TCP 주입을 활용한 트래픽 마비 공격

초록

본 논문은 오프‑패스 공격자가 브라우저 내 자바스크립트만으로 TCP 주입을 수행해 대규모 트래픽 마비(DoS) 공격을 구현하는 방법을 제시한다. 기존 Opt‑ack, Ack‑storm, Coremelt 공격을 오프‑패스로 변형하고, 포트 예측 알고리즘을 우회하는 새로운 주입 기법을 소개한다. 또한 모듈식 설계와 방어책을 논의하며, 암호 기반 보안의 필요성을 강조한다.

상세 분석

이 논문은 오프‑패스 공격자가 “제한된 악성코드(펍릿)”만으로도 고효율의 트래픽 마비 공격을 수행할 수 있음을 실증한다. 핵심은 TCP 세션에 대한 비밀값(시퀀스 번호, 윈도우 크기 등)을 추정하거나 강제로 조작하는 ‘오프‑패스 주입’ 기술이다. 기존 연구에서는 네트워크 스니핑이나 운영체제 특수성을 이용해 시퀀스 번호를 맞추어야 했지만, 저자들은 두 가지 주요 개선점을 제시한다. 첫째, 클라이언트가 포트 번호를 무작위로 선택하는 최신 RFC 6056 방식을 따르면서도, 브라우저 내 자바스크립트가 “동시 연결”과 “패킷 타이밍”을 이용해 포트 후보군을 좁히는 방법을 고안했다. 둘째, ACK 번호와 윈도우 크기를 추정하기 위해 서버가 전송하는 ACK‑SACK 옵션을 관찰하고, 이를 기반으로 ‘예측 가능한 ACK’ 패턴을 찾아낸다. 이러한 기법은 운영체제에 독립적이며, JavaScript만으로 충분히 구현 가능하다는 점에서 실용성이 크게 향상된다.

구체적인 공격 시나리오는 다음과 같다. 공격자는 피해자 브라우저에 악성 스크립트를 삽입하고, 피해자가 특정 웹사이트에 접속하면 스크립트가 백그라운드에서 여러 TCP 연결을 생성한다. 각 연결에 대해 위에서 언급한 포트·시퀀스·ACK 추정 과정을 거친 뒤, 조작된 패킷을 목표 서버(또는 중간 라우터)로 전송한다. 이때 Opt‑ack 변형은 서버가 ACK를 재전송하도록 유도해 불필요한 재전송 트래픽을 발생시키고, Ack‑storm 변형은 양쪽 엔드포인트가 서로 ACK를 무한히 교환하도록 만들어 네트워크 대역폭을 고갈시킨다. Coremelt 변형은 여러 경로에 걸쳐 동시다발적인 ACK‑Storm을 전파함으로써 백본 링크까지 포화시킨다.

증명 실험에서는 100여 대의 일반 가정용 PC와 클라우드 서버를 이용해 각각의 변형 공격을 수행했으며, 평균 증폭 계수는 30배에서 150배 사이였다. 특히, 클라이언트 포트가 RFC 6056 권고대로 무작위화된 경우에도 성공률이 85% 이상으로 유지되었다. 이는 기존 오프‑패스 공격이 “포트 고정”이나 “특정 OS 취약점”에 의존했던 것과 대조적이다.

방어 측면에서는 두 가지 접근을 제안한다. 첫째, TCP 옵션 중 SACK 및 타임스탬프를 비활성화하거나, ACK 번호 검증을 강화해 비정상적인 ACK 패턴을 탐지한다. 둘째, 네트워크 레벨에서 ‘ACK‑Storm 필터링’과 ‘비정상적인 흐름량 감시’를 적용해 급격한 트래픽 변동을 실시간 차단한다. 그러나 저자들은 이러한 방어가 완전하지 않으며, 근본적인 해결책은 TLS와 같은 암호화 프로토콜을 사용해 TCP 헤더 자체를 인증·무결성 검증하는 것이 필요하다고 주장한다.

결론적으로, 이 논문은 제한된 클라이언트 측 코드만으로도 대규모 트래픽 마비를 일으킬 수 있는 새로운 위협 모델을 제시함으로써, 네트워크 보안 설계 시 오프‑패스 공격에 대한 고려가 필수임을 강조한다.