이번 DDos 공격 같은 경우는 막을 방법이 없는건가요?

irdeal의 이미지

네이버 메일, 블로그, 옥션, 정부기관, 언론사......등등 일반인들이 많이 이용하는 꽤 큰 사이트들이 공격을 당해서 버벅되고 있는데요..

정말 이런 공격은 막을 방법이 없는걸까요?

codebank의 이미지

별 생각이 안나지만 막을 방법은 있겠죠.
언듯 생각난 방법은 채걸르기 방식을 이용하면 가능하지 않을까 하는 생각입니다만...
효율대비 비용이 별로 좋지 않을것 같다는 생각입니다.
계속적인 공격이라면야 어떻게든 만들어서 방어를 하겠지만 한번 당하고 누가 했는지를
찾을 수가 있다면 그리고 공격이 뜸하다면 막는 부분에 투자를 하지는 않을 것이라는
생각이 드네요.

어쨌든 '방법은 있으되 별로 돈이 안되니 하기는 싫다' 정도가 결론이 아닌까요? :-)

PS:막상 해당 공격을 당해도 하루 이틀후면 그런 것 쯤은 그냥 스위치 눌러서 전원을
껏다가 켜버리는 정도로 생각할지도 모르죠. 쩝...(실제로 저는 IP 막고 심하면 reboot을... :-))
------------------------------
좋은 하루 되세요.

------------------------------
좋은 하루 되세요.

sooily의 이미지

방법은 있지만
금전적으로 엄청나게 들어간다고 들은것 같아요..

나는야...게으른 바보베짱이

irdeal의 이미지

네이버나...옥션 같은 곳도 감당하지 못할 정도로 큰 비용이 들어가는 건가요?

그렇담 이용할 수 있는 곳이 거의 없다는 것 같은데..

May The Force Be With You
irdeal

May The Force Be With You
irdeal

ruinfire의 이미지

DDOS 같은 경우 근본적으로 방어가 힘들다고 하던데.

돈 여하를 떠나서 트래픽을 먹는다거나 컨넥션을 먹는 그런 DDOS 들은 어떻게 막을 방법이 많지 않죠.

기껏해봐야 black list 를 만든다거나 timeout 을 줄여서 혹은 url 을 redirection 해서 막지만

그것도 금방 다른 방법을 사용하니 어떻게 보면 창과 방패 라고 생각하시면 될꺼 같아요.

돈이 문제가 아닌거죠...

------------------------------------------------------
팔 어딘가가 간지러운데 찾아 긁을 수 없는? 그런 기분??

------------------------------------------------------
팔 어딘가가 간지러운데 찾아 긁을 수 없는? 그런 기분??

queryman의 이미지

DDos 공격은 트래픽을 잡아먹는 공격이니...

idc 한곳에 두지말고 여러곳의 idc에 같은 역할을 하는 서버를 둬야죠...

그러면 100% 잠식이 안될수도있잖아요...

한곳에 1g 밴드위드가있는데 ddos가 1기가 들어오면 서비스가 안되듯....

10곳에 1g 밴드위드 놓으면 좀 더 막기 편하니깐요... 다만 비용이 ㅡㅡ;;

돈투자 해서 안되는건 없다고 봅니다....

것보다 중요한건 정보통신부 없애놓은거 다시 살리는게;;

-------------------------------------------------------------------------------------------
생각은 지나가던 개새끼도 하지.. 실천하는건?? 나도 할수있지...
http://www.mrdics.com


-------------------------------------------------------------------------------------------
이놈의 IT 생활... 실증나고 짜증나고...
근데 왜 맨날 it관련 소식만 보고 ;;; 님휘

chirho의 이미지

현재 보편화된 anti DDoS 방법론은 피해자의 위치에서 공격을 막아보자는 것입니다만,

피해자 단에서 주어진 bandwidth를 모두 잠식해 오는 이번과 같은 대단위의 DDoS 공격으로부터는

anti DDoS 솔루션도 마땅한 해결책을 제시하지는 못하는 것 같습니다.

오히려 공격자(좀비 또는 봇)의 위치에서 공격을 사전에 차단하는 것이 근본적인 해결책일 텐데

DDoS의 특성상 개개의 공격자가 생산하는 트래픽이 그렇게 많지 않아서 DDoS 공격 판정이 쉽지 않고

결과가 딱히 눈에 드러나지 않는 점 (피해자의 위치에서는 결과가 확연히 드러나죠) 등이

공격단에서 DDoS 차단에 걸림돌인 듯 합니다.

2005년 내 인생의 전환점.

paek의 이미지

가장 좋은건 컴퓨터 사용자들의 자신의 컴퓨터에 악성코드와 DDos 같은 프로그램이 설치 안되게 하는게 가장 좋은거죠.

대부분 최종 좀비 컴퓨터는 자신이 쓰고 있는 컴퓨터에서 일어나니깐요..

이게 한국에서 유독 심할수 있는것도 9x%에 이르는 윈도우OS 라는 점도 문제 이기도 하죠.

뭐 그런겁니다.

첨언. 정부에서 아예 백신을 전국민 상대로 무료로 배포하면 좀더 좋아질꺼 같기도 한데 말이죠...

--------------------------------------------------------

세상에서 나의 존재는 하나이다.
그러므로 세상에서 나는 특별한 존재이다.
-
책망과 비난은 변화가 아니다.
생각만으로 바뀌는것은 아무것도 없다.

--------------------------------------------------------

세상에서 나의 존재는 하나이다.
그러므로 세상에서 나는 특별한 존재이다.
-
책망과 비난은 변화가 아니다.
생각만으로 바뀌는것은 아무것도 없다.

imyejin의 이미지

그냥 윈도우즈라는 것까지는 그나마 봐줄만 한데 액티브 엑스 보변 반사적으로 "예"를 누르도록 길들여져 있는 엽기적인 웹환경이 정말 문제죠.

임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

나는오리의 이미지

네이버로 접속시도하는 모든 IP를 막으면 가능합니다.

그 외에는 원천적인 해결 방안이 현재로써는 없습니다.

irdeal의 이미지

결국 현재는 현실적으로 불가능 하다는 이야기로 들리는군요...

그런 솔루션을 개발할 수 있는 방법은 있을까요? ^^;

May The Force Be With You
irdeal

May The Force Be With You
irdeal

youlsa의 이미지

DDOS 공격에 대해 가만 생각해보면 공각기동대의 Stand Alone Complex가 생각이 나네요.

사람들의 몸이 의체화가 되고 뇌가 CPU와 연결되는 세상이 오면 이런 DDOS 에이전트를 사람들 뇌에 심어서 한날 한시에 특정 위치를 (물리적으로) 공격하도록 한다던지 하는게 가능하지 않을까 하는...

현 정부의 시각에서 보면 불법집회? ^^

=-=-=-=-=-=-=-=-=
http://youlsa.com

=-=-=-=-=-=-=-=-=
http://youlsa.com

세이군의 이미지

"애플시드 Ex Machina"를 보면 '커넥서스'라는 장치가 나옵니다.
팔콘이라는 조직에서 이 장치를 이용해서 사람들을 조종해서 올림푸스를 공격하게 하죠.

didwogur11의 이미지

뉴스 방송에서도 디도스 디도스 하던대 그럼 서비스 거부 공격은 도스 라고 읽는듯?

잘못된 용어 아닌가요? 양키들도 디도스 라고 읽나요? 이개 궁금한 이유는 뭐지 ㅡ,.ㅡ;

danskesb의 이미지

DDoS는 Distributed Denial of Service라서 그렇습니다. 맨 앞에 있는 D는 분산형이라는 뜻이죠.

---- 절취선 ----
http://blog.peremen.name

Deios의 이미지

디디오에스(DDoS)와 디오에스(DoS)가 (디도스와 도스보다)맞는 표현으로 알고 있습니다.
얼핏 도스(DOS;Disk Operating System)와 구분하기 위해서 이렇게 부른다는 소리도 들은것 같은데 정확한 출처는 기억나지 않습니다.

구글신께 의뢰를 해보니 디디오스(DDoS)라는 표현도 있군요.

누가 정확한 발음좀...

P.S.1 리니지 프리섭 운영하는 쪽에서 디도스라고 부르는것 같습니다.
친구놈이 리니지 프리섭 만들겠다고 하면서 디도스 어쩌고 하더군요.
그래서 '쪽팔리게 전산전공자가 디도스가 뭐냐? 디도스가? 그건 뭐냐? 먹는거냐?'라고 했는데...

P.S.2 DDoS를 디디오스 라고 읽으면 DoS는 디오스가 되는군요. 제 닉네임을 주변사람들이 디오스라고 읽던데, 그래서 별명이 (냉)장고라는... 저는 데이오스입니다....

P.S.3 한글로 적을때는 '분산 서비스 거부 공격'과 같은 이미 있는 용어를 사용해줬으면 합니다. "발음(원어)"형식의 병기는 뭔가 이상합니다.

================================
http://deios.kr
$find / -perm 750 | grep girl

$

================================
http://deios.kr
$find / -perm 750 | grep girl

$

파도의 이미지

접속이 안되는 사이트들이 늘어나고 있네요..

이러다 인터넷 종량제 다시 하겠다고 나오는게 아닐지 걱정입니다.

그건그렇고, 2만 2천대의 PC가 무슨 일을 벌이고 있는지도 모른 채로 돌아가고 있다니, 이건 좀....
제 PC도 이용당하는게 아닐까하는 의심도 생깁니다. 리눅스인데...

--------Signature--------
시스니쳐 생각 중..

ifree의 이미지

현재 안철수 연구소와 이스트 컴퓨터가 공격받고 있다고 뉴스 나오네요.

파도의 이미지

문득, 범인이 고등학생일 것 같다는 생각이 듭니다.

이런 공격은 보내는 쪽(그러니까 개인PC에 인터넷을 제공해 주는 업체)에서 차단해야 해결책이 있다고 생각됩니다.

--------Signature--------
시스니쳐 생각 중..

Northway의 이미지

음...

지금 장비들보면 대부분이 유입 트래픽쪽만 차단하는 방식 아닌가요?

각 지역(수도권이면 동급, 지방 소도시는 시급)의 게이트웨이 쪽에 유출 트래픽을 감시하고

한 IP에 대해서 많은 외부 접속시도가 발생시 IP를 블럭 하는 방법은 어떨까요?

전국에 장비를 다 설치해야하는 비용적인 문제가 크겠죠

그냥 저의 짧은 생각입니다.

=============
Their Finest Hour!!
=============

=============
Their Finest Hour!!
=============

Necromancer의 이미지

IPS 등등을 업데이트해서 일부는 막을 수 있습니다.

못 막는 부분은 다 ... 몸빵 ... 입니다.

Written By the Black Knight of Destruction

Written By the Black Knight of Destruction

블루스크린의 이미지

"인터넷 네트워크 테러 방지 특별법"이 생길지도 모르겠네요

1. DDOS 의심 PC의 인터넷 서비스 차단 의무를 ISP에 부과
2. ISP의 인터넷 서비스 차단에 따른 책임면제(약관에서 정할수 있겠죠)
3. DDOS 주요의심 PC의 강제 수용(범인을 추적하기 위함)
4. 주요 네트워크 관리자의 DDOS 방지의무 부과
5. 연구 및 예방 목적의 해킹 합법화

-------------------------------------------------------------------------------
이 댓글(comment)의 수정 및 삭제를 위해 이 글에 답글(reply)을 쓰지 말아 주십시요.
의견이 있으시면 원 글에 댓글(comment)로 써 주세요.

-------------------------------------------------------------------------------
이 댓글(comment)의 수정 및 삭제를 위해 이 글에 답글(reply)을 쓰지 말아 주십시요.
의견이 있으시면 원 글에 댓글(comment)로 써 주세요.

파도의 이미지

인터넷 서비스 차단은 벌써 논의 되고 있군요.
http://news.naver.com/main/read.nhn?mode=LPOD&mid=sec&sid1=001&sid2=140&oid=001&aid=0002755109

보통 Dos공격의 경우 소스IP를 변조해서 보내는데, ISP가 자기회사에 배당되지도 않은 말도 안되는 이런 트래픽만 차단해도 될 듯 합니다.

--------Signature--------
시스니쳐 생각 중..

primewizard의 이미지

숙주인 악성 코드에 감염된 MS 윈도우 PC가 문제인데...
정부가 DDoS 공격이 잠잠해질 때까지 리눅스령을 내려서
리눅스만 사용하도록 하면.....^^;

angpang27의 이미지

DDOS 뜨면, 뉴스에서 일반 인터넷 사용자들은 당분간 랜선을 빼주세요.
안빼면 형사처벌 들어갑니다.
그리고 이제됐으니 꼽으세요. ㅋㅋ

아직 술이 들께서 죄송.ㅠㅠ

고통이 지천에 있다한들 어이해 멈출수있더냐

bookgekgom의 이미지

미국 사이트는 안전한건가요?

몇몇 사이트가 다운됬던데 그냥 내 상상?
---------------------------------------------------------------------------------------------------------------
루비 온 레일즈로 만들고 있는 홈페이지 입니다.

http://jihwankim.co.nr

여러 프로그램 소스들이 있습니다.

필요하신분은 받아가세요.

---------------------------------------------------------------------------------------------------------------
루비 온 레일즈로 만들고 있는 홈페이지 입니다.

http://jihwankim.co.nr

여러 프로그램 소스들이 있습니다.

필요하신분은 받아가세요.

keinus의 이미지

요즘엔 웬만한 공격은 다 막습니다. 돈만 있다면... 단순한 DDoS 공격 같은거는 방화벽 단에서 패턴 매칭으로 막는다고 합니다. 동일 패턴 공격의 경우에는 일정 시간 내에 들어온 동일 패킷은 discard하는 방식으로 막는다고 하는데....
이번 공격은 조금 다르다고 하는군요.
http://blog.daum.net/samsunglions/59
막기 힘든듯 합니다.

김정균의 이미지

다 막지 못합니다. 장비들 마다 막는 패턴이 있고 못 막는 패턴이 있습니다.

그리고 DDoS 유형만 해도 30가지가 넘습니다. 그리고 계속 변종이 나오고 있고요. DDoS 장비들은 백신과 별로 틀릴 것이 없습니다. 기존의 유형은 어느정도 (100% 막지는 못합니다. 오탐 비율이 꽤 됩니다. 즉 정상적인 사용자도 막을 수 있는데, 이건 network 구조의 한계이기 때문에 어쩔수 없습니다. 그래서 stcp 같은 protocol들이 나오고 있는 것이죠.) 막을 수 있지만, 새로 나온 유형에 대해서는 분석 후 대응이라는 동일한 패턴을 가지고 있습니다. 즉 후속 조치 밖에 되지를 않는 다는 것이죠.

그리고 요즘 현업에서 DDoS 대응을 해 보면, traffic을 유발시켜 bandwith 를 채우는 공격 보다는 session 자체를 많이 만들어서 응답을 못하게 하는 형태가 더 많은 것 같네요. 좀비 18000 개 (흠 28000개라고도 하고..) 로 40-50G 되는 bandwidth를 꽉 채우기는 쉽지 않죠. (좀비의 특성상 traffic을 과도하게 유발 시키면 당연 짤릴테니.. 좀비들은 티를 내면 안되겠죠 ^^)

angpang27의 이미지


DDOS 때매 뉴스에 계속 난리라서
제가 정보보안업체 주식좀 사야겠다고하니..

저희 본부장님이..
MB정권은 경비업체를 다 불러 들여서 서버 지키게 할꺼라면서..
경비업체 주식을 사는게 맞다는군요.

캡스로 할까요?

고통이 지천에 있다한들 어이해 멈출수있더냐

freestyle의 이미지

뉴스를 보니, 방통위에서 좀비PC 접속을 차단한다네요...

허를 찌르는 단순함 아닌가요 ^^ㅋ
--------------------
Go to the U-City

----------------------------------------------------------------------------------------
Don't Feed the Trolls!
----------------------------------------------------------------------------------------

yoonseok83의 이미지

지금 이게 공격인지 아닌지 모르는거 아닐까요??? 획기적인 방법이라...
[긍정의 힘을 믿는다.]

int life()
{
조건과 반복
return 1;
}

kkb110의 이미지

여담인데. 개소문닷컴에서 기사를 읽다가 어떤 댓글을 보고 참 씀슬해지네요 ㅡㅡ;

[fatas]
한국이 윈도우 유져가 가장 많다는건 정말 웃기는거야.
완전 다들 좀비 군단일꺼 아냐.

warpdory의 이미지

관점을 약간 달리해서 ....

서버단이 아닌, 클라이언트단에서 본다면 ...

결국 개인사용자가 얼마나 자기 PC 를 잘 관리하느냐인데....
윈도에 국한시켜서 생각할 때, 윈도 업데이트를 제때 제때 하는 사용자는 극히 드물 뿐더러, 백신 깔면 느려진다고 안 깔고 쓰는 사람도 많습니다. 특히나 불법복제판들에서 윈도 업데이트 깔고 나서 인증하라고 뜨는 것 때문에 ... 그거 막는다고 윈도 자동업데이트 기능을 끄는 것이 네이버 지식인에 떠 있을 정도면 할말 다한 거죠.
윈도 업데이트는 귀찮다고 자동업데이트 기능을 꺼버리는 사람도 많고, 제발 업데이트 시켜달라고 시스템 트레이에 노란 방패 떠 있어도 '저게 뭐지 ?' 라는 경우가 적지 않습니다.
또, 어떤 일은 하는지는 몰라도 백신 깔면 느려진다고 백신 안 쓰는 사람도 많던데, 백신 깔아서 느려질 정도의 PC 사양이라면 업그레이드를 하는 게 낫습니다.
대부분 이런 경우는 자기 자신은 바이러스 안 걸린다고 자부합니다만, 열심히 걸려서 다른 사람들에게 전파하는 매개체가 되죠. - 백신을 안 깔았으니 걸려 있는지도 모르는 경우가 ... 백프롭니다.

---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.
http://akpil.egloos.com


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

fltoll의 이미지

틀린 내용은 아니죠.
보안패치 매번 해주고 백신 깔아서 사용하고 실시간 감시도 켜놓고 사용하면 좋죠..
그런데 그렇게 하지 않았다고 해서 그 책임을 사용자의 관리 소홀에 전가하는 것은 좀 문제가 있는 것 같습니다.
자신이 PC가 악용될 수 있으니 관리에 신경쓰라고 강요하는 것은 사용자 입장에서는 별로 기분 좋지 않게 받아 들일 수 있다고 생각합니다.
윈도우즈 시스템이 수만대 있다고 한다면 그중에 일부는 보안에 취약하다고 가정하고 대처하는 것이 맞다고 생각합니다.

warpdory의 이미지

책임을 전가한다는 얘기가 아닙니다.

자신의 PC 는 자기가 관리하자는 얘깁니다. 결국 바이러스든 뭐든 걸리면 자기 시간 날리고, 윈도를 포맷하든 치료를 하든 뭘 하든간에.. .. 설사 서비스 업체에 맡겨서 처리하더라도 돈이 나가든가, 일정시간동안 컴퓨터를 못 쓰는 일은 생깁니다.

윈도즈 시스템 수만대중 일부가 보안에 취약하겠지만 ... 그 일부 땜에 난리치는 걸 한두번 본 게 아니어서 그렇습니다.
그리고, 경혐성, 그중 일부가 보안에 취약하지 않습니다. 대부분 보안에 취약합니다.
kldp 에 드나드는 사람들이야 어느정도 컴퓨터에 대한 개념이나 지식이 있겠습니다만, 보통은 '난 몰라 배째' 분위기 이거든요. - 하다못해 저 역시 회사에서는 '컴맹'으로 행세합니다. 괜히 아는 척 해 봐야 컴퓨터 조립해 달라 뭐 해 달라... 귀찮아 지거든요.

---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.
http://akpil.egloos.com


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

fltoll의 이미지

네 어느정도 공감가는 부분입니다.
저도 그런 불량 사용자가 많아서 귀찮아 진적이 꽤 많습니다.
다만.. 그런 불량 사용자가 있더라도 난리까지는 일어나지 말아야 하는것 아닌가 해서 적은 겁니다.
모든 윈도우즈 사용자가 변하기를 바라기 보다는 윈도우즈의 보안이 향상되는게 맞다고 생각합니다.

warpdory의 이미지

네 맞아요.
윈도즈 보안이 향상되어야 합니다.
그런데... 그러려면 ... 앞으로도 몇년... (혹은 영원히..) 기다려야 할지도 모르니 ... 일단 개인 스스로 알아서 하는 수 밖에는 없다는 거죠 .. 쩝...

---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.
http://akpil.egloos.com


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

dhunter의 이미지

MS에서 시큐리티 에센셜이라는 백신을 내놓더군요.

이게 윈도 차기작에 들어가고, XP를 안 쓰게 되면 (비스타 이후의 윈도 업데이트는 굉장히 개선되어 있습니다) 그걸로도 어느 정도 수준에는 도달 할 거라 생각됩니다.
--
from bzImage
It's blue paper

from bzImage
It's blue paper

Hyun의 이미지

가상머신에 윈도우를 돌리고 있었는데 오늘 확인해보니깐 백신이 돌지 않고있었네요. 업데이트도 안한지 오래여서 xp sp2로 돌고있었구요... 쩝. 백신 받아서 돌려보니깐 바이러스는 나오지 않아 그래도 다행입니다.
뭐, (한글이나 OO.o에서 작업 안되는 워드정도의) 문서작업만 할꺼고 가상머신이라 성능문제도 있고 해서 백신은 계속 깔지 말아야 하겠네요. 다만 업데이트좀 신경써주고 가끔 백신 받아서 검사나 해줘야겠습니다.

참, 백신은 V3+ Neo가 설치하지 않고 바로 실행, 검사, 치료 기능이 있어 깔끔하더군요.


나도 세벌식을 씁니다
pcharley의 이미지

서버단에서 100% 방어는 현재로는 거의 불가능하다고 볼 수 있습니다.
악성 코드나 악성 패킷이 아닌 정상적인 패킷을 사용한 공격, 거기다 공격 대상은 외부로 오픈된 사이트...
창과 방패로 본다면 창이 일단은 먹고 들어가는거죠...ㅡ.ㅡ;

CC 어택같은 L7 단 공격은 장비를 사용해서 어떻게든 방어를 한다고 하더라도 -물론 100%는 힘듭니다- UDP
공격같은 트래픽 공격은 사실 대책 안서는게 사실입니다.

winterprincess의 이미지

현재 가진 서버로는 트래픽이 엄청 큰 DDOS를 막기란 거의 불가능합니다.
일정 패턴으로 들어오는 공격인 경우 그것을 분별하여 패킷을 폐기 하면 되긴 되는데,
문제는 그 패턴을 감지하는 문자열 비교가 CPU로드를 엄청 먹게 됩니다.
그럼 HEX나 다른 Binary 형태로 비교하면 되지 않겠냐라고 말씀하신다면 그래도 거의 불가능할 것 같습니다.

현재 IPS 장비를 개발중에 있지만, DDOS는 논외로 그냥 DOS공격만 막을 수 있도록 고안하니까요.

오직 겨울 공주를 위하여.

-----------------------------------------------------------------------------------

오직 겨울 공주를 위하여.

freestyle의 이미지

포털은 왜 www로 공격하지 않고 mail서버를 공격한 건가요?
------------------------
Go to the U-City

----------------------------------------------------------------------------------------
Don't Feed the Trolls!
----------------------------------------------------------------------------------------

namsuni의 이미지

오늘 아침 뉴스에서~
제 기억으로는 KBS인거 같은데~
전문가 같은 사람이 나와서 하는 말이~
이번 같은 DDos공격은 원천적으로 방어하는건~
좀 어렵다고 하던데요~

cleansugar의 이미지

야동 다운받으면 디도스에 걸릴수도
http://news.kukinews.com/article/view.asp?page=1&gCode=all&arcid=0921348498&code=41141111&cp=nv1

ㅋㅋㅋㅋ 어떻게 하면 야동받고 디도스 걸리는겁니까?
___________________

http://blog.aaidee.com

재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.

아이디의 아이디어 무한도전
http://blog.aaidee.com

귀태닷컴
http://www.gwitae.com

creativeidler의 이미지

마침 우리 회사에 예전에 DDoS 방어 모듈 해봤던 친구가 있어서 이 문제로 이야기를 좀 해봤습니다. 저도 웹 서버 단에서는 DDoS 공격에 대응을 해본 적이 몇 차례 있구요.

현재 서버단의 대응은 보통 라우터나 스위치, 로드밸런서 선에서 감지하는데 그칩니다. 한 IP에서 서버 IP에 특정 포트로 요청이 1초에 몇 회 이상 들어오면 공격으로 감지해서 보고를 합니다. 이 감지하는 룰을 얼마나 잘 만들고, 성능이 얼마나 나오게 하느냐가 방어 모듈의 성과를 결정 짓는다고 합니다. 그런데, 웹서버보다 앞단에서 패킷만 보고 막다보니 성능 문제 때문에 패킷을 파싱까지는 못하고 IP와 포트 밖에 못 봅니다. 그래서 이게 정상 요청인지 DDoS 공격인지 판단하는 룰이 상당히 애매하다고 합니다. DDoS 공격도 이런 방어 모듈의 룰을 어느 정도 예상하고 공격을 날리기도 하구요.

그런데, 웹 서버의 입장에서는 조금 다릅니다. 웹 서버는 이미 로드밸런서를 거쳐서 패킷이 도착하고 파싱까지 하는 게 디폴트인 상황이기 때문에 조금 더 지능적인 방어를 할 수 있습니다. IP, 포트에 URL까지도 감안한 룰을 만들 수 있고, 게다가 로드밸런서 앞에서 할 때에 비해 성능 문제를 거의 고려하지 않아도 됩니다. 그래서 1초 동안 10회 이상 한 IP에서 반복 요청이 온다든지 하는 룰에 걸리면 공격으로 간주하고 아예 HTTP 에러로 응답을 줘버립니다. 그러면 웹서버는 공격을 최소한의 비용으로 커트할 수 있죠. 그래서 이번 공격처럼 2만대 정도 규모의 DDoS 공격이라면 서버 100대 이상 굴리는 곳들은 별 피해 없이 막을 수 있습니다.

하지만, 보통 보안 업체들이 웹서버에 붙이는 형태로 보안 모듈을 팔지 않습니다. 그래서 웹서버에서 선택할 수 있는 대안이라고는 오픈소스로 나와 있는 아파치 모듈 정도가 한계입니다. 그러다보니 대형 인터넷 서비스 회사들에서는 보안 업체의 모듈을 구입하는 선택을 하게 되죠.

이번에 네이버는 2차 공격 때 아무 피해를 입지 않았는데요. 네이버가 사용한 방법은 다른 도메인으로 리다이렉트를 시키는 것입니다. mail.naver.com으로 온 요청을 그대로 mail2.naver.com으로 돌려버렸죠. 그래도 사용자는 아무 문제 없이 쓸 수 있지만 공격 봇은 리다이렉트를 처리하지 못해서 그냥 막혔죠.

이렇게 선방이 가능했다는 것은, 마찬가지로 웹 서버에서 막았다면 쉽게 막을 수도 있었다는 뜻이기도 합니다.

물론, 이렇게 해도 PC가 수백만대 동원되서 요청 날리면 어쩔 수 없습니다. 그리고 서버 한두 대 굴리는 사이트라면 웹 서버에서 완벽하게 걸러서 막더라도 2만대의 공격이면 그냥 죽어버릴 수 있습니다. 어쨋든 물량의 문제니까 DDoS 방어의 핵심은 DDoS인지 아닌지 잘 판단하는 것, 그리고 그렇게 판단된 공격은 최소한의 서버 로드로 돌려버리는 것입니다.

아뭏든, 질문에 대한 답을 하자면, 이번 공격 정도의 스케일이면 네이버나 옥션, 정부 사이트 정도면 큰 피해 없이 막을 수 있도록 서버에서 대응책을 마련할 수 있다. 하지만 이 공격의 10배면 네이버 말고는 다 못 막고 100배면 네이버도 힘들고 1만 배쯤 되면 구글도 휘청거리게 할 수 있다...정도로 정리할 수 있겠습니다.

irdeal의 이미지

음...단순히 redirct로만 가능할까요?

아무래도 iptables하고 좀 섞어써야 하지 않을까 싶은데...

얼핏 nhn도 그렇게 했다고 하는것도 같고..

May The Force Be With You
irdeal

May The Force Be With You
irdeal

monovision의 이미지

이번 공격은 단순 redirect 로 회피가 가능했습니다.
redirect 기능 구현이 어렵지 않은 만큼.. redirect 기능을 추가해서 이번처럼 공격이 들어오면 대략 답이 없을 듯 싶습니다...

김정균의 이미지

그런데, 웹 서버의 입장에서는 조금 다릅니다. 웹 서버는 이미 로드밸런서를 거쳐서 패킷이 도착하고 파싱까지 하는 게 디폴트인 상황이기 때문에 조금 더 지능적인 방어를 할 수 있습니다. IP, 포트에 URL까지도 감안한 룰을 만들 수 있고, 게다가 로드밸런서 앞에서 할 때에 비해 성능 문제를 거의 고려하지 않아도 됩니다. 그래서 1초 동안 10회 이상 한 IP에서 반복 요청이 온다든지 하는 룰에 걸리면 공격으로 간주하고 아예 HTTP 에러로 응답을 줘버립니다. 그러면 웹서버는 공격을 최소한의 비용으로 커트할 수 있죠. 그래서 이번 공격처럼 2만대 정도 규모의 DDoS 공격이라면 서버 100대 이상 굴리는 곳들은 별 피해 없이 막을

제가 있는 곳이 웹서버가 그 정도 규모가 되는데, 못 막습니다. 제가 구동하고 있는 웹서버는 초당 300개의 쿼리를 처리하고 있고, 최대 500-600개를 처리할 수 있습니다. (static file만 처리해도 된다면 가능 합니다. 님의 말씀이 가능 합니다.. lighttpd 나 nginix 같은 single thread 용 daemon 을 이용하면 대당 20000개 정도를 동시에 처리할 수 있으니까요.) 그렇다면, 대당 초당 500개가 가능 하다면 초당 50000개의 처리를 할 수 있다고 가정을 합니다. 그럼 20000개 정도의 zombie는 막을 수 있으시다고 생각하시겠지만, 의외로 웹서버의 처리 속도는 빠릅니다. 즉, 1개당 0.0x 초에서 최대 0.x 초 안에 하나를 처리해야 하는데, 한 session 이 0.1초만 지연 시켜도 성능은 엄청나게 떨어집니다. 그래서 apache 같은 경우에는 MaxClient에 걸려 버리는 문제가 발생합니다.

오히려 traffic attack 은 IDC와 협조해서 필요없는 부분을 과감하게 drop시킬 수 있지만, 이런 식으로 MaxClient를 노리고 들어오면 답이 없습니다. 왜나면 정상적인 방법으로 시간만 약간 지연 시켜서 들어오기 때문입니다. 이번 공격은 제가 있는 회사쪽으로 직접 들어오지 않아서 어떨지 모르겠지만, 올해 내내 이 공격 때문에 머리를 앓고 있지만, 장비도 제대로 detect 하지 못하고, pattern 도 만들기 힘들어서 계속 MaxClient 도달 전에 apache 를 restart 하는 신공 같은 것으로 버티고 있기도 합니다.

DDoS는 traffic resource를 이용하기도 하지만, system resrouce도 이용합니다. 그런데 DDoS 장비나 Network 장비들에 비해서 Server들은 system resource를 훨씬 많이 사용합니다. 그런데 Server에서 DDoS를 대응 한다는 것은 좀 장난 같은 일이죠.

그래서 요즘은 DDoS 대응에 님이 말씀하셨던 내용들을 L7 장비를 이용해서 대응하는 경우도 있습니다.

revol2236의 이미지

라운드로빈으로 서버를 계속 교체하는 방법 밖에는 없는 건가요??

everyday linux

============================================

비가오면 사람들은 눈물흘리고

그빗물에 흘러내린 눈물감추고

파도의 이미지

마지막에 좀비PC의 하드디스크를 지우는 것은 사과의 의미라고 생각해야 할까요?

--------Signature--------
시스니쳐 생각 중..

쎄시봉의 이미지

백신 프로그램을 웜형태로 배포하는 건 어떨까요? -_-;;

죄송.. (__)

seaofmagic의 이미지

음, '음지에서 일하면서 양지를 지향하는' 방식이군요.ㅋㅋㅋ
나름 괜찮은 것도 같습니다.ㅋ
---
Make Better Life.


---
Make Better Life.

sblade의 이미지

학계에서 DDoS 관한 페이퍼가 본격적으로 쏟아져 나오기 시작한지 10년쯤 되는데 아직도 누가 자신이게 "풀었다" 고 말하는 사람이 없죠. 워낙 핫 토픽이고 관련 분야 좀 똑똑하단 사람들이면 한번씩 다 생각해볼만한 일이고 한정된 상황에서만 잘 되어도 "풀렸다" 고 떠들어대고 다음 토픽으로 넘어가는 곳이 학계인데 아직도 핫 이슈인 것을 보면, 근본적인 해결 방안은 뭔가 정말 획기적인 솔루션이 필요한 일인 듯 합니다.

hiseob의 이미지

DDoS 는 현재로선 뭐 답이 좀 없지 않을까 싶은데요
제가 생각하는 가능성으로는
위에서 회원님이 말씀하신대로 웜형태의 백신 이나 국가적으로 법령으로 백신 설치 하게 하던지...

아니면 MS에서 윈도우를 만들때
백신/방화벽 설치 안하면 윈도우 사용불가 (어떻게 보면 참 못났다는... 백신없으면 불안해서 인터넷을 못하죠)
업데이트가 너무 오래되었다면 강제적으로 업데이트 시켜버리거나...