡을 수 없어 속도가 크게 느려지거나 완전히 중단됩니다. HTTP 플러드 공격은 수백 또는 수천 개의 웹 브라우저가 동일한 웹 페이지를 반복적으로 새로 고치는 것과 유사합니다. 

애플리케이션 계층 공격은 상대적으로 실행하기 쉽지만 예방하고 완화하기 어려울 수 있습니다. 더 많은 기업이 마이크로서비스와 컨테이너 기반 애플리케이션을 사용하기 위해 전환함에 따라 중요한 웹 및 클라우드 서비스를 비활성화하는 애플리케이션 계층 공격의 위험이 증가하고 있습니다. 

프로토콜 공격은 OSI 모델의 네트워크 계층(계층 3)과 전송 계층(계층 4)을 표적으로 삼습니다. 악의적인 연결 요청으로 방화벽, 로드 밸런서, 웹 서버 등 중요한 네트워크 리소스를 압도하는 것을 목표로 합니다.

일반적인 프로토콜 공격에는 다음이 포함됩니다.

SYN 플러드 공격. SYN 플러드 공격은 두 장치가 서로 연결을 설정하는 프로세스인 TCP 핸드셰이크를 활용합니다.

일반적인 TCP 핸드셰이크에서는 한 장치가 SYN 패킷을 전송하여 연결을 시작하고, 다른 장치가 SYN/ACK 패킷으로 응답하여 요청을 승인한 후, 원래 장치가 ACK 패킷을 다시 전송하여 연결을 마무리합니다.

SYN 플러드 공격에서 공격자는 스푸핑된 소스 IP 주소가 포함된 대량의 SYN 패킷을 대상 서버에 보냅니다. 서버는 스푸핑된 IP 주소로 응답을 보내고 최종 ACK 패킷을 기다립니다. 소스 IP 주소가 스푸핑되었기 때문에 이러한 패킷은 도착하지 않습니다. 서버가 완료되지 않은 수많은 연결에 묶여 있어 합법적인 TCP 핸드셰이크를 사용할 수 없습니다.

스머프 공격. 스머프 공격은 두 장치 간의 연결 상태를 평가하는 데 사용되는 통신 프로토콜인 인터넷 제어 메시지 프로토콜(ICMP)을 이용합니다. 일반적인 ICMP 교환에서는 한 장치가 다른 장치에 ICMP 에코 요청을 보내고 후자 장치는 ICMP 에코 응답으로 응답합니다.

스머프 공격에서 공격자는 피해자의 IP 주소와 일치하는 스푸핑된 IP 주소로부터 ICMP 에코 요청을 보냅니다. 이 ICMP 에코 요청은 지정된 네트워크의 모든 장치에 요청을 전달하는 IP 브로드캐스트 네트워크로 전송됩니다. ICMP 에코 요청을 수신하는 모든 장치(잠재적으로 수백 또는 수천 대의 장치)는 피해자의 IP 주소로 ICMP 에코 응답을 보내 응답하게 되는데, 이때 장치는 처리할 수 있는 것보다 더 많은 정보를 받게 됩니다. 다른 많은 유형의 DDoS 공격과 달리 스머프 공격에는 반드시 봇넷이 필요하지 않습니다. 

볼류메트릭 DDoS 공격은 표적 네트워크 내 또는 표적 서비스와 나머지 인터넷 간에 사용 가능한 모든 대역폭을 소비하여 합법적인 사용자가 네트워크 리소스에 연결하지 못하도록 합니다. 볼류메트릭 공격은 다른 유형의 DDoS 공격에 비해 매우 많은 양의 트래픽으로 네트워크와 리소스를 플러딩하는 경우가 많습니다. 볼류메트릭 공격은 합법적인 트래픽에서 악성 트래픽을 필터링하도록 설계된 스크러빙 센터와 같은 DDoS 보호 조치를 압도하는 것으로 알려져 있습니다.

일반적인 볼류메트릭 공격 유형은 다음과 같습니다.

UDP 플러드. 이러한 공격은 가짜 사용자 데이터그램 프로토콜(UDP) 패킷을 대상 호스트의 포트에 전송하여 호스트가 이러한 패킷을 수신할 애플리케이션을 찾도록 유도합니다. UDP 패킷은 가짜이므로 이를 수신할 애플리케이션이 없으며 호스트는 발신자에게 ICMP "대상에 연결할 수 없음" 메시지를 다시 보내야 합니다. 호스트의 리소스가 끊이지 않는 가짜 UDP 패킷 스트림에 대응하느라 바빠지게 되고, 이로 인해 호스트가 합법적인 패킷에 응답할 수 없게 됩니다.

ICMP 플러드. "핑 플러드 공격"이라고도 하는 이 공격은 여러 스푸핑된 IP 주소의 ICMP 에코 요청으로 대상을 공격합니다. 대상 서버는 이러한 모든 요청에 응답해야 하며 과부하 상태가 되어 유효한 ICMP 에코 요청을 처리할 수 없게 됩니다. ICMP 플러드는 공격자가 네트워크 디바이스를 속여 피해자의 IP 주소로 ICMP 응답을 보내도록 하는 대신 봇넷에서 대량의 ICMP 요청을 보낸다는 점에서 스머프 공격과 구별됩니다. 

DNS 증폭 공격. 공격자가 하나 또는 여러 개의 공용 DNS 서버에 여러 개의 도메인 이름 시스템(DNS) 조회 요청을 보냅니다. 이러한 조회 요청은 피해자의 스푸핑된 IP 주소를 사용하고 DNS 서버에 요청당 많은 양의 정보를 반환하도록 요청합니다. 그런 다음 DNS 서버는 피해자의 IP 주소에 대량의 데이터를 플러딩하여 요청에 응답합니다.  

이름에서 알 수 있듯이 다중 벡터 공격은 여러 공격 벡터를 활용하여 피해를 극대화하고 DDoS 완화 노력을 좌절시킵니다. 공격자는 여러 벡터를 동시에 사용하거나 하나의 벡터가 좌절되면 공격 도중 벡터 간에 전환할 수 있습니다. 예를 들어 해커는 스머프 공격으로 시작할 수 있지만 일단 네트워크 장치의 트래픽이 차단되면 봇넷에서 UDP 플러드를 시작할 수 있습니다. 

DDoS 위협은 다른 사이버 공격과 함께 사용될 수도 있습니다. 예를 들어, 랜섬웨어 공격자는 몸값을 지불하지 않으면 DDoS 공격을 가하겠다고 협박하여 피해자를 압박할 수 있습니다.