개인서버를 운영하면서 이런 일은 또 처음이네요. -_-;

정태영의 이미지

과도 트래픽이 발생했다는 연락을 받고, 확인하려고 보니 -_- 윗단에서 다 막아놔서 접속도 안되고...

확인해보라고 해놓고 접속이 안되는데 어떻게 하냐고 했더니 윗단에서 막아놨다고 -_-; 연락해서 풀어준다고 하더군요. 잠시 후 풀리고 접속해봤는데, 아파치 등으로 과도 트래픽이 발생한 것 같진 않은데, 제한이 심한건지 아님 공격이 심해서 그런건지 커맨드 하나 내리는데 10~30초 ...

제대로 뭘 확인해보기도 전에 -_- 다시 윗단에서 막아버렸습니다.

UDP 로 무슨 공격이 있다는 거 같은데 뭐라고 그러는 지 알아들을 수가 없더군요. 몇 시간 있다가 다시 풀어주면 안되겠냐고 연락하니 -_-; 3진 아웃 제가 있어서 또 트래픽이 과도 발생하면 이 제한을 푸는데 좀 복잡해진다고 내일 아침에 회의를 해본 뒤 연락을 준답니다. -_-;

공격이 심하면 공격하는 측을 막아야지 서버측을 막아버리다니 너무하네요. -_-;;

요새 오픈웹에서 업체들에 밉상짓을 좀 해서 공격을 당하는건지 ㅠ.ㅠ 우울하네요. 조신하게 이용하고 있는 서번데... 흑흑;;

하튼 업체 측의 대응에 좀 서운하군요. -_-a 그래도 다 돈 내고 쓰는건데... 하룻동안 접속을 그냥 확 막아버리겠다니...

pcharley의 이미지

과도 트래픽으로 아예 라인을 내린 경우라면 거의가 DDoS인데요...
정말 DDoS라면 정말 방법 없을듯 하네요..
다른 곳으로 옮기거나 아니면 저절로 잦아들기를 바랄 수 밖에요....
그래도 최소한 트래픽 과도 이유가 몬지는 알려주어야 하지 않을까 하네요...
DDoS 인지 정상 트래픽인지...?

정태영의 이미지

UDP 로 공격이 들어왔다는 거 같은데, 자기네 네트웍 관리자가 없고, 자기들도 통보를 받아야 안다고 어떤 문제인지는 아직 말해줄 수가 없다고 하네요. ㅠ.ㅠ

일시적일테지만 제 낛이 반으로 줄었습니다. 내 블로그가 보고 싶어요.

--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

정태영의 이미지

근데 DDoS같은 경우라면 윗단의 방화벽에서 소스 측을 거부할 순 없는건가요 -_-?

--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

김정균의 이미지

DDOS 는 방화벽으로 어떻게 할 수는 없습니다. 전용 장비가 필요한데.. 대부분 이걸 유료 서비스로 해 주고 있죠. :-)

DDoS 자체가 resource 를 고갈 시키는 형식이고, 유형도 무척 많아서.. 전용 장비를 사용한다고 해도 벤더 마다 막을 수 있는 유형이 있고, 그렇지 못한 유형이 있습니다.

DDoS의 유형을 보면 다음과 같은 공격들이 존재합니다.

1. TCP Syn Flood Attack => syn 만 보내고선 ack 응답을 하지 않는 유형
2. TCP 3 handshake 이후 data 전송 안함. 1번을 막기 시작하면서 나온 유형입니다.
3. TCP 3 handshake 이후, 아주 천천히 받아감.. (초당 1byte 씩 recieve.. -- 웹 서비스에는 아작납니다. 세션도 얼마 필요 없습니다. --)
4. UDP 를 이용한 network bandwidth 고갈..

대충 이런 유형이 있습니다. 1,2,3번은 서버 resource 고갈을 목표로 하고, 4번은 bandwidth 고갈을 목표로 하죠. 제가 있는 회사는 network bandwidth 가 크다는 것을 아는지 거의 1~3번 유형으로 들어옵니다.

제가 있는 회사도 요즘 DDoS 장비 BMT를 하는데, 3번 공격은 대부분 막지를 못하더군요. 정상적인 서비스인지 아닌지 판단하기에는 아직 A.I가 그만큼 발전하지 못한듯..

머 이 외에도 공격 유형은 많습니다. 제가 있는 회사에서 받은 유형만 해도 12가지 정도 되는 군요.

P.S.
흠.. "우리 회사" 라는 표현이 좀 이상해서 1인칭으로 "제가 있는 회사" 라고 적어 보았는데, 영 어색하군요. 역시 "우리 회사"가 어감이 좋습니다. --; 근데 읽는 사람 입장에서의 "우리 회사"면.. 같은 회사 다니나?

monovision의 이미지

3번 형태의 공격은 아직 경험해 보지 못했군요.. @...@;;;
한 번 테스트를 해봐야겠군요 ㅎㅎ.
해당 공격을 막지 못하는 가장 큰 이유는.... 현존하는 대부분의 방화벽은 inbound 만 체크하는 방식이기 때문이라는 생각이 드는군요.
해당 공격을 테스트 할려면 outbound 까지 체크해야 하고... 각 세션마다의 전송량을 일일이 체크해야하니... 흠.

간단하게 생각해보면 3번 형태의 공격은 방화벽에서 처리해야할 부분이 아니라 서버단에서 처리해야 할 부분처럼 보이긴 하는군요.

queryman의 이미지

한쪽만 체크하는 방화벽은 없습니다.
단지 안할뿐 ㅡㅡ;

-------------------------------------------------------------------------------------------
생각은 지나가던 개새끼도 하지.. 실천하는건?? 나도 할수있지...
http://www.mrdics.com


-------------------------------------------------------------------------------------------
이놈의 IT 생활... 실증나고 짜증나고...
근데 왜 맨날 it관련 소식만 보고 ;;; 님휘

pcharley의 이미지

저희도 DDoS 장비 BMT 를 해야하는데 3번 경우는 저도 생각하지 못한 경우네요....

참고로 저희는 주로 CC Atack 같은 L7 DDoS 공격이 주가 되서 이부분을 주로 볼려고 했는데
3번 같은경우도 고려를 해야겠네요...

hayarobi의 이미지

원래 언어 사이에서 단어가 정확하게 1:1로 맞는 경우는 없으니까요. 저는 우리라는 말에 my라는 의미도 살짝 들어가 있다고 생각을 하고 씁니다.

=================
잠못자는 한솔아빠

=================
잠못자는 한솔아빠

사랑천사의 이미지

DDoS라면... 몇 대 인지도 모르는 컴퓨터들이 한꺼번에 트래픽을 발생시키는 거라서.. 일일히 막는 것이 거의 불가능할 겁니다. 그게 아니고 기계적으로 트래픽을 분석해서 막는 거라고 해도... 문제가 될 거 같은 부분이 그런 식으로 막다 보면 잘못 막아서 정상적인 트래픽도 아마 다 막히는 수가 생기고 해서.. 참...
-- 이여송 --
HomePage: http://lys.lecl.net/
Blog: http://lys.lecl.net/blog
LECL: http://www.lecl.net/
E-Mail: yeosong@gmail.com ysnglee2000@lecl.net
MSN: ysnglee2000@hotmail.com

사람천사

klenui의 이미지

어디서 본건데(어디서 본건지는 기억 안나네요..) 아직해보지도 않았지만요,

접속했을때 반응속도 느린거는, sshd 프로세스의 우선순위를 미리 올려놓으면 그나마 낫다고 하더군요.
정확한 내용 찾으면 다시 적겠습니다..

죠커의 이미지

저는 호스팅 서비스를 받을 때 여러번 쫓겨난 적이 있었습니다. 현실적으로 방법은 없겠지만 너무 사용자에게 많은 것을 요구하는 것 같습니다.

- 죠커's blog / HanIRC:#CN

dasony의 이미지

글 중간에 오픈웹에 대해 언급을 하셔서.. 혹시 오픈웹 홈페이지의 서버를 운영하시는건가요?
보안업체랑 좀 다툼이 있는 중간에, 어제 저녁부터 홈페이지 접속이 안돼서 걱정이 되네요.
그래도 혼란 와중에 나름대로 좋은 논의들이 오고가고 있었는데 말이죠.

정태영의 이미지

예 오픈웹이 제 서버에서 돌아가고 있습니다.

이런 시기에 이런 일이 있다보니 저도 좀 의심이 드는군요. -_-; 회의가 아직 안끝났는지 연락도 없고 답답하네요.

--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

kite7의 이미지

제가 관리하는 서버는 아니지만 제가 쓰고 있는 서버도 해외에서 트래픽이 많이 발생한다고 해외라인을 아예 끊어버리더라구요.

정태영님은 국내에서 트래픽이 많이 발생해서 .. 국내까지 끊어버린걸까요.
아예 해외에서만 공격이 들어오면 차라리 맘편할텐데 말이죠..

정태영의 이미지

한 번 외국에 계신 분이 서버에 하드를 백업하는 바람에 -_-; 그런 상황도 겪어봤었죠. 흑;;

--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

사랑천사의 이미지

무작위적으로 서버에 몇 십 대의 컴퓨터가 동시에 접속해서 연속적으로 몇십 기가 트래픽 나오도록 HTTP 요청을 보내는 타입도 있조... 이거 무지 열받습니다. 이걸 잘 이용하면 웹서버는 물론 DB 서버도 동시에 아작낼 수 있는 무식한 방법입니다. 이 몇 십 기가 나오게 하는게 단 몇 십 분... 그래도 몇 초 안에 3GB 뜨는 거 보다야.. 나은 편이지만 이건 서버를 죽이겠따는 결심을 하고 던지는 공격이 아니면 뭘까요 젠장.
-- 이여송 --
HomePage: http://lys.lecl.net/
Blog: http://lys.lecl.net/blog
LECL: http://www.lecl.net/
E-Mail: yeosong@gmail.com ysnglee2000@lecl.net
MSN: ysnglee2000@hotmail.com

사람천사

사랑천사의 이미지

웹호스팅 계정들이 많은 서버에 적용하면 좀 무리가 따를 거 같군요 ㅎㅎ.
-- 이여송 --
HomePage: http://lys.lecl.net/
Blog: http://lys.lecl.net/blog
LECL: http://www.lecl.net/
E-Mail: yeosong@gmail.com ysnglee2000@lecl.net
MSN: ysnglee2000@hotmail.com

사람천사