ISP업체들 ICMP 막아...

서지훈의 이미지

어제 토요일부터 하나로를 시작으로 국내 ISP 업체들이 ICMP 를 막고 있습니다.
이유는 ICMP 를 이용한 윌시아 웜바이러스 때문입니다.
ICMP 패킷을 무작위로 보내서 MS 패치가 안된 컴퓨터에 자동 침투되도록 만든것이 윌시아 웜바이러스입니다.
그로인해 정보통신부는 국내 ISP 업체에 요청을해서 ICMP 를 막아달라고 했습니다.
현재 하나로 전지역에 PING 테스트나 TRACERT 의 기능이 안되구요.
ICMP 를 이용한 서버 원격관리 프로그램 역시 안되고 있습니다.
아직 다른 업체들은 내일이나 모레부터 막을 계획이라고 합니다.
단지 웜바이러스 때문에 이런 고생을 해야 하겠네요.
PING 기능이 막히면 우선 당나귀 같은 P2P 에서 서버 접속이 안됩니다. 죽은 서버라고 나오죠.
또한 PING 기능을 이용한 온라인 게임같은곳에서 서버 접속이 안되거나 원할한 접속이 안되고 있습니다.
그리고, 클라이언트가 서버로 핑값을 보내지 못해서 클라이언트가 서버의 인식을 못하는 경우도 생기고 있습니다.
이번 웜바이러스 여파가 클것으로 예상됩니다.

윌시아 웜바이러스는 중국에서 제작되었으며 2004년 1월1일 자동으로 삭제되는 기능도 갖고 있습니다.
그러므로 이번 웜바이러스에 의해 ICMP 막힌것은 2004년 1월 1일까지는 막히는걸로 봐야 합니다.
아무튼 아무 공지 없이 이런것은 소비자를 기만한 것으로 봅니다.
이마 금요일부터 ICMP 를 막고 있으며 지금 시각 일요일 저녁인데도 아무런 공지를 하지 않고 있습니다.
고객지원센터에 전화를 하면 ICMP 를 막고 있다고 알려 줍니다. 모르는 사람은 그냥 자신의 컴이 잘못된줄 알고 포맷을 해야 하는 경우도 생길수가 있습니다.

핑의 기능을 못하면 자신의 핑로스,핑손실률이 얼마나 되는지 또는 접속하려는 서버의 핑값이 얼마인지 모르게 됩니다.
벤치비나 기타 속도 테스트 사이트에서 핑손실률이 100% 가 나오는 경우가 나오고 있습니다.
이는 핑기능을 막아 놓기 때문에 테스트가 안되고 있을뿐 오류는 아닙니다.
내일부터 전국 ISP 업체들이 막을텐데 그 여파가 클것으로 보고 있습니다.
정부나 ISP 업체들은 다른 준비책도 없이 단지 ICMP 를 막는것으로 피해를 최소화하려 하고 있습니다.
또한 일부 사용자들이 MS 패치를 하지 않아 생기는 문제도 있습니다.
하지만 전세계의 사용자들이 100% 패치를 할수 있을지도 의문입니다.

현재 어떠한 대응 방안도 없이 2004 년 1월 1일이 오기를 기다려야 합니다.
그안에 2010년까지 작동되는 웜바이러스가 나온다면 어떻게 될까요.
이건 정부나 ISP 업체를 탓하는것보다 패치를 하지 않은 일부 사용자들에게 알려줘야 합니다.
그전에 MS 에서 제대로 된 윈도우를 선보여야 겠죠.

아무튼 ICMP(PING,TRACERT)가 안된다고 컴 포맷하는 일이 없길 바랍니다.
제가 속상한것은 ISP 업체에서 공지사항 한줄이라도 올려놨으면 이렇게 힘들지는 않는다는 겁니다.
너무나 소비자들을 우롱하고 무시하는 태도입니다.
전화해서 큰소리 쳐가며 따져야만 그제서야 시인하는 국내 ISP 업체들도 문제로 보입니다.
솔직히 얘기하면 오히려 이해할수 있는 문제라고 봅니다.

고객센터에 전화해서 피해보상을 요구하세요.
ICMP 역시 인터넷 서비스중에 하나이며 그 서비스를 업체에서 단지 바이러스때문에 막았다면 또다른 바이러스가 나온다면 역시 불편을 감수하며 아무말 하지 말아야 할것입니다.
전 내일부터 관리자나 책임자에게 이번 사태에 대해 공지하지 못한것에 대한 사과와 ICMP 를 이용한 원격서버관리 프로그램 사용자로써 관리되지 못하는 고객 서버들의 피해보상역시 요구할 것입니다.
안된다면 요금감면등으로 어떻게든 그들의 잘못을 인지시켜야 합니다.
가능할지 모르겠군요.
오늘 이문제인줄도 몰라서 관리하는 서버가 해킹이나 데이터센터 서버가 다운된줄 알고 직원 보내고 시간 낭비,인력 낭비를 생각하면... 그들이 원망스럽네요.

출처: http://linux-sarang.net/board/?p=read&table=news&no=690&page=

===
젠장... 저도 이거 핑 안되길래...
한참을 고민하고 주변에 물어 봤는데...
다들 모른다는 반응이었는데...
이게 이런 사정이 있을 줄이야?
정말 이런일 하나하나 터질 때 마다...
나오는건 욕밖에...-_-ㅋ
고객중심의 서비스 좋아하시네...-_-ㅋ
쩝...

<어떠한 역경에도 굴하지 않는 '하양 지훈'>

jedi의 이미지

조금만 기다리면 정통부에서 가장 확실한 대책을 발표하겠군요.

"전국의 모든 컴퓨터를 끄시요. ---- 정통부."

가장 완벽하지 않습니까?

대한민국 정부의 단순 무식함을 보여 주는 하나의 예라고 하겠습니다.

+++ 여기부터는 서명입니다. +++
국가 기구의 존속을 위한 최소한의 세금만을 내고, 전체 인민들이 균등한 삶을
영위할 수 있는 착취가 없는 혁명의 그날은 언제나 올 것인가!
-- 조정래, <태백산맥> 중에서, 1986년

zltek의 이미지

핑이 왜 안 쏴지나 했더니 저런 잡질을 해논거였군요. 군데군데 포트 땜질해 놓은 것도 짜증나 죽겠구만..

"no error was found with his codes"

maylinux의 이미지

jedi wrote:
조금만 기다리면 정통부에서 가장 확실한 대책을 발표하겠군요.

"전국의 모든 컴퓨터를 끄시요. ---- 정통부."

가장 완벽하지 않습니까?

대한민국 정부의 단순 무식함을 보여 주는 하나의 예라고 하겠습니다.

그럴지도 모르겠습니다..
4월 26일 발생하는 CIH 바이러스때는 뉴스에서 그러더군여.
"오늘은 가급적 컴퓨터 사용을 금하십시오."

정말... 웃겨서 말도 안나옵니다.
근본적인 대칙수립은 할 생각도 없고, 눈가리고 아웅이나 하고 말이죠..

벼룩하나 잡자고, 초가삼가 다 태우는격이죠...

그리고, 이 세상의 컴퓨터가 전부 MS 인가여?
마치 전부인양 대책을 수립하는군여.

아바타 제작기간~~ 무려 5초!!!

jedi의 이미지

더욱 큰 문제는 이 모든 문제의 근원을 개인 사용자에게 돌리고 있다는 것입니다.

kt선을 사용하는 게임방에 있는 pc는 핑이 되는군요.

하나로 케이블

Quote:
PING 210.94.6.67 (210.94.6.67) from 219.241.108.100 : 56(84) bytes of data.

--- 210.94.6.67 ping statistics ---
6 packets transmitted, 0 received, 100% loss, time 5036ms

kt선 게임방

Quote:
PING 168.126.63.2 (168.126.63.2) from 218.151.x..x : 56(84) bytes of data.
64 bytes from 168.126.63.2: icmp_seq=1 ttl=250 time=8.27 ms
64 bytes from 168.126.63.2: icmp_seq=2 ttl=250 time=7.60 ms
64 bytes from 168.126.63.2: icmp_seq=3 ttl=250 time=6.03 ms
64 bytes from 168.126.63.2: icmp_seq=4 ttl=250 time=6.22 ms
64 bytes from 168.126.63.2: icmp_seq=5 ttl=250 time=6.50 ms
64 bytes from 168.126.63.2: icmp_seq=6 ttl=250 time=5.68 ms
64 bytes from 168.126.63.2: icmp_seq=7 ttl=250 time=7.21 ms

--- 168.126.63.2 ping statistics ---
7 packets transmitted, 7 received, 0% loss, time 6065ms
rtt min/avg/max/mdev = 5.689/6.793/8.279/0.867 ms

개인에게 피시 보급하기 위해 미친짓 하던 것이 언제인데 이제는 개인이 사용하는 피시를 폭탄으로 생각하고 있습니다. 아마 담당하는 사람이 바뀌었나봅니다.

+++ 여기부터는 서명입니다. +++
국가 기구의 존속을 위한 최소한의 세금만을 내고, 전체 인민들이 균등한 삶을
영위할 수 있는 착취가 없는 혁명의 그날은 언제나 올 것인가!
-- 조정래, <태백산맥> 중에서, 1986년

notexist의 이미지

완전히 쥐 한 마리 잡자고 초가집 태우는 격이네요...

TCP/UDP를 막으란 얘기도 곧 나오지 않을까요?

There is more than one way to do it...

nainu의 이미지

그보다는, 80번 외에 전부 막아버리는 일이 생기지 않을까요?
걱정됩니다. :(

espereto의 이미지

:evil:
바이러스/웜의 확산을 막기 위해...
인터넷 자체를 차단하고...
모든 컴퓨터의 전원을 꺼야 할 지도.

요즘 열심히 퍼져나가는 Sobig.F 는 SMTP로 퍼지니 SMTP도 막아야 하겠군요. :evil:

jedi의 이미지

Quote:
윈도우즈가 공격받는 이유는 전세계 거의 모든 사람이 사용하기 있기 때문이라는 이론이 있다. 그러나 Mac OS X와 리눅스를 사용하는 사용자 역시 수백만명에 달하는데 바이러스나 웜 작가들이 굳이 윈도우즈를 택하는 이유는 무엇인가?

사정이 달라져도 윈도우즈는 여전히 쉬운 타겟이 될 것이다. 디폴트 설정을 그대로 내버려 둔 채 설치한 채 인터넷에 연결한 XP는 도시의 우범지역에 차를 문을 잠그지 않고, 키를 걸어놓은 채, 앞 유리창에는 "이 차를 훔치지 마시오" 라는 메모를 붙여두고 주차한 것과 마찬가지다.

원문 : http://www.hackerslab.org/korg/view.fhz?menu=news&no=1569

유일한 해결책은 컴퓨터를 사용하지 않는 것입니다.

+++ 여기부터는 서명입니다. +++
국가 기구의 존속을 위한 최소한의 세금만을 내고, 전체 인민들이 균등한 삶을
영위할 수 있는 착취가 없는 혁명의 그날은 언제나 올 것인가!
-- 조정래, <태백산맥> 중에서, 1986년

penrose의 이미지

얼마 전부터 snort 로그에 ICMP ECHO가 수도없이 쌓였는데,
다 웜 때문이었군요.
이런 로그때문에 거의 100메가 가까이 로그가 남았었는데... :(

What a wonderful world!

irongate의 이미지

한국통신 상담원은 아니라고 펄쩍 뛰네요...
080-014-1414에 전화 했더니.....

이게 사실인지 어디서 확인 할 수 있죠?
만일 사실이라면
ICMP(echo request)를 이용하는 모든
기능은 동작 불능 상태가 된다는 건데....
책음은 누가 지죠?

저희 회사도 사실확인이 안되서 대처를 못하고 있는듯 합니다.
누가 좀 사실 확인 좀 해 주세요.

jedi의 이미지

저는 하나로라서 ...

Quote:
$ /sbin/route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
219.241.108.0 * 255.255.255.0 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 219.241.108.1 0.0.0.0 UG 0 0 0 eth0
$ ping 219.241.108.1
PING 219.241.108.1 (219.241.108.1) from 219.241.108.100 : 56(84) bytes of data.

--- 219.241.108.1 ping statistics ---
3 packets transmitted, 0 received, 100% loss, time 2015ms

$ cat /etc/resolv.conf
; generated by /sbin/dhclient-script
search hananet.net
nameserver 210.220.163.82
nameserver 210.94.6.67

$ ping 210.220.163.82
PING 210.220.163.82 (210.220.163.82) from 219.241.108.100 : 56(84) bytes of data.

--- 210.220.163.82 ping statistics ---
4 packets transmitted, 0 received, 100% loss, time 3010ms

$ ping 210.94.6.67
PING 210.94.6.67 (210.94.6.67) from 219.241.108.100 : 56(84) bytes of data.

--- 210.94.6.67 ping statistics ---
7 packets transmitted, 0 received, 100% loss, time 6012ms

KT쓰시는 분은 없으신가??? 회사는 안막았을 겁니다.
게임방에서 해보니까 ping이 잘됩니다.
개인만 막은 걸겁니다..

하나로에서 wrote:
안녕하세요
하나로 통신 구로/광명 고객센터입니다.

이주원 고객님 좋은아침 시작하셨는지요

먼저 저희 하나로 통신을 이용해 주셔서, 감사드리며

또한 사용하시는데 있어 불편을 드린점 사과드립니다.

문의주신 사항에 대한 답변드리겠습니다.

Welchia 웜은 블라스터 웜을 치유하고 MS의 패치 프로그램을 다운받아 설치하는 등

좋은 기능을 하는 것으로 분석되었으나

조작된 대량의 ICMP(Internet control message protocol) 패킷 발송으로

해당 네트워크 라우터의 기능에 장애를 초래할 수 있다고 합니다.

Welchia 웜은 블라스터 웜과 달리 네트워크에만 영향을 미칠 뿐

개인 PC에 어떠한 영향도 주지 않아, 일반인들이 감염 여부를 확인하기 어려우나,

예방방법은 MS의 패치화일을 미리 다운받아 설치하는 것으로 블라스터 웜과 동일하며

다만 치료방법에 있어 차이가 있는데 Welchia 웜은 PC의 날짜를 2004년 1월 1일 이후로 설정하고

PC를 리부팅하면 간단히 치료가 된다고 합니다.

현재 저희쪽에서 ICMP를 막았다고 하셨는데 그런 사항은 전혀 없는 점 안내드립니다.

부족하지만 충분한 답변이 되셨는지요

다른 문의하실 사항이나 궁금하신 점이 있으시면

담당센터 02-6334-8585로 연락주시면 정성껏 안내드리겠습니다.

좋은하루 되세요

감사합니다.

그럼 나는 뭐지?? 왜 안되지??? 이런것이 황당 아닐까요?

+++ 여기부터는 서명입니다. +++
국가 기구의 존속을 위한 최소한의 세금만을 내고, 전체 인민들이 균등한 삶을
영위할 수 있는 착취가 없는 혁명의 그날은 언제나 올 것인가!
-- 조정래, <태백산맥> 중에서, 1986년

무혼인형의 이미지

저는 VPN 서비스를하는 회사에 다니고 있습니다..

죽겠군요 -_-;

현재 서울지역 은 하나로부터 시작해서 두루넷 일부, 관악, 구로 유선방송 등 점점 핑이 안나가는 곳이 점점 늘어나고 있습니다..
그러나 아직 KT쪽은 핑이 나가고 있네요..

바이러스 보다 핑이 안되는게 더 무섭군요 -_-

무혼인형의 이미지

방금 하나로통신과 정통부 민원실쪽에 통화를 해 봤습니다.

본문글의 내용처럼 하나로통신은 정통부 고지에 의해 케이블을 이용한 ISP들은 ICMP를 막으라고 했다고 하더군요.
그러나 정통부 민원실이야기는 다르던데요. 그런 이야기는 잘 모르겠지만 오늘부터 그런 전화가 오기 시작했다. 정보보호기획과로 알아봐라. 라는데 정보보호기획과는 계속 통화중이군요.

정통부 고지를 누가 받았냐는 말에 그 내용을 알려줄 수 없다고 해서 큰소리를 친거 말고는(아직도 가슴이 벌렁벌렁함 -_-; ) 소득이 없군요 -_-;

현재 하나로측에서 연락오기를 기다리고 있고(퇴근해버렸을까나...) 정통부와 통화시도중입니다. :?

danpowers의 이미지

Quote:



58 품질측정시 Ping 손실율 관련 안내
작성일 2003-08-21 15:01 조회수 1290


안녕하세요.
하나로통신 품질관리시스템(HIQMS) 운영담당자 입니다.

현재 네트웤 트래픽을 유발시키는 W32.Blaster 및 Welchia 등의
웜이 기승을 부리고 있습니다.
이에 ICMP(Ping) 패킷을 해외망 및 일부 지역에서 차단하고 있습니다.
이는 ICMP 패킷 증가에 의한 네트웤 부하를 줄이기 위한 방법이며,
정통부 권고안으로 시행하고 있습니다.
ICMP 패킷 차단으로 품질측정시 Ping 손실율은 100% 로 나올 수 있으며,
Trace Route 결과 또한 정상적인 값이 나오지 않을 수 있습니다.

고객여러분의 많은 양해 바랍니다.
감사합니다.



이전글 -
다음글 [작업]품질측정 서비스 일시 중단 안내

위는 하나로 품질측정 사이트의 커뮤니티 공지사항 게시판에 올라온 게시물입니다.. 하나로 측은 벌써 지난 21일에 공식입장을 표명했었군요.. 그런데 ICMP를 막지 않고 있다는 하나로 구로/광명 고객센터는 대체 무슨 말을 하고 있는 건지..

무혼인형의 이미지

danpowers wrote:
Quote:

정통부 권고안으로 시행하고 있습니다.



http://www.certcc.or.kr/index_advisory.html 에는 하나로 통신에서 이야기 하는 권고안이 없네요..

제가 정통부에 전화해서 알아본 바도.. 따로 고지 한 것은 없다고 합니다

무혼인형의 이미지

수차례 하나로통신에 항의한 끝에 뉴스를 들었습니다.

오늘 케이블 회선쪽 ICMP 막은 걸을 해제하라는 사내 공지가 있었다고 하네요

각 지역까지 적용되려면 하루정도 걸리겠지만..

휴.. 그동안 힘들었던 것 생각하면 ㅠ_ㅠ

mastercho의 이미지

icmp를 막는 어처구니 없는 잔머리를 쓰는 것보다
차라리 모든 윈도우 2000급 이상에 자동 업데이트 패치를 시키는것이
나을거 같네요

공지를 뛰어서.....

승자는 자기보다 우월한 사람을 보면 존경심을 갖고 그로부터 배울 점을 찾지만 패자는 자기보다 우월한 사람을 만나면 질투심을 갖고 어디 구멍난 곳이 없는지 찾는다.
- 하비스

모데스티의 이미지

스레드 문맥상으로 볼 때 갑작스러운 질문일수는 있지만 스레드 재활용 차원에서 질문 하나만 드리려고 합니다. 최근 약 한 달 가량 되는 기간동안 방화벽 소프트웨어가 남긴 로그를 보면 특정다수의 원격호스트로부터 ICMP 트래픽이 대량으로 감지되어온 것을 알 수 있었습니다. 빈번하게 ICMP 트래픽이 감지되는 경우 30초에서 2분 간격으로 다섯번을 넘는 횟수가 연이어 감지되는데 원격포트가 Echo Request/0인 것으로 미뤄보아 제 시스템을 향해서 ping명령을 시도하고 있는 것이 아닐까 추측하고 있습니다. 간헐적으로 감지되는 ICMP 트래픽이면 그리 심각하게 생각하지 않아도 되겠지만 너무 빈번하게 감지되는 관계로 악의적인 어떤 특수한 목적을 달성하기 위한 예비절차일지도 모른다는 판단이 들더군요. ICMP 트래픽을 발생시키는 특정다수의 근원지를 살펴보면 하나같이 캐나다 최대의 고속인터넷 회사인 R사의 가입자에게 부여되는 도메인네임(?)인데 고유하게 부여되는 도메인네임 앞자리 문자열이 암호화(?)되어 나타납니다. DNS Resolving 기능을 꺼둔 상태에서 IP넘버를 알아내어 whois 명령을 실행해보니 ISP코디네이터 또는 abuse 신고용 이메일주소가 출력되기에 일단 리포트를 보내둔 상태입니다. 이메일주소로 직접 리포트를 보냈더니 배달되지 않은 채로 되돌아오는 상황을 두 번 반복했다가 해당 업체의 보안관련 웹사이트를 통해서 리포팅하니 일단은 잘 보내진 것 같아서 기약없는 답장을 기다리고 있습니다. 지금 생각해보니 아마도 Win32/Welchia.Worm 바이러스의 소행일수도 있을거라 판단되는데요. 이 판단이 옳은 판단이라면 불특정다수가 아닌 특정다수의 도메인네임으로부터만 ICMP 트래픽이 감지되는 이유가 무엇일까 궁금해집니다. 1) Win32/Welchia.Worm 바이러스가 작동하는 매커니즘을 기술적으로 설명해둔 자료를 구할 수 있는 링크를 제공해주실 분 계신가요? 2) ICMP 트래픽이 다량으로 감지된 경우 근원지의 ISP abuse팀에게 리포팅해도 되는 경우인가요?

fairycat의 이미지

certcc.or.kr에 가시면 공지사항에 윌시아 바이러스의 공격 시나리오
분석 결과가 있습니다.

가이: 리여.. 확실히 너는 네지와는 다르다
록리: 위로라면 집어치세요..
가이: 위로같은게 아니다 ! 너는 네지와는 다르게 천재도 아니고 재능도 없다 하지만 너는 노력의 천재다..

- 나루토 <키시모토마사시>

모데스티의 이미지

...w12ard님 답변 감사합니다. 말씀해주신대로 certcc.or.kr에 자세한 공격 시나리오가 올라와 있군요 :D 제 스스로 찾아본 정보보다 더 자세하고 심도있는 내용이었습니다. 부지런한 사람들 덕분에 혜택을 누릴 수가 있게 된 점 그 분들께도 감사드리는 바입니다.

...제가 OT질문을 올리면서 특정다수의 도메인네임으로부터만 ICMP 트래픽이 발생하는 이유가 무엇인지 질문했었는데 이제서야 이유를 알게 되었습니다. 관련 정보에 의하면 Win32/Welchia.worm 바이러스가 공격대상을 정하는 매커니즘과 관련이 있는 것으로 보입니다. 즉 이미 감염된 근원호스트의 IP넘버를 토대로 B클래스 IP넘버를 고정한 후에 C클래스 IP넘버를 바꿔가는 형태로 공격대상을 정한다고 하더군요. 따라서 같은 네트워크에 연결된 시스템에게 ICMP 트래픽이 전송됨으로써 결과적으로 특정다수의 도메인네임을 가진 원격호스트로부터만 ICMP 트래픽이 감지된 것입니다.

...ICMP 트래픽이 다량으로 감지된 경우 근원지의 ISP abuse팀에게 리포팅해도 되는것인가 하는 의문은 나름대로 자답해보건대 아마도 직접적인 피해가 있었는지 여부에 달려있을 것 같습니다. ISP 입장에서는 불필요하다고 여겨지는 리포트를 줄이기 위해 직접적인 피해가 있지 않은 경우에는 리포팅하지 말라고 할 것 같기도 하네요. 역시 해당 ISP에게 직접적으로 질문하는 편이 확실한 답변인 건 확인안해도 되는 사실인듯 합니다 :oops: