리눅스, 자료실, 성경검색, 추억의게임, 고전게임, 오락실게임, rootman, http://www.rootman.co.kr
* 3.235.29.190 *
| Home | Profile | Linux | 자료실 | zabbix | Mysql 5.6 | 갤러리 | 성경검색 | 해피니스 | 자유게시판 | 게시물검색 | L | O | R |    

 
[Doc/Faq] DDOS로 고생하시는분들에게..
 작성자 : rootman
Date : 2008-09-20 16:34  |  Hit : 10,635  
DDOS로 고생하시는분들에게..조금이나마 도움이 되고자 글을 쓸려고 합니다.
저는 보안쪽일을 하고 있는 사람입니다.

 

DDOS 공격은 SYN, TCP, UDP, ICMP 등의 공격이 있고 이런 공격은 일반적으로 많이들 알고 계신 공격입니다.

저는 요즘의 DDOS 공격을 크게 두가지로 나눠야 한다고 봅니다.

 

1.트래픽 공격 (SYN,TCP,UDP,ICMP Flood 등)

2.웹 부하 공격 (Get Flood, CC attack 등)

 

요즘 DDOS 공격은 너무나도 쉬어졌습니다.

뭐..모르시는 분들은 여전히 '방법2007' 같은 F5연타스크립트 툴이나

옛날에 발표된 문서나 툴들을 이용해서 SYN 공격이나 하는게 고작일겁니다.

(지금도 웃긴건 '트리누', 'TFN2K' 같은 방법은 이제 먹히지도 않는데, 장비영업하는 사람들은 거창하게 제안서에 이런거 넣습니다.)

 

자 현실적으로 접근합시다. 모두들 고민하는게 그거 아니던가요?

 

중국에서는 이러한 공격툴이 너무나도 일반적입니다.

HDSI를 개발한 KingMetal의 'Nxxxx' 같은 프로그램은 한국을 겨냥해서 변종 공격을 추가했을 정도로..

현재 나온툴중에 DDOS공격용으로는 'Nxxxx'가 최상일겁니다.

 

이제 DDOS 공격은 예전과 달리 '화상채팅', '불법도박' 등에 국한 되지 않습니다.

한국사람들은 중국에 건너가서 조선족들과 협력하여 오히려 한국인이 한국인을 공격하는게 일반적입니다.

미래에셋 사이트의 경우도 예외는 아닙니다. 제 생각엔 이 모든것에 한국인이 개입되어 있습니다.

 

음지에서 공공연히 몇년전부터 행해지던 DDOS공격이 이제 양지로 올라왔습니다.

TCP-IP구조의 문제 고리가 해결되지 않는한 DDOS는 끝이 없을겁니다.

 

1. 공격은 어떻게 이뤄지는가?

이건 뭐 누구든 요즘 다 아는 내용입니다.

감염된 좀비에 의해 원격자가 명령을 내리면 목표를 향해 명령자가 내린 공격패턴으로 감염자는 아무런 사실도 모른체 공격을 하게 됩니다. 공격자가 만약 공격 스레드를 높이게 되면, 감염자의 컴퓨터가 느려지면서 감염자가 눈치를 챕니다.

'어 바이러스 감염인가? 컴이 왤케 느려...' 하면서 포맷이나 백신치료를 합니다.

 

따라서 공격자는 스레드를 낮게 해서 공격하는 형태로 많이들 하는데 이경우 감염자(좀비)는 눈치 채지 못하는 경우가 많습니다. 공격 초보자들은 스레드를 높여서 어떻게든 해당 사이트를 다운시킬려고 노력하지만, 이렇게 되면 감염자는 컴퓨터 감염사실을 더 빨리 인지하고 포맷이나 백신등을 이용해 치료를 하게 됩니다. ^^

이 내용은 후반부에 자세히 적겠습니다.

 

2. 공격시도의 증상은?

증상은 크게 두가지로 나눠집니다.

첫번째, 네트워크 점유율 증가일때는 무조건 트래픽 공격입니다.

두번째, 메모리점유율 90% 이상, CPU점유율 90~100% 이러면 웹부하공격입니다.

 

3. 공격을 막을수 있는가?

이건 '창'이 쎄냐. '방패'가 쎄냐. 뭐 그런 문제입니다.

창이 방패보다 쎄면 못막겠죠. ^^;

 

한국에는 이제 10기가 디도스존을 구성한다고 하고 있습니다.

중국에는 최대 20기가 디도스방어 센타가 있습니다.

물론, 이 중국쪽 20기가 방어회선은 한국과는 너무 회선이 안좋은 관계로 이글을 보시는분들에게는 꿈같은 이야기입니다. ^^;

 

잼있는것은 요즘 한국에도 10기가 디도스 방어 광고를 하고 있더군요.

 

하지만 한국 10기가 디도스존은 아직까지는 광고일뿐입니다. 명백히 비즈니스일뿐이죠..아직까지는..

자기들 말로는 막았다고 하고, 자료 보여주면서 막았다 어쨌다 이런일 있었다 하지만..

서비스를 받아봤던 사람들의 이야기 들어보면 못막았다는 이야기가 많습니다.

 

'성인화상채팅'오래 하셨던분들은 이미 DDOS공격으로 몇년을 고생을 해서 이런 사실을 누구보다 잘 알죠.

이건 꽤 충격적인 이야기일수도 있겠습니다. 헌데, 사실입니다.

 

현재 그렇게 광고하는 서비스 업체에서 짐작컨데 4~5기가 백본을 가지고 요령껏 방어하고 있다고 보시면 됩니다.

물론 그 요령은 그들만의 비법이겠죠 ^^ 업체 입장에서는 막는다라고 이야기 안하면 영업 안들어옵니다.

 

4. 방어는 어떻게 하는가?

장비로 방어하는게 일반적입니다.

헌데, 장비의 허용범위를 초과시에는 운영자가 빨리 대처를 해야 막을수 있습니다.

도메인으로 공격들어오면 dns로 일시적으로 다른곳으로 돌린다던지, 공격자 IP 차단한다던지 여러가지 방법을 많이 쓰고 있고, 이건 업체별로 나름대로 노하우가 있긴 합니다.

 

헌데 트래픽공격을 막아주는 보안업체는 봤어도 웹부하공격 막는 업체는 한국엔 아직 없더군요.

크리티컬한 웹서비스를 하는 업체들, 웹서비스가 조금만 끊겨도 손실이 어마어마한 업체들은 현재 대책이 없습니다.

 

5. 공격자를 잡을수는 없는가?

  1) 감염자의 PC 위치를 추적해서, 해당 명령자의 위치를 추적하고.. 그리고 또 추적하고 이런식인데..못잡습니다. 숨기면..
  2) 좀비프로그램의 프로세싱 분석을 하면, 명령자가 어딜 공격하고 있는지 어디서 명령내리는지 바로 찾습니다.

      실제 '안랩', '하우리' 등의 보안업체에서는 이런식으로 해당 감염 프로그램을 확보해서 분석하고

      해당 변종 좀비 프로그램을 치료하도록 백신을 개발합니다.

  3) 결론은 잡기 힘들기 때문에, 방어쪽에 치우치는게 사실입니다.

 

6. DDOS 방어 장비는 어떤 장비가 좋은가?

이건 그동안 수차례의 BMT와 여러 경험들을 통해 말씀드리겠습니다.

그리고 보안장비 영업하는 사람에게 쓴소리좀 할려고 합니다.

 

장비가 딱히 어디가 좋다는 없습니다. 하지만 현실적인 요즘 상황을 가지고만 서술 하도록 하겠습니다.

이 사이트에서 장비를 영업중인 여러 영업사원들에게 이러한 사실이 직격탄일수도 있겠습니다.

 

한국에 현재 유통된 장비는 많습니다.  헌데, 제대로 된 장비가 별로 없습니다.

웃긴건 영업하는 사람들이 자기회사 장비의 성능조차 모르고 영업하는 경우도 있습니다.

 

실례를 들자면 1기가장비인데, 1기가 트래픽 받는대로 서버한테 주는 장비 .. DDOS방어장비 맞나요?

(머지 이건 쓰레기인가...헌데 설치엔지니어도 영업사원도 이사실 모르고 팝니다.)

1기가장비인데, 500메가 트래픽부터 먹통되는 장비..(크기 작고 스위치형 장비들이 이런 형태임)

 

이 장비들 뭐 딱 어디회사라고 말씀은 못드립니다. 워낙 치명적인 내용이라서 ....

한국에서는 이런 트래픽 BMT 테스트가 실서비스에서 불법이다보니, 제대로 테스트 될리가 없습니다.

겁나서 아무도 제대로 테스트 한 경우가 없죠. 보안 전문가만 알고 있을 뿐입니다.

영업하는 사람들은 죽어도 모르죠.

 

또 이익에 눈이 어두워서 돈만 챙길줄 알지 제대로 테스트 할 생각조차 안합니다.

장비 어떻게든 팔려고 로비만 할줄 알지..자기들 회사 제품 성능은 매뉴얼대로밖에 모릅니다.

 

한국은 영어 많이 쓰고, 비주얼 화려하면 좋은 장비로 착각합니다.

한국사람들 인식도 그만큼 문제겠죠. 영업사원들 만나보면 필요없는 영어 무지하게 쓰는 인간들도 더러 있습니다.

 

방어도 제대로 안되는걸 국가에 납품할려고 하는데, 나중에 또 무슨 소리 들을려고 그러는지 모르겠습니다.

이글 읽고 뜨끔하시는분들 많을겁니다. 뭐 돈벌자고 하시는일이니 어쩌겠습니까?

하지만 저는 영업사원이 아니다 보니.. ^^;

 

시스코사의 장비는 너무나도 유명합니다.

헌데 이 장비도 치명적인 결함은.. 웹부하공격(Get Flood, CC등의 공격 .. 어떤분들은 이걸 DB공격으로 알고 있음)을 못막습니다.

요즘 나오는 장비중에 1기가 막는 다는 장비들을 보면 대게 이렇습니다.

 

트래픽 공격에 대해서는..

80% 정도의 장비는 사실입니다. 1기가 막습니다. 못막으면 DDOS장비의 기본을 져버린것이죠.

20% 정도는 장비가 1기가 장비라고 출시하면서, 트래픽 1기가 공격을 못막습니다. 한마디로 몹쓸장비인거죠.

 

웹부하 공격에 대해서는..

아직까지 한국에 들어온 장비중에 웹부하공격을 막을수 있는 장비는 못봤습니다.

그리고 웹부하공격을 막는 장비도 눈을 씻고 찾기도 어렵습니다.

이유는 웹부하공격의 대부분이 웹변종 공격이기 때문이고 웹변종 공격의 제작지는 거의 중국입니다.

 

중국은 이렇습니다.

중국에서 1~2위 하는 장비들은 중국자국내에서도 인정을 받아서 중국에서는 오히려 시스코를 안씁니다.

그 자국장비가 믿을만 해서 오히려 자국의 장비들을 쓰죠.

중국의 랭키순위 1위(포털 1위, 부동산 사이트 1위, 커뮤니티 1위 등)인 업체들이 시스코 장비 쓰는건 고작 스위치장비정도인데..

DDOS방화벽은 중국의 Z사의 제품을 씁니다. 그 이유는 가장 확실하게 막거든요.

중국사람들은 좀 현실적인 경향이 많습니다.

 

ARP 감염 공격도 요즘 한국에 많이 돌더군요.

ARP, DDOS 공격 전부 공격진원지 추적하면 대부분 중국입니다.

 

인터넷 회선은 한국이 중국보다 앞서있을지 몰라도, 중국은 정말 인터넷 보안과 관련 보안제작부분에 있어서 선진국입니다.

 

ARP Spoofing 같은 공격도 이미 작년초에 중국에선 유행이었던지라, 업체들이 이미 ARP방화벽 프로그램들을

 무료로 속속히 내놓은 상태입니다. ARP 감염 서버 찾아내는 속도도 한국은 못따라갑니다.
(ARP는 무조건 장비 찾아서 빼내고, 포맷이 최고의 방법입니다. 스크립트 감염인 경우가 많아서..)


중국은 그만큼 이런공격,방어등에서 자국내에서도 많은 경험을 해봤기 때문에 감염서버를 빨리 찾아내고 빨리 뺍니다.

한국의 경우는 ARP 감염 서버 찾는데 .. 왜이리 오래 걸리는지..

 

갑자기 이야기가 딴곳으로 흘렀군요. 각설하고... 대표 장비 시스코만 가지고 이야기 하겠습니다.

시스코는 돈 잘버는 회사라서 제가 이런글 적는다고 타격 입을 회사는 아니라서 계속 이야기 하겠습니다.

 

시스코가드 같은 장비는 학습형 DDOS방어장비입니다.

ADM 이란 모듈이 있고, AGM 이란 모듈이 있습니다.

ADM 이 공격으로 의심되는것을 AGM에게 보내서 분석을 하게 만들고, 이걸 패턴화 시킨다는 내용입니다.

그리고 공격은 걸러내고, 정상 서비스 패킷은 보내고 이런식인데...

 

헌데, 보통 변종의 경우도 일주일 정도 분석이면 막는다는 제작사의 주장인데..

어떻게 생각하시나요?

 

일주일을 기다리시겠습니까? 이런 내용 때문에 중국 보안관계자들은 이 이야기를 웃고 넘깁니다.

일주일동안 손놓고 있냐는 이야기가 오가고 또 하나는 그렇게 일주일을 학습해도 못막더라는거죠.

 

이유는 사람이 분석해서 패턴 적용하는게 더 빠르다는 소리입니다.

비싸기만한 애물단지라는 소리를 중국에서는 많이 합니다.

시스코의 유일한 장점은 장비 오류시 네트웍이 안끊어진다는 겁니다. (아웃오브패스방식)

대부분의 장비는 DDOS방화벽 장비에 오류가 생기면 자동으로 넘어가는것이 아닌 네트웍이 끊어집니다.(인라인방식)

사람이 수동으로 이걸 해결 못하면 황당한 사태가 발생되죠.

 

제가 알고 있는한 한국에 현재 유통중인 대표장비들(대략 9종이상)의 테스트 결과로 볼때

현재 중국에서 들어오는 웹부하공격(Get,CC등 DB공격으로도 알려진 공격)을 막을수 있는 장비는 한국에 없습니다.

 

이건 IDC 에서 DDOS에 관심있는 분들은 솔직히 다 아는 내용이죠.

중국에서 DDOS방어로 내노라 하는 장비들이 한국에 들어오면 몰라도 말이죠.

 

IDC 회사들중에서는 이미 이사실을 알고 있으면서, 숨기고 있습니다. 자기들끼리는 진실 이야기를 하죠.

영업 타격으로 연결 되기 때문에 사업상 어쩔수 없는 비밀입니다.

 

관계자들 말로도 한국 DDOS방어의 미해결 과제인 웹부하 공격을 막는 장비를 찾아 수소문 하면 거의 중국이라고 하더군요.

창과 방패를 다 가진 곳이 중국인거 같습니다.

이로 인해 조만간 이걸 다 막는 중국 장비들이 한국에 유통되는날이 올겁니다.

 

참고) 포털 N사, 대형쇼핑몰 G사 등.. 웹부하공격 때문에 일부 페이지 오작동 꽤 있음.

 

7. DDOS 협박을 받았습니다. 어떻게 할까요?

이전부터 많은 분들이 이런 문제로 상담받으신분들이 많습니다.

쉽게 설명드리면 이렇습니다. DDOS 공격은 좀비가 총알입니다.

총을 쏠려면 총알이 있어야 하는데, 총알을 직접 제조할려면 여러가지 어려운 점이 많습니다.

따라서 공격하는쪽은 주로 총알을 삽니다.

실제 중국에서는 좀비 500 마리에 얼마 이런식으로 거래가 되고 있습니다.

 

보통 이 협박하는 애들은 자기들 돈을 투자해서 좀비를 사는데, 이 좀비는 좀 특징이 있습니다.

이렇게 산 좀비들은 오래 가지 못합니다.

 

공격프로그램 기능중에 좀비들을 대상으로 프로그램 실행이란 기능이 보통 있습니다.

이것은 곧 '재감염'이란 기능이 되는거죠.

이걸로 좀비판매책은 좀비를 넘겨줄수가 있는거죠.

 

판매자는 이미 판매했던 좀비들을 또 팔고, 또 팔고가 되는것입니다.

따라서 여러명이 그 좀비를 쓰게 될경우 아무리 '스레드(강도)'를 낮게 해서 사용해도 여러명이 사용하다보니

감염자는 컴퓨터의 이상징후를 알고 포맷을 하거나 백신치료를 하게 됩니다.

그래서 해당 좀비는 빨리 '돈내놔'를 성급하게 진행하게 되는거죠.

 

따라서 협박시에 절대 금품으로 타협을 해서는 안됩니다.

누가이기나보자 하면서 따라붙어줘야 합니다.

 

그러면 좀비를 자기들 돈주고 산놈들도 돈 아까워서라도 피해갑니다.

 

8. 협박도 없었는데, DDOS가 들어옵니다. 이건 무슨 이유죠?

이 경우는 무조건 경쟁사가 DDOS 공격 대행을 하는곳에 사주를 했을 가능성이 높습니다.

경쟁사 혹은 원한관계 혹은 여러가지 원인이 있을수 있지만, 주 원인은 경쟁사입니다.

실례를 들자면, 미국에서 수입되는 비타민을 판매하는 업체들은 지금도 어마어마한 DDOS공격을 받고 있습니다.

헌데, 미국에서 중국쪽으로 DDOS 공격을 의뢰를 하고 있더군요. 경쟁사가....

광고 부분도 예외는 아닙니다.

 

오버추어 순위에 자기들 보다 많은 광고비를 미친듯이 쓰면서 영업하는 자가 보이면..

또 공격을 사주합니다.

 

이건 실제 사례들입니다... -_-; 알고계신분들도 있겠죠?

이글 보면서 뜨끔하신분들도 있을거구요..

 

이게 DDOS 공격자들의 진실입니다.

 

....................................................

 

출처 : http://kin.naver.com/detail/detail.php?d1id=1&dir_id=106&eid=qsoBjrqoY1wygPtSOztpLj4NbTnpRhoL&qb=ZGRvcyC87sfOuPQ=&pid=fLfupsoi5UssssSPPPZsss--507536&sid=SNSCpJRo1EgAAAVebT8


 
 

Total. 645
번호 분류 제목 작성자 등록일 조회수
600 기초강좌 터미널상에서 쉘 명령 라인에서의 단축키 사용 (1) rootman 05-18 11894
599 mysql [mysql] mysql load data/ out file 에 대한 기초자료(import/ex… 관리자 01-25 11875
598 Doc/Faq rrdtool을 한 번 이용해 볼까요? (1) rootman 08-25 11626
597 Shell [최종수정 : 2005/09/12] 서버 상태 값 주기적으로 메일로 발송… 루트맨 01-27 11499
596 Doc/Faq [팁] 서버성능 관련하여 %iowait 제대로 알기 rootman 04-29 11298
595 sqlite [sqlite] 반올림, 버림, 올림 함수 rootman 11-22 11169
594 mysql [mysql] mysqltunner를 통한 mysql optimize rootman 03-18 11124
593 기초강좌 [BMT] ab 를 통한 아파치 성능체크 (46) rootman 10-18 10905
592 sqlite [sqlite3] 날짜와 시간 함수 알아보기 rootman 12-14 10853
591 기초강좌 주요 핵심 튜닝 사항들 rootman 10-19 10743
590 Shell [nagios] HP MSA60 P800 스카시 컨트롤러 펌웨어 체크 plugin rootman 04-16 10713
589 Doc/Faq procmail을 통한 메일 필터링 (2) rootman 09-21 10685
588 Doc/Faq DDOS로 고생하시는분들에게.. rootman 09-20 10636
587 기초강좌 fuser를 이용하여 프로세스 컨트롤하기 (20) rootman 09-26 10594
586 기초강좌 partprobe를 통한 사용중인 파티션 재인식 시키기 rootman 08-31 10571
 1  2  3  4  5  6  7  8  9  10    
AND OR