ddos 공격.. 이를 어쩌나요 ㅡㅡ;

kimes의 이미지

서버한대를 임대하여 사용하고 있습니다.

하지만 요근래 하루에 한번꼴로 2~4시간이상

ddos 공격을 받고 있는데요.

(80포트로 udp 패킷을 무지막지 날리나 봅니다.)

공격이 들어오면 호스팅 업체측에서는 네트웍의 문제로

다른 서버들에 피해가 가니 제 서버를 빼는 식으로

하고 있는것 같은데요. 장사를 하는 서버인데

문제가 좀 심각하네요..

어찌 달리 막을 방법도 없고 호스팅쪽에 문의해 보니

고가의 서비스(서버호스팅비의 10배정도 ㅡㅡ;)를 받으면 해결을 할수 있다고 하는데

그건 좀 아닌것 같구요..

이럴땐 도대체 어떻게 해야하는걸가요?

호스팅 업체에 뭘 어떻게 부탁해야 할지도 모르겠고요

정말 공격하는 사람 얼굴 한번 보고 싶네요 ㅠㅠ

비슷한 경험 있으신분 조언 좀 부탁드립니다.

onion의 이미지

그런쪽을 전문(?)으로 하는 호스팅을 받으시던가 하는수밖에는 없습니다.
다른방법이 없는게....

본인의 서버에서 막아도
위쪽 line의 트래픽 용량이 차버리기때문에
그런쪽의 컨설팅이나 서비스를 받으시는수밖에는 없죠.

그런데 엔간히 경쟁자가 있거나 하지 않으면 그리 오랜기간으로
ddos가 날아오거나 하지는 않을겁니다만.... 희한하네요...

-----새벽녘의 흡혈양파-----

-----새벽녘의 흡혈양파-----

brucewang의 이미지

요즘 웬만한 Firewall 에는 DDOS 공격에 대한 처리 옵션이 다 들어 있습니다.

단순히 80포트로 udp패킷을 쏟아 붓는 것이라면 호스팅업체의 최 말단 firewall에서 kimes 님의 서버로 들어가는 여러 source ip 들의 시도를 무조건 차단 (drop) 시켜 버릴 수 있습니다.

이렇게 차단되는 패킷은 OS의 link layer 이상을 넘어서지 못한채로 손실되기 때문에 설사 그 방화벽 장비가 일반 OS를 사용한 워크스테이션 정도라 하더라도 그 장비에 부담은 덜 하게 됩니다.

기존서비스의 10배의 고가 서비스를 받아야 그런 단순 방화벽 설정을 해준다면, 그런 호스팅 업체는 조금 신뢰하기 어려운 것이 아닐까... 생각되네요.

kime님의 서비스가 잘 알려져서 그런 시도를 하는 사람이 붙게 된 것이라 생각 합니다. 어떤 의미에서는, 축하를 드리고도 싶네요...

사업 번창하시길 바랍니다.

PS> 다른 고수님들께서 분산 공격에서 사용된 source ip 기록으로 어떤 절차를 통해 공격자 탐색을 의뢰, 어떤 한도 내에서 법적 대응을 할 수 있는지 알려주시면 좋겠습니다.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

Necromancer의 이미지

source ip가 국내이고 대역이 눈의 띄게 일정하다면(즉, 누군지는 모르겠지만 어떤 특정 사람이나 단체가 그짓 하는게 확실하다면) 사이버수사대에 올리거나 경찰서가서 직접 고소하세요. (가급적이면 경찰서로 가세요. 사이버수사대는 처리속도가 느려요. 증거자료 될만한거 다 챙겨가지고 가시면 경찰서에서 다 알려줄겁니다.)

Written By the Black Knight of Destruction

Written By the Black Knight of Destruction

codepage의 이미지

일단 네크로멘서 님의 말대로 해보시고요.
IP대역이 일정하지 않다고 해도 상관없습니다.
그 다음에 호스팅 업체의 firewall설정으로 막아버리세요.
호스팅 업체가 그거 하나 막는데 그렇게 비싼 댓가를 요구한다고요?
제가 볼때는 어떤 댓가가 없이도 그건 호스팅 업체가 알아서 막아줘야 하는 겁니다.
오히려 호스팅 업체에게 피해보상이라도 요구해야 되지 않나 십네요.

frenzy의 이미지

udp ddos 공격을 막기위해서는 ddos 로 인해서 발생하는 대역폭보다 더큰대역폭을 가진 인프라를 구성해야 합니다.
그러기 위해서는 많은 자본이 투입되게 되고요. 결국 비용이 추가될 수 밖에 없습니다.

요즘은 1G 정도의 공격은 ddos 공격이 아니고, 평균 4~5G 이상의 트래픽을 발생시키는 것이 대부분입니다.

만약 idc 에서 특정프로토콜제어를 해준다거나, idc 간 소스아이피 스푸핑을 할 수 없도록 구성한다면,
근본적인 해결방법을 구성할 수 있으나 기대를 안하는 것이 좋습니다.
+
++++++++++++++++++++++++++++++++++++++++++++++
혼자놀기의 도사가 되리라... http://geeklife.co.kr

.
++++++++++++++++++++++++++++++++++++++++++++++
혼자놀기의 도사가 되리라... http://geeklife.co.kr

inasys의 이미지

잊혀질만 하면, DDoS 공격을 받아 소스라치게 놀라곤 하는 서버관리자더랍니다 ;

저 같은 경우, DDoS 공격을 받으면 일단 로그를 의뢰합니다.
보통, KISA 혹은 사이버수사대 두군데에 수사를 의뢰하는 경우가 있지만,
KISA는 수사권이 없는 관계로, 동시에 두군데 모두 수사를 의뢰하면, 중복수사의 개념으로 KISA는 손을 떼게 됩니다.
(사이버수사대와 KISA는 공조가 안되는 모양이지요? -_-;)

아무튼, KISA는 의뢰받은 로그를 분석합니다.(인터넷 회사에서 들어오는 source ip로는 분석이 불가능하며, 기업이나 관공서의 고정ip 라면, bot을 조종하는 server의 위치를 알수 있다고 하네요)
이러한 로그 분석을 통해서, 역으로 거슬러 올라가서 server를 찾는데, 기한은 한 4, 5일정도 걸리는 듯 싶습니다.

p.s 호스팅 업체에서 막아주지 못한다기 보다는, 어떤 식으로든지 IDC의 코어에서 막지 않는다면, 트래픽 full로 인한 라우터(스위치) down 현상은 막기 힘들다고 봅니다 ㅠㅠ

========================================
Redhat으로 삽질하느니 Gentoo로 삽질하겠다.
삽질과 컴파일라인이면 뭐든지 끝이다.
그렇지만, 잠오는건 할 수 없잖아. -_-;
========================================

========================================
Redhat으로 삽질하느니 Gentoo로 삽질하겠다.
삽질과 컴파일라인이면 뭐든지 끝이다.
그렇지만, 잠오는건 할 수 없잖아. -_-;
========================================

sh0ut의 이미지

KISA는 수사권이 없는 관계도 있고, 수사권이 있는 기관이 수사를 진행하게 되면 큰 일 아니면 분석을 중단합니다.

참고로 KISA는 주로 국가정보원 국가사이버안전센터와 업무 공조를 합니다.

모지리의 이미지

DDOS는 흠.. 현 상황에서는 현실적으로 막는 방법이 없습니다.

답글 달아 주신분들중에 DDOS와 네트웍 장비에 대해 잘못알고
계신듯합니다. DDOS는 방화벽에서 차단될수 있는 성질의 것이
아닙니다. 방화벽이 존재하면 방화벽이 견디지 못하고 죽거나
공격당하는 앞쪽의 네트웍 트레픽이 차서 ISP 업체에서 링크를
빼버릴겁니다.

IP의 경우도 그렇습니다. IP 추적은 거의 의미가 없습니다. 대형
ISP나 대형 업체가 공격을 당한다면 추척을 할까 군소 업체나 일반
업체들은 추적 자체가 거의 불가능합니다. 가끔 블로그나 이런곳에
글 올려 놓으신분들이 ISP에 의뢰해서 공격지를 역으로 찾아낼수있
다고 하는데 장님 코끼리 다리 만지는 조언입니다.

찾을수는 있지만 현실적으로 불가능에 가깝습니다.

그리고 DDOS를 방어하는 네트웍 장비(방화벽은 애시당초 불가능, 현재
나와있는 최상위층 방화벽 장비들도 DDOS 받으면 그냥 죽습니다)의
경우에도 현실적으로 효용성에는 문제가 너무 많습니다. 결국 DDOS는
국가적으로 차단하지 않는 이상 지금은 답이 없습니다. 이게 현실입니다.

DDOS 공격하는 사람이 자기 IP달고서 공격할일은 만무하죠.

공격자 -- 중간 공격 서버 -- 좀비 PC

이런식으로 이루어지는데 중간 공격 서버도 숫자가 상당히 많고 대부분 국내
PC들입니다. 좀비 PC역시 국내 PC들이구요. 물론 IP는 모두 스푸핑되어 들어
올겁니다. 그래서 IP로 찾는것은 현실적으로 불가능하다는 겁니다.

결론은 전문적으로 이 부분을 처리해줄수 있는 ISP를 만나 해결하는 방법인데
비용이 너무 문제가 됩니다. 더불어서 DDOS 방어 해준다는 ISP들중 90% 가짜.
상황이 한마디로 메롱입니다. 쩝..

brucewang의 이미지

물론 그렇습니다.

Source IP는 proxy를 거치거는 등 스푸핑되거나, 대부분 ISP를 통해 NAT된 것이고, 특히 선량한 피해자가 zombie로서 자신도 모르게 공격에 참여하는 것이라 source ip추적으로 원 발신자를 찾는것은 힘든 일입니다. 하지만 그럼에도 누군가 구속되고 하는 일은 종종 신문에서 보입니다. 수사는 ip로그 만으로 하는 것은 아닐것 같습니다. 또, 사이버수사대에 대한 신고가 아무 의미도 없는 것이 될 정도로 실력이 없는 것도 아닐거라는 생각이 들고요. 경험담을 들어주시라는 말은 그래서 해 볼 수 있는 말 같습니다.

그리고 또한 이미 발생한 트래픽이 ISP를 통해 대상 호스트로 들어가는 만큼 그 경로에 있는 ISP 인프라의 피해는 어쩔 수 없습니다. 당연한 것인데, 호스트 머신 자체에 대한 피해는 막을 수 있다는 것이죠. 이것이 눈가리고 아웅이라고 하실 수도 있겠지만, 신고시 적어도 공격에 대한 내용 보고로 상위 route에 그 내용들이 보고되어 다른 사람들에게도 분명 도움은 될 수 있지 않겠습니까? 정말 들어오는 트래픽이 감당이 안되서 drop하는데만도 전체 자원100%을 사용하느라 방화벽이 뻗어버려 어쩔 수 없이 장비를 빼 버린다고 해도 그것이 ISP에 한숨은 돌리게 할 망정 그것도 근본적인 처리는 되기 힘들지 않을까요.

또한, 요즘 나오는 DDOS 관련 제품들이 전혀 사기는 아니라고 보여집니다.

돈이 많이 드는 ISP에서도 딱히 답이 없는 것은 마찬가지 일 것이라고 생각 되네요. 그런데 비싼 ISP로 옮기면 될 것이라는 것도 ISP에서 해줄 정확한 답은 아닐거구요. 최종사용자에게 어떻게든 도움을 주면서, 내부적으로도 저런 절차를 밟아 다른 이들에게 피해를 줄이는 것이 옳바른 방법이 아닐까 생각하는데 어떻게 보시나요.

저도 ISP 업체에서 일해본 경험은 없지만 님이 말씀하신 내용은 이미 알고 있는 내용이기 때문에 장님 코끼리 다리 만지는 조언을 줄 정도는 아닌것 같고, 또 ISP의 현실을 알고 싶고 해서 진심으로 여쭙는 겁니다. 이런 상황이 발생하면 '국가적 체계가 없다' 그러니 그냥 울 수 밖에... 하면서 그냥 놔 두시는 것인지요.

비싼 ISP에서 할 수 있는 방법이 그냥 튼실한 backbone이나 QOS등 기존 인프라로 그 트래픽들을 버텨 주는 것 이외에 뭔가 있는지를 말씀해 주시면 고맙겠습니다. 왜 방화벽 설정이나 DDOS 솔루션들이 도움이 안되는지도요. 원글님도 계시지만 저나 다른 분들 중 혹시나 현실 상황이나 보다 깊숙한 내용을 알고 싶어하실지 모르니까요. 안되더라도 "이렇게 이렇게 하면 되는데, 현실적으로 그렇지 못해서 90%는 그냥 어쩔 수 없다." 는 식의 표현하시면 더 공감을 일으킬 수 있지 않을까 생각해 봅니다.

한가지 궁금한 점이 생기네요. DDOS로 최 말단 방화벽이 죽을 때 어떤 방화벽이 얼마만에 죽었다... 하는 경험이 있으시면 말씀해주시면 재밌을 것 같습니다.

아무튼, 세부 내용을 지적해 주셔서 저도 답변을 드리면서 보다 상세한 표현이 된 것 같아서 감사합니다.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

모지리의 이미지

예. 지금 DDOS를 막는 방법은 통상적으로 2가지 방법을 쓰고 있습니다. 하나는 물량으로 막는것입니다. 보통 DDOS가 들어 오게 되면 1개의 타겟 IP로 2-30G 정도 들어 옵니다. 그래서 그보다 더 대역폭이 넓은 망에 장비를 위치해서 막는 방법입니다. 결국에는 막는게 아니라 DDOS가 들어와도 장비나 트레픽이 꽉 차지 않게끔 버텨주게 되는것이죠. 그리고 다른 한가지는 타겟 IP 해당 되는 장비의 물리적인 라인을 뽑아 버리는것입니다.

공격자 -- 중간 공격 서버 -- 좀비 PC

이것은 공격자의 플로우이고 공격받는 플로우를 보게 되면.

ISP A ---(백본)---+---- ISP C ---- 타겟 서버 D
|
ISP B ---(백본)---+

이렇게 구성이 되는데 A,B를 통해서 C ISP 망으로 트레픽이 유입되게 됩니다. 그래서 C가 가지고 있는 대역폭이
꽉 차버리는 현상이 발생합니다. 그러면 C는 다른 가입자들의 안전을 위해 D에 해당되는 라인을 뽑아 버리는것이죠.

왜 DDOS는 개별 ISP끼리 해결을 할수 없고, 또 DDOS를 막는 장비라는것도 가짜가 많은지는 네트웍 칲, 드라이버, OS가 동작되는 구조를 보시면 됩니다. DDOS를 쏘게 되면 중급 이하의 대부분의 CISCO 라우터는 죽습니다. 테스트는 간단합니다. 랩 환경에서 성능좋은 서버를 방화벽으로 구성해놓고 모두 DROP으로 룰을 걸어 놓고 이것을 경유해서 DDOS를 발생시켜보면 됩니다. 대부분의 방화벽이나 라우터들이 이 성능좋은 서버보다 CPU 성능이 낮습니다. 방어가 가능한 DDOS 장비는 현재 출시된것중에 제가 알기로는 2개 제품이 방어가 가능한것으로 알고 있는데 나머지는.... 이 부분에 대한 자세한 설명은 생략하겠습니다.

국가가 나서야 된다면 각 ISP끼리의 기간 백본 망사이에서 방어를 하거나 그보다 최선의 방법은 좀비 PC쪽이 위치한 각 ISP들의 상위측 장비(지역 네트웍 단말 장비)에서 해결을 해야만 효과적으로 방어가 가능합니다.

그리고 공격자를 찾는것은 공격받는 싯점에서 상위측 라우터끼리의 링크(IP가 아닌)를 따라서 찾아가야 하기 때문에 이것이 완전 수작업이고 업체끼리의 유기적인 도움이 필요 하기 때문에 시간도 상당히 걸리게 됩니다. 따라서 공격받는 당사자가 군소ISP거나 작은 업체라면 대형 ISP끼리의 협의는 거의 전무하죠. 그래서 현실적으로 불가능하다는 것입니다. 즉, 가능은 하지만 현실적으로 불가능하다는 말이었습니다.

brucewang의 이미지

현장에서의 실 경험 없이는 알수 없는 귀중한 내용 설명 감사합니다~

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

monovision의 이미지

약간 오해가 있을듯 하여 한 자 적습니다.
물론 대부분의 방화벽이 고사양의 서버보다 cpu 성능은 낮지만 ddos 방어에 최적화된 하드웨어 전용칩이 대부분 들어가므로,
대개의 경우 고사양 pc 보다 성능은 더 좋습니다.
하드웨어 전용칩이 없는 방화벽은.. ? 그냥 리눅스 깔고 브릿지로 돌리는게 낫습니다. ㅡ.ㅡ;;;

그리고, 최근 DDoS 공격과 관련하여 국가에서 정책적으로 막기 위해 isp 단에서 차단을 위해 ISP 끼리의 협의를 거치고 있습니다.
최근에 은행권으로 ddos 공격이 몇 번 있어서 ..... 쩝.결과가 어떻게 나올지는 모르지만...

slashdot의 이미지

안전한거 까지는 아니더라도... 대여폭이 수십G 이므로 어느정도 인바운드 어택에 대해서
보호할 수 있습니다.
대용량의 UDP 어택에 대해 안전한 IDC 를 찾으신 다면 메일 주세용 ^^;
전 영업은 아니고 연결해드리겠습니다.!!

slashdot 앳 nate.com 입니다. 메신저 추가해주세욤~

물론 TCP 를 사용한 CC Attack 류는 대책 없고요