716. UDP Flood (리소스 고갈) 및 비정상 플래그 타격 (Null / Christmas Tree)

핵심 인사이트: 똑똑하게 방화벽을 우회하는 것도 지치면, 무식하게 돌 던지기로 돌아간다. UDP Flood는 대답을 듣건 말건 상대방 집에 돌멩이를 초당 만 개씩 던져 집주인이 문을 열어보다 지쳐 쓰러지게 만드는 무식한 물량 공세다. 한편, 크리스마스 공격은 돌멩이에다가 "이건 긴급! 결제! 강제종료!" 온갖 요란한 반짝이 스티커(플래그)를 다 붙여서 던져, 컴퓨터가 "대체 어느 장단에 맞춰야 해?" 하고 멘붕에 빠지게 만드는 변태적인 공격이다.

Ⅰ. UDP Flood 공격 (무식한 자원 고갈)

가장 원초적이고 무식하지만 여전히 위협적인 DDoS 공격 중 하나입니다.

1. 동작 원리 (UDP의 무책임성 악용)

TCP는 인사(Handshake)를 해야 문을 열어주지만, UDP는 인사를 안 하고 그냥 목적지로 패킷을 일방적으로 휙 집어 던지는 프로토콜입니다.
해커는 타겟 서버의 임의의 포트(예: 5000번)로 UDP 패킷을 초당 수만 개씩 마구잡이로 쏟아붓습니다.
패킷을 맞은 타겟 서버는 "어? 5000번 포트로 뭐가 왔네? 이거 받을 프로그램이 켜져 있나?" 하고 CPU와 메모리를 써서 포트 장부를 뒤져봅니다.
프로그램이 없다는 걸 깨달은 서버는 친절하게도 "포트 안 열려있어!"라는 ICMP Destination Unreachable 에러 메시지를 만들어 해커에게 반송해 줍니다.
해커가 10만 개를 쏘면, 서버는 장부를 10만 번 뒤지고 거절 편지를 10만 번 써서 우체국에 보내야 합니다. 결국 서버의 CPU 자원과 네트워크 업로드 대역폭이 바닥나서 뻗어버립니다.

2. 방어법

방화벽에서 "이 IP에서 UDP 패킷이 1초에 1,000개 이상 들어오면 임계치 초과(Rate Limiting)로 모조리 버려라(Drop)!"라고 차단 룰을 설정합니다.

Ⅱ. 비정상 플래그(Flag) 기반 비대칭 공격 🌟

TCP 겉면(헤더)에는 패킷의 용도를 알리는 6개의 깃발(플래그: SYN, ACK, FIN, RST, PSH, URG)이 있습니다. 이를 엉망진창으로 조작해 방화벽의 문맥 파악(Stateful) 능력을 마비시키는 공격입니다.

1. Null (널) 공격

원리: 6개의 깃발을 단 한 개도 들지 않고(모든 플래그를 0으로 셋팅) 텅 빈 좀비 상태로 패킷을 날립니다.
결과: 규칙을 중시하는 구형 방화벽이나 라우터는 "인사(SYN)도 아니고, 응답(ACK)도 아니고, 끝인사(FIN)도 아니네? 뭐 이런 패킷이 다 있어?" 하면서 규정집에 없는 예외 처리를 하려다 CPU를 쓸데없이 소모하게 됩니다. 스캐닝 우회 공격으로도 쓰입니다.

2. 크리스마스 트리 (Christmas Tree) 공격

원리: 반대로, 6개의 깃발 중 절대 동시에 들 수 없는 깃발들(FIN, PSH, URG 등)을 일제히 전부 다 들고(모든 플래그를 1로 셋팅) 돌진합니다.
결과: 마치 크리스마스트리에 전구가 빤짝거리는 것 같다고 해서 붙여진 이름입니다. 컴퓨터 운영체제는 "정상 통신도 하면서 동시에 긴급 처리도 하고 당장 연결도 끊으라고?!" 라며 모순된 명령 묶음을 처리하기 위해 무거운 에러 검출 로직을 돌리다 서버의 힘이 쏙 빠져버립니다.

방어법

현대의 방화벽(상태 기반 감시, 692번)과 IPS는 패킷이 들어올 때 이 플래그들의 조합이 정상적인 프로토콜 규격(RFC 표준)에 맞지 않는 헛소리 조합이면 아예 CPU 연산조차 안 하고 입구에서 쓰레기통으로 차단(Drop)해 버립니다.

📢 섹션 요약 비유: UDP Flood는 집 앞마당에 계속 쓰레기봉투를 던지는 테러입니다. 집주인(서버)은 봉투를 열어보고 "이거 내 택배 아님!"이라고 반송장(ICMP 에러)을 써서 반품하느라 하루 종일 아무 일도 못 하고 과로사합니다. 한편 크리스마스 공격은 우편물 겉면에 '초특급 긴급, 절대 열어보지 마, 당장 버려, 반송 요망'이라는 모순된 도장들을 한꺼번에 덕지덕지 찍어 보낸 것입니다. 우체국 직원이 어느 도장 규정에 맞춰 처리해야 할지 멘붕에 빠져 뇌정지가 오는 상황을 노린 비열한 속임수입니다.