현재 위치

›› Forums ›› 재미 ›› 자유 게시판

서버가 DDoS를 당했습니다.. 애휴.. 죄송합니다.

사랑천사의 이미지
글쓴이: 사랑천사 / 작성시간: 일, 2009/04/12 - 10:28오후

안녕하세요?
서버가 DDoS를 당해서... 미러를 이용하실 수가 없게 되었습니다 지금... 언제 IDC에서 풀어줄 지 모르겠네요. 뭐, 미러 사용하시는 분들이 별로 안 계실지도 모르지만... 정말 죄송합니다. 뭐 원한살 일은 한 적이 없는데... 왜들 이러는 건지 정말...

솔직히 이런 부끄러운 일에 대해서 알리는 성격이 아닌데... 그래도 미러를 사용하시는 분들이 한 분이라도 계시다면 죄송해서 가만히 못 있겠어서 글을 올리게 되네요.

공격자들의 IP 주소를 비롯한 관련 자료가 전부 준비가 되는 데로 법적으로 대응하려고 하는데 잘 될지 모르겠네요. UDP로 엄청 들어온 모양입니다. IDC쪽에서 그러더군요 UDP로 무지하게 들어와서.. 그냥 막아 버렸다고.. 공격이 멈추면 다시 풀어 준다는데 벌써 거의 2시간 가까이 당하고 있는 거 같네요...

아무튼 정말 죄송합니다.

Forums: 
자유 게시판
사랑천사의 이미지

글쓴이: 사랑천사 / 작성시간: 월, 2009/04/13 - 7:01오전

일단.. 공격 자체는 멈추었는데... 법적 대응을 함에 있어 도움 되는 정보들 혹시 아시는 것 있으시면 정보를 공유했으면 합니다. 애고고... 이전에도 그랬지만.. 요즈음 들어 DDoS가 많군요.

거기다가 DDoS를 시행할 수 있는 특이한 프로그램들도 인터넷에 보니 몇 가지 돌아 다니는 거 같고... 이거 참... 어린 애들이 장난삼아서 하는 공격도 만만치 않은 거 같다고 하는군요 애고.
-- 이여송 --
HomePage: http://lys.lecl.net/
Blog: http://lys.lecl.net/blog
LECL: http://www.lecl.net/
E-Mail: yeosong@gmail.com ysnglee2000@lecl.net
MSN: ysnglee2000@hotmail.com

사람천사

onion의 이미지

글쓴이: onion / 작성시간: 월, 2009/04/13 - 4:10오후

젠투쓰는 사람들에게는 정말로 감사한 마음으로 쓰고있는 사이트중에 하나입니다.

어떤식으로 공격이 들어오는가를 먼저 분석하는게 관건이 아닐까 합니다만....
http를 이용한 공격일수도 있고
tcp또는 udp나 icmp공격일수도 있으니
지금까지 알아내신 내용을 정확하게 적어주시면 아마도 많은 분들이 도움을 드릴 수 있지 않을까 하는데요..@.@;

-----새벽녘의 흡혈양파-----

-----새벽녘의 흡혈양파-----

사랑천사의 이미지

글쓴이: 사랑천사 / 작성시간: 월, 2009/04/13 - 6:54오후

기록이 남은 것은... UDP로 Input 된 패킷이 8GB 정도 된다는 것.. 그거 뿐이군요. IDC에 관련 기록을 요청했더니만 스위치단에서 기록이 안 남는다고 못 도와 준다고 하고... 상당히 골치 아픈 상태입니다.
-- 이여송 --
HomePage: http://lys.lecl.net/
Blog: http://lys.lecl.net/blog
LECL: http://www.lecl.net/
E-Mail: yeosong@gmail.com ysnglee2000@lecl.net
MSN: ysnglee2000@hotmail.com

사람천사

사랑천사의 이미지

글쓴이: 사랑천사 / 작성시간: 월, 2009/04/13 - 6:57오후

사실 HTTP나 이런 걸로 공격이 들어왔으면 로그가 남는데... UDP로 들어온 것은 어떤 기록도 남기지 않고 있습니다. 다만 트래픽 양 정도... 이걸 로그 파일에 기록하게 만들었었다면 이런 고민은 안하는데 말입니다. TCP쪽은 거의 들어온 것이 없고 평소 때와 비슷한 수준이었습니다만, UDP로 한 10분 정도 만에 8GB 가량의 트래픽이 발생했습니다. 그 이후로도 계속 공격을 받았지만 IDC에서 아예 라인을 차단해 버리더군요. 그래서 한 5시간 정도 계속 공격한 거 같습니다 그 쪽에서.. 어떤 "존재" 들인지야 모르겠지만.. 제가 지금까지 파악할 수 있엇떤 것은 이게 전부입니다.
-- 이여송 --
HomePage: http://lys.lecl.net/
Blog: http://lys.lecl.net/blog
LECL: http://www.lecl.net/
E-Mail: yeosong@gmail.com ysnglee2000@lecl.net
MSN: ysnglee2000@hotmail.com

사람천사

monovision의 이미지

글쓴이: monovision / 작성시간: 화, 2009/04/14 - 11:23오전

ddos 공격은 정말 방어라고 할만한게 따로 없습니다. ㅡ.ㅡ;;;;

udp 나 icmp 와 같은 경우에는 보통 들어오는 수기가에서 수십기가이기 때문에 백본 스위치단에서 차단 혹은 사용하고 있는 대역을 커버할 수 있을만한 충분한 용량의 방화벽을 사용해야 합니다. IDC 에 요청을 해봐야 스위치에 ACL 을 거는 것은 100% 안해줄 겁니다.
그렇게 되면 스위치 자체가 다운되는 경우가 상당히 많거든요 ;;;

tcp 공격의 경우에는 지금 현실적으로 가장 강력하게 방어를 할 수 있는것은 proxy 기술을 이용하는 것밖에 없는데...
이 proxy 장비들 또한 가격대가 만만찮다는거죠...

결론적으로....
ddos 공격은 돈!만 있다면 막을 수는 있습니다. ;;;;
하지만 쉽지 않죠... 그리고 추적또한 어렵습니다. tcp/ip 가 워낙 취약해서 말이죠 ㄷㄷ;;;

그리고, 최근의 ddos 공격은 과거와는 다르게 무작위로 공격을 해놓고 돈을 요구한다는 것입니다.
과거에는 도박 사이트, 성인 사이트, 꽃배달 사이트 등이 주 공격대상이었지만 이제는 그냥 일단 공격하고 돈을 요구하는 식입니다. ㅡ.ㅡ;;;;

그리고, 또 하나는... 과거에는 중국등지에서 갈취(?) 를 목적으로 돈을 요구했지만 현재의 상황은 경쟁 업체를 따돌리기 위해 한국인들끼리 사람을 고용해서 공격하는 형태입니다.
또한, 최근에 ddos 공격을 보면 공격은 하는데 별다른 요구사항이 없다는 사실입니다. 과거와는 확연히 다르죠...
왜냐하면 돈은 이미 ddos 공격을 의뢰한 사람에게 낼름 받아 챙겨먹었기 때문이죠 ;;;;

사랑천사의 이미지

글쓴이: 사랑천사 / 작성시간: 화, 2009/04/14 - 10:32오후

그럼... 그 뭐시드라.. 개인이 프로그램을 가지고 여러 대의 컴퓨터를 숙주 삼아 공격해 대는 그런 거... 그런 방식의 DDoS 공격을 초등 학생이나 중학생 들도 마음 먹으면 충분히 한다는데... 이러면 더 골아픈 거 아닐까요... 초등학생이나 중학생이면 뭐 특별히 처벌을 받고 정신 차릴 만한 뭔가가 있는 것도 아닐 거고... 재미로 하는 경우도 많은 거 같은데 요즘 보니...

한편으론 어이 없고 한편으론 저나 단체가 뭐 잘못한 것도 없는데... 앙심 품을 사람이 있는 건지 어전 건지도 모르겠고... 억울하기도 하군요 이런 상황이다 보니 흠. 그런데 IDC에서는 (이 말 슨 거도 같은데) 스위치에 기록이 안 남기 때문에 DDoS는 맞지만 그에 해당하는 IP 주소 목록 등을 뽑아 줄 수 없다고 그러고.. 이렇게 되면 법적 대응은 물건너 가는 건가요?? 으으.
-- 이여송 --
HomePage: http://lys.lecl.net/
Blog: http://lys.lecl.net/blog
LECL: http://www.lecl.net/
E-Mail: yeosong@gmail.com ysnglee2000@lecl.net
MSN: ysnglee2000@hotmail.com

사람천사

monovision의 이미지

글쓴이: monovision / 작성시간: 수, 2009/04/15 - 9:38오전

스위치 로그에는 당연히 기록이 남질 않을 겁니다. 그 로그가 어마어마하니...
하지만, netflow 나 sflow 등의 방법으로 로그는 분명 가지고 있을 겁니다.
만약 이런 로그도 없다면...... 해당 IDC 의 운영에 조금 문제가 있어 보이는군요 ;;;;
그리고.. udp flooding 이면 IP 주소를 알아보아도 법적 대응은 거의 불가합니다.
워낙 위변조가 쉽기 때문이죠 ....

미러 서비스 외에 특별한 사이트가 없다면 1-2 회 정도 더 공격을 하다가 그냥 멈출 것으로 보입니다.
시간을 가지고 공격이 멈추길 기다리시는게 최선일듯....

만약, 꼭 DDoS 방어를 하고자 하신다면 DDoS 방어 서비스를 해 주는 업체를 알아보세요. 6G 정도 맞으셨다니... 최소한 10G 이상의 네트워크 대역폭을 보유한 업체로 알아보셔야겠군요 ^^;;;
참고 삼아 말씀드리면 DDoS 방어 서비스는 업계 최저 단가가 약 월 100만원 정도로 알고 있습니다. 무지못할 돈이죠 ㄷㄷ;;;

사랑천사의 이미지

글쓴이: 사랑천사 / 작성시간: 목, 2009/04/16 - 11:26오전

사실 뭐... 돌아가는 것이 이거 저거 많다 보니.. 또 언제 당할 지 몰라서... 심난하군요.

일단 답변이나 의견 감사합니다.

그리고 역시나 막아주는 업체를 찾아서 가는 것은 무리군요 돈이 흠 이런..
-- 이여송 --
HomePage: http://lys.lecl.net/
Blog: http://lys.lecl.net/blog
LECL: http://www.lecl.net/
E-Mail: yeosong@gmail.com ysnglee2000@lecl.net
MSN: ysnglee2000@hotmail.com

사람천사

사랑천사의 이미지

글쓴이: 사랑천사 / 작성시간: 토, 2009/04/18 - 1:30오후

제가 UDP에 대해서 아는 바가 별로 없는게 사실인데...
UDP로 들어오는 모든 패킷을 전부 로그로 남기게 만들었더니만 너무 로그가 많이 남네요. DNS로(53번 포트) 들어오는 것만 엄청납니다. Logwatch로 봐도 하루에 수십 페이지가 뜨는 군요 관련 기록이.. 그래 봤자 30M을 넘지 못하지만...

중요한건 168.126.63.1 같은 ISP의 DNS 서버에서 본 서버의 열리지도 않은 이상한 UDP 포트로 패킷을 보낸 적이 있다는 겁니다. 2만에서 6만 사이 정도 되는 대역인데... 이게 무슨 규칙이 있는 거 같기도 하고... 막 변하는 군요. 이런 식이라면 사고가 생겨도 특별히 뭔가 추적할 방법이 없을 거 같은데 어떻게 해야 현명하게 로그를 남겨서 사고가 났을 때 추적할 수 있을까요?
-- 이여송 --
HomePage: http://lys.lecl.net/
Blog: http://lys.lecl.net/blog
LECL: http://www.lecl.net/
E-Mail: yeosong@gmail.com ysnglee2000@lecl.net
MSN: ysnglee2000@hotmail.com

사람천사

둘러보기