악의적인 UDP 공격에 대응할 수 있는 방법이 없을까요? (법적으로나 기타 등등)

정태영의 이미지

어제 받은 udp 공격이 500M 정도였다고 하고, 잠시 확인을 위해 제한을 풀어놨을 동안 다시 받은 공격이 200M 정도라는 얘기를 들었습니다. 호스트웨이 측으로부터 받은 패킷 덤프 정보들도 넘겨받기로 했는데...

도대체 어느 쪽에서 왜 공격을 했는지에 따라 (가능하다면) 제가 받은 피해에 대한 보상을 요구하려 합니다. 지금 이것 때문에 스트레스가 굉장하기 때문에...

이런 경우에 어떻게 대응해야하는지 혹시 아시는 분 있으신가요? 사이버 수사대에 신고를 하면 될까요? 여기저기 불려다니고 조금 귀찮아지는 건 상관없습니다.

죠커의 이미지

악의적인 공격을 하는 사람들은 처벌을 받아야 합니다. 잘 해결되길 기원합니다.

- 죠커's blog / HanIRC:#CN

정태영의 이미지

오픈웹-보안업체 간의 갈등 시점과 맞물려서 이런 일이 발생하니 정말 의심을 안할래야 안할 수가 없네요. 가만히 당하고만 있지는 않을 겁니다.

(개인 서버를 7년째 운영하면서 처음 겪는 일)

--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

cwryu의 이미지

하려면 지금 즉시 하시는 게 좋을 겁니다. 사이버수사대이든 지역 경찰서이든 수사의뢰 하면 됩니다.

범인이 밝혀진다면 고소 취하를 조건으로 합의를 할 수도 있겠고 블라블라..

다즐링의 이미지

http://www.netan.go.kr/

다만 제가 공격을 하더라도...

소스 안바꿔서 공격하는 바보짓은 않할꺼 같습니다.

------------------------------------------------------------------------------------------------
Life is in 다즐링

------------------------------------------------------------------------------------------------
Life is in 다즐링

정태영의 이미지

신고하고 나면 절차가 오래걸리나요?

우선 신고는 한 상황인데, 조용...

--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

다즐링의 이미지

신고하면 증거자료를 가지고 경찰서 방문을 해야합니다.

일단 저는 신고를 꽤 했는데.. ( ............ )

ddos 는 경찰에서도 손놓고 있는 상황이고..

꽤 걸릴껍니다.

------------------------------------------------------------------------------------------------
Life is in 다즐링

------------------------------------------------------------------------------------------------
Life is in 다즐링

snowall의 이미지

밝혀봐야 알겠지만, 오픈웹과 관련된 공격이 아니었으면 좋겠네요.

--------------------------
snowall의 블로그입니다.
http://snowall.tistory.com

피할 수 있을때 즐겨라! http://melotopia.net/b

다콘의 이미지

신고해도 현실적으로 잡기는 불가능할것 같습니다.
실 공격자가 한국사람이라고 해도 해외라인을 경유해서
공격명령을 내렸을테고 공격은 좀비 PC들이 했겠죠.
게다가 다즐링 말대로 바보가 아니라면 소스 스푸핑 했겠죠.

모쪼록 잘 해결되었으면 좋겠습니다.

정태영의 이미지

국내 트래픽이었습니다. 우선 신고를 한 상황입니다. 크게 트래픽이 들어온 곳이 2군데였는데, 하나는 sk 브로드밴드망 하나는 kornet이더군요.

Quote:
2009-04-05 17:50:00.490 0.000 UDP 공격자1:63377 -> 제서버:15882 2048 127.0 M 1
2009-04-05 17:50:02.891 0.000 UDP 공격자2:18880 -> 제서버:24939 2048 127.0 M 1
2009-04-05 17:50:04.797 0.000 UDP 공격자1:63377 -> 제서버:15882 2048 127.0 M 1

--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

다즐링의 이미지

그러면 바보가 맞고

로그가 있으면 잡을수 있습니다. 대부분 -_-;

그런데 실 IP 가 아니라 웜이라면...

빨리 찾아서 데이터 수집을 해야할테니 가급적 빨리 경찰서에 출두하시기 바랍니다.

------------------------------------------------------------------------------------------------
Life is in 다즐링

------------------------------------------------------------------------------------------------
Life is in 다즐링

정태영의 이미지

희망적이군요. 사이버수사대는 진행속도가 느리다고 하니 (신고를 해두긴 했지만) 지금 자료 뽑아서 송파경찰서로 달려갈 생각입니다.

덧: 제 서버에서 서비스하는건 apache(http,https), svn, dovecot(imap, imaps, ipop3, ipop3s), ssh, exim(smtp,smtps) 정도인데 윗단에서 udp 를 전부 drop 시켜달라고 하면 문제가 생길라나요 -_-;;

--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

다즐링의 이미지

1. dns 문제
( 이것은 다른 ip 를 하나 더 받아서 해결 )

2. ntp 문제
ntp 가 tcp 가 안됩니다..; 그래서 시간 sync 가 문제 gg

3. udp drop 해도 계속 트래픽 들어오면.. idc 에서 짤라버릴껍니다.. 현재(서비스받으시는)회사도 그런 듯..;

------------------------------------------------------------------------------------------------
Life is in 다즐링

------------------------------------------------------------------------------------------------
Life is in 다즐링

n3tch0i의 이미지

UDP 중에 dns 나 ntp 만 사용하신다면 해당 UDP port만 열어두고 나머지는 drop 하시면 될듯
ntp를 TCP로 바꿀순 없죠....ㅎㅎ

Necromancer의 이미지

딱 두군데밖에 없다면, 그것도 국내 IP라면 그 dos 짓 한 자들은 바보네요. 경찰이 탐문수사하면 잡힐겁니다.
웜이라고 보기 어려운 것도 여러 군데가 아닌 딱 두군데밖에 없기 때문... (물론 조사후에 진짜 웜이 그랬다면 못잡긴 하지만)

예전에 모 스팸메일때문에 경찰서 갔었는데
사이버수사대 홈페이지에 올리는 것보다는 가까운 경찰서 가셔서 고소장 접수하는게 훨씬 더 빠릅니다.

Written By the Black Knight of Destruction

Written By the Black Knight of Destruction

kmsjlove의 이미지

국내 아이피 인것으로 보아 봇으로 보입니다.
즉, sk망을 쓰는 사용자 kt망을 쓰는 사용자가 봇에 감염되어
해당 서버로 udp공격을 하는 것입니다.

해결방법은 500M를 허용할 수 있을만큼 대역폭을 늘린다거나 호스트웨이 측에 도움을 요청하시구요.
제가 볼땐 그정도 트래픽으로 신고해바야 오래걸립니다.

로그를 kt와 sk쪽에 제시하여 해당 ip를 사용하는 사용자의 봇을 제거하는 방향으로 나가 보세요.
고객지원쪽으로 보안담당하는 부서가 있습니다.

공격을하는 국내 ip 2곳은 자신도 모르게 공격하니 수사 요청해봐야 결론이 늦을뿐더러 범인을 잡아봐야 제1의 희생자 일뿐입니다.

cjh의 이미지

국내에서 DDOS대응하는곳은 KISA로 알고 있는데요...

http://www.krcert.or.kr/index.jsp

이쪽에 문의해보시는게 좋을듯. 국내 봇 처리등도 ISP와 연계해서 하고 있는걸로 압니다.

그외 DDOS 방어를 업으로 하는 회사도 있으니 (우리회사 포함하여) 알아보시는것도 좋겠는데
그런건 비용이 많이 들고 호스팅을 받고 계시니 옮길게 아니라면 서비스회사와 이야기하는 것이 최선으로 보입니다.

--
익스펙토 페트로눔

--
익스펙토 페트로눔

yisuyong의 이미지

혹시 호스팅 업체가 Gxxxxx스 인가요??

공격받은 상황이 비슷하네요..

정태영의 이미지

전 현재 넥스트라인을 이용 중인데, 어짜피 아이피를 다른 대역으로 옮겨야 한다고 하니 -_-; 봐서 더 괜찮은 곳 (조금 더 비싸더라도 이런 것들에 대응해줄 수 있는 곳)이 있다면 옮길 생각도 있습니다. -_-;

--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

정태영의 이미지

다시 한 번 공격이 들어와서 또 막혔습니다. -_-; 요번에는 원래보다 심한 800메가 정도 트래픽이 발생했다고 하네요.

아 짜증이 정말 세상 끝까지 솟아오르네요.

호스팅 회사에서 쫒겨날 듯 싶네요. -_-; 혹시 DDoS 방어가 가능하면서 어느정도 개인이 사용할만한 호스팅 서비스 아시는 분 있음 소개 좀 해주세요. 제 개인 서버는 있고 (1U) 회선하고 상면만 제공받을 수 있으면 됩니다.

--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

pcharley의 이미지

DDoS 타켓이 되었다면 사실상 제대로 서비스 하기란 불가능에 가깝다고 할 수 있습니다.
1M 트래픽만 가지고도 웹 서비스 불능화 시킬 수 있는 상황에서..800M라...에휴~~~~
근데, 서버한대를 공격하는 800M 트래픽이라면 좀 이상하다 싶네요...

제가 아는 한도에서 DDoS를 100% 방어가 가능한 호스팅 업체는 없는걸로 알고 있습니다.
업체 입장에서도 서버 한대 호스팅이라면 그냥 빼라고 하는게 편할 겁니다.
DDoS 방어 솔루션이 있다고 하더라도 금액적인 면에서 부담될 수도 있고요...

가X아에서 DDoS 솔루션이 있다고 들은거 같은데...이게 어떤 솔루션인지, 얼마나 효용성이
있는지는 저도 확실히는 모르겠네요...

망치의 이미지

제가 아는바로도 ddos 막을 방법은 없는걸로 알고있습니다..
대형 게임업체들의 경우 ddos 공격이 시작되면 점검걸어두고 서버 ip 를 바꿔버린다더군요.

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/