IT이야기2011. 1. 20. 22:48
DDoS공격은 꾸준했지만, 최근 12월과 1월에 DDoS 공격량이 증가하고, 공격도 심해졌다는 얘기를 한다.

최근 몇몇 업체가 DDos공격을 받았다. 이들 업체도 DDoS 공격 피해자인데, 고객들에게 그것도 못 막냐~라는 얘기를 듣게 되고, 고객에게 미안한 마음까지 생긴다. 하지만 이들 업체가 노력하지 않아서 못 막는게 아니다. 차단위한 인프라 구축에도 한계가 있다. 만약 50G, 아니 100G가 들어온다면 일반적인 국내 환경에서 이 트래픽을 감당할 인프라를 갖춘 곳이 얼마나 되겠는가.

1. 폭우가 쏟아져 상류댐에서 대량의 물을 방류하게 되면 하류에서는 대비를 하더라도 피해를 입을 수밖에 없다.

이런 경우 해결할 방법은 상류댐(IDC나 연동망 등)에서 물길을 막아주는 것 밖에 없다.(이를 IP null routing이라고 한다. 공격받는 IP로 들어오는 트래픽을 상단에서 버리는 것이다.) 그러나 이 댐은 특이해서 물을 한방울도 흘러보내지 않거나 대량의 물을 그대로 방류하거나 둘중 하나만 선택할 수 있다. 어쩔 수 없이 물을 한방울도 흘러보내지 않는 것을 선택하게 된다. 대량의 물은 막았지만 식수난을 겪게 된다. (IP null routing을 하게 되면 공격 트래픽은 막아지지만 해당 IP로는 서비스를 할 수 없다. 인프라는 보호했지만 서비스는 못하는 현실)

DDoS

[ 이미지 출처 : 구글 이미지 검색 -> make.to ]


※ DDoS공격 유형은 여러가지가 있는데, 위는 UDP유형으로 대역폭을 초과하는 공격을 예로 든 것이다.
※ DDoS공격은 유형에 따라 차단할 수 있다. 그리고, 인프라를 초과하더라도 상단과의 협조와 내부 DDos방어장비를 이용해 단계별 처리로 피해를 줄일 수 있다. 먼저 DDoS방어장비 구축과 인프라 개선은 해야하는 것은 당연하다.


2. 최근 공격량이 증가했다는 것은 좀비 PC가 늘었다는 이야기가 된다. '선' 좀비 PC 구축 -> '후' DDoS공격의 형태이기 때문이다.

'하우리의 맞춤전용백신 목록'에서도 Trojan/DDoSAgent 전용백신이 작년 11월부터 증가했다. 좀비 PC도 늘어 났다는 것이다.
인터넷침해대응센터(KRCERT)의 보안공지( http://www.krcert.or.kr/ )를 보면 12월말부터 국내 주요 오픈소스 게시판의 취약점이 줄줄이 발표되었다. (당시 대량의 서버에 설치된 제로보드를 자동 패치하느라 고생한 커피닉스 분이 생각난다. ^^) 이들 3개 게시판이면 국내 공개 게시판의 대부분을 커버한다고 보면 된다.
취약점을 이용해 악성코드만 심으면, 공장에서 찍어내듯 좀비 PC를 만들 수 있는 대량 양산 체제를 구축한 것이다. 밤낮이 필요없는 24시간 양산 체제. 게시판 사용하는 사이트는 널려있으니, 악의적인 사람 입장에서는 원감절감(노력절감) 체제. 우리 나라 좀비 PC들은 네트웍도 빵빵하고, 성능은 날아다닌다. 그만큼 막강한 공격력을 자랑(?)하게 된다.

[ 인터넷침해대응센터(KRCERT)의 보안공지 ]


* 국내 공개 웹 게시판(제로보드) 취약점 주의 (2010/12/21)

  o 국내 PHP 기반의 공개 웹 게시판 제로보드에서 XSS, CSRF 및 RFI 취약점이 발견됨[1, 2]
  o 해당 취약점을 이용한 홈페이지 변조 및 원격 실행 위협이 발생함에 따라, 취약한 버전 사용자의 주의 및 조속한 패치가 요구됨

* 국내 공개 웹 게시판(테크노트) 취약점 주의 (2011/01/06)

  o 국내 PHP기반의 공개 웹 게시판인 테크노트에서 SQL인젝션 취약점이 발견됨 [1]
  o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 내부정보(개인정보 등)유출 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요

* 국내 공개 웹 게시판(그누보드) 취약점 주의 (2011/01/07)

  o 국내 PHP기반의 공개 웹 게시판인 그누보드에서 XSS, CSRF 취약점이 발견됨[1]
  o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 관리자 계정 탈취 및 악성코드 유포지로 악용되는 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요

게시판 취약점 이용한 악성코드 심기, 유명사이트 해킹으로 악성코드 심기, 웹브라우저의 zeroday취약점 등으로 좀비 PC 양산체제 구축은 꾸준할 것이다. DDoS공격 증가와 좀비 PC 양산체제 여건 마련은 무관하지 않다.

PC점검 철저히 하시라. 그리고 IE에만 의존하지 말고, 파이어폭스나 크롬 등도 이용하시라.
내가 이용자이면서 그들에게 공격자일 수도 있다. 누구를 욕할 처지가 아닐 수 있다.
Posted by 좋은진호
IT이야기2009. 8. 3. 13:03
위키피디아(Wikipedia)는 약 350여대의 서버로 운영되고 있다. 2008년 당시에 초당 5만번의 웹요청, 그리고 MySQL DB를 사용하여 초당 8만번의 SQL 쿼리가 발생한다. 지난 7월 31일에 잠깐동안 위키피디아(Wikipedia) 서비스에 장애가 발생했다. 아래 메시지 중에 10.0.6.28은 클러스터링된 DB서버 IP중의 1개이다.

wikipedia 위키피디아

[ 장애 발생한 위키피디아 페이지. 이미지 출처 : http://planet.mysql.com/entry/?id=20411 ]


This wiki has a problem

Sorry! This site is experiencing technical difficulties.
Try waiting a few minutes and reloading.

(Cannot contact the database server: Unknown error (10.0.6.28))

짧은 시간 동안이었지만, 그 순간에 위키피디아 백과사전을 봤어야하는 네티즌들은 답답했을 것이다. 이런 서비스는 공기와 같은 존재로 평상시에는 그 소중함을 느끼지 못한다. 그러나 공기 공급이 중단된다면? 숨이 턱턱 막히고, 답답함을 이루 말할 수 없다.
  • 가장 최근 일만 보더라도 지난달에 DDoS공격으로 메일서비스, 계좌이체, 인터넷 쇼핑 등이 원활하지 못해 답답함을 느꼈다.
  • 그 이전에 DDoS공격으로 인해 포털들의 부분적인 장애로 불편함을 겪었다.
  • 그리고, 지난 30일에 hanirc서버가 DDoS 공격를 당해 IP가 차단된 상태다. 현재 이순간에도 제대로 서비스가 이뤄지지 못하고 있다. 다수와 커뮤니케이션이 필요한 네티즌에게는 외로움과 답답함의 시간일 것이다. (참고로 hanirc에 대한 실시간 정보는 http://twitter.com/HanIRC 를 참고하기를 )
google data center 구글 데이터센터

[ 구글 데이터센터와 엔지니어 ]


중단없이 공기가 공급되도록 시스템 옆에는 늘 시스템 관리자가 있다. 위키피디아 장애가 발생한 이 날은 흥미롭게도 '시스템 관리자의 날'(시스템 관리자에게 감사하는 날, System Administrator Appreciation Day)이다. 올해로 10번째를 맞은 시스템 관리자의 날은 매년 7월 마지막 금요일로 정해져 있다. 364일동안 소외된 이 들을 위해 하루만이라도 감사하자는 의도다. 안타깝게도 시스템관리자는 잘하면 본전이고 잠깐 장애가 발생하면 욕먹는 위치에서 일하는 사람들이다.

시스템 관리자를 포함하여 늘 서비스가 중단되지 않도록 묵묵히 일하시는 분들에게 우리는 감사해야 한다. 서로에게 감사하자.

Posted by 좋은진호
IT이야기2009. 7. 9. 01:15
저녁에 알약 등의 사이트가 안뜨길래, 백신받으려는 사람이 많아서 그러나보다 생각했다. 그런데, 2차 공격이 진행됐다는 기사가 올라왔다. 개인적으로 11시대에 안랩 홈페이지(home.ahnlab.com) 가 느리게 접속되는 현상이 확인했고, 다음의 한메일(mail.daum.net)은 현재(00시대) 거의 접속이 안될 정도이다. 네이버가 메일 장애시에 임시로 mail2 도메인을 사용했는데, 방금전(01:00에 확인)에 다음 한메일도 주소를 mail2.daum.net 로 임시 변경했다.

다음 한메일 접속시.

[ 다음 한메일 접속시 나오던 창. 도메인이 mail.daum.net인 경우 ]


그러나 어느 사이트가 접속된다, 안된다의 정보를 확인하는 것보다 중요한 것은 개인 PC의 점검이다.
  • 안철수연구소에서 오후부터 전용백신을 제공( http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1 ) 하고 있으니 V3를 이용하지 않으신 분은 꼭 받아서 확인하시길.
  • 그리고, 'MPEG2TuneRequest 제로데이 취약점' 패치가 임시로 올라왔으니 적용하시길... '안철수연구소 ASEC'블로그에 자세히 설명되어 있다.
새로운 공격 대상이 생겼다는 것은 대상을 자체적으로 변경하거나, 지금도 악성코드가 계속 배포된다는 의미일 것이다. 궁금해진다.

공격당하는 사이트의 보안담당자, 네트웍엔지니어, 시스템엔지니어들, 그리고, 악성코드 분석과 대처를 위해 애쓰시는 보안업체분들은 지금 이시간에도 고생하고 계실 것 같다. 힘내세요.

* 관련 정보 

Posted by 좋은진호
IT이야기2009. 7. 8. 10:24
어제 네이버 메일과 쪽지기능, 옥션(auction.co.kr), 조선닷컴(chosun.com), 청와대(www.president.go.kr), 국방부(www.mnd.go.kr), 은행사이트, 그리고 백악관 등 다수 사이트가 DDoS공격을 받았다. 지금도 청와대, 국방부, 조선닷컴, 옥션 등이 원할게 접속되지 않는다. 네이버 블로그도 일부 개인 페이지들이 제대로 보이지 않는 경우가 있다. 그 원인은 악성코드 때문이었다. 쿨캣님의 블로그( http://xcoolcat7.tistory.com/520 )에서 악성코드가 공격을 하는 대상 사이트의 목록을 볼 수 있다. 악성코드의 공격대상 목록과 실제 공격당한 사이트가 일치한다.

악성코드 msiexec2.exe의 공격 대상 사이트 목록

[ 출처 : 쿨캣님 블로그 ]


msiexec1.exe 등을 포함한 Win-Trojan/Downloader.374651 악성코드는 안철수연구소 바이러스 정보에서 정보를 얻을 수 있다. 그러나 공격대상 사이트 목록이 있는 msiexec2.exe에 대한 분석자료는 안랩 사이트 등 다른 곳에는 아직 공개되어 있지 않은 상태이다.

KRCERT에 '신종 분산서비스거부공격(DDoS)에 따른 "주의" 경보발령'  공지가 올라와 있다. '신종 DDoS 악성코드로 인하여 국내 주요 공공기관 및 이용자 방문이 많은 포털, 금융 사이트에 대한 접속 장애 발생'했다는 내용이다.

이 악성코드가 부팅 후 자동 실행이 된다. 그리고, 제어 서버(C&C) 접속 없이 공격 대상 목록 파일정보를 기반으로 자동 공격한다.  만약 악성코드내에 공격을 중단하는 명령이 없다고 한다면, 대상사이트는 공격을 계속 받을 수 밖에 없다. C&C(Command & Control) 접속없이 이뤄지므로, 공격을 멈출 방법이 없기 때문이다. PC만 켜져있는 동안은 계속 공격이 이뤄진다는 얘기.

개인 PC에 악성코드가 심어져 있는지 검사가 필요하다.


* 관련정보 (18:15 추가)
  - 안철수연구소, DDoS 공격용 악성코드 전용백신 무료 제공 (그리고, 이번에 공격한 악성코드명)
  - Urgent-Massive DDOS Attack!
  - 하우리의 분석자료 (Trojan.Win32.DDoS-Agent.33841) (공격대상 목록 포함)
  - 네이버, 옥션, 청와대 공격 악성코드 분석 (글 쿨캣님, 16:36)
  • 악성코드 초기 버전(7.5일)이 만든 uregvs.nls 파일에는 한국 사이트는 없었고, 미국 정부 사이트만 있었다고.
  • 한국 사이트는 7월 7일에 포함

Posted by 좋은진호
시스템이야기2008. 1. 26. 03:10
라드웨어에서 준비한 '2008 Radware DDoS 보안 세미나'에 갔다왔다. 평점을 주면 5점만점에 3점 정도. 사례중심의 발표를 기대했지만, 보편적인 내용으로 흘러갔다. 저와 함께 참석했던 커피닉스( http://coffeenix.net/ )의 나머지 다섯분도 같은 의견이다.

생각난김에 DDoS 공격 유형따라 막을 수 있는지 여부를 정리했다.

국내 DDoS공격이 곳곳에서 터지기 시작한 2007년 초반에만 하더라도, DDoS공격을 막을 수 있느냐, 없느냐의 논의가 몇몇 커뮤니티에서 있었다. 그러나 요즘은 막을 수 없는 공격이 주를 이룬다는 것을 잘 알고 있다.

결론적으로는 회선 대역폭을 공격량보다 많이 확보( 보유한 회선 > 공격량 )해야 공격의 주를 이루는 UDP, ICMP flooding 공격을 버텨낼 수 있는 최소한의 조건을 만족한다. 이 때 네트웍장비의 CPU load 가 낮아야만, 사용자는 불편함없이 서비스를 이용하게 될 것이다. 10G, 20G 이상의 공격량이 많을 경우엔, 다른 고객사에게 피해를 주거나 연동망 장애를 가져올 수 있다. 이럴 경우 IDC나 ISP에서 먼저 차단할 것이다. 즉, 서비스 업체의 인프라만으로는 서비스의 완벽보장은 이뤄내기 힘들다.

UDP, ICMP이외에 공격 유형에 따라, 시스템(네트웍, 서버, 보안장비) 인프라가 되면 막을 수 있는 유형도 있다. Radware 세미나에서 제시한 공격유형 6가지 정도를 갖고 살펴보도록 하겠다.

사용자 삽입 이미지

1. HTTP Flood

  웹페이지를 과다하게 호출하여 서버의 load가 높아지거나 처리가능한 커넥션수를 초과하게 만드는 공격이다.
  '웹페이지 과다 호출 방식의 DDoS공격 사례' (글 좋은진호, 2008.1.23)를 참고하기 바란다.
  IPS, L4스위치의 성능, 웹서버의 설정을 통해서 막아 낼 수 있다.

  1) IPS없고, L4스위치도 없다면.
      몇대 안되는 웹서버를 로드밸런싱하고 있는데, 다량의 공격(세션이 몇만이상)이라면 서버 load가 높아져 서비스가 불가능할 것이다.
  2) IPS없고, 성능 좋은 L4스위치. 그리고 몇 십대의 웹서버를 L4에 물려 서비스 한다면.
      이 때는 '웹페이지 과다 호출 방식의 DDoS공격 사례'에 써진 것처럼 막아 낼 수 있는 방법을 찾을 수 있다.
      그러나 몇 십대에 분산되어 서버가 다 받아드리더라도, 세션이 몇만~몇십만의 공격일 때 L4의 처리한계로 서비스가 느려질 수 있다.
  3) IPS있다면, 웹서버의 설정까지 조합해서 가능

2. SYN Flood, TCP Flag Flood, Half-Open Flood

  방화벽, L4스위치(SYN proxy기능을 갖는 L4. 그러나 SYN proxy기능을 이용하려면 DSR구성 방식은 불가능함), IPS등으로 막아낼 수 있다.

3. UDP Flood, ICMP Flood

  초기에 얘기했던 것처럼 공격량보다 많은 회선을 확보하지 못하면 어떠한 장비를 도입하더라도 막아낼 수 없다.  본인의 백본보다 상위단의 백본을 관리하는 곳(IDC, 호스팅 등)에 요청하여 dest. IP를 차단해달라고 요청해야할 것이다.

  작년 초에는 방화벽, ISP의 장비 업체의 실력있는 엔지니어들도 '우리 장비는 막을 수 있을 것 같다.'라고 얘기하는 경우도 있었다. UDP는 포트가 오픈되어 있지 않더라도 백본까지는 UDP 트래픽이 들어온다는 것(백본에서 UDP를 막았을 때)을 알면서도 저렇게 생각하고 있는 경우가 있었다. 요즘은 국내의 DDoS공격이 주위 사람에게만 뒤져봐도 흔하게 일어나는 안타까운 현실 때문에, 업체에서도 저런 얘기를 하는 경우는 줄었을 것이다.

  참고로 UDP는 주로 80포트와 53(DNS) 포트로 공격하지만 이외에 1024이하의 임의로 포트로 공격하는 경우도 있다.

DDoS 대응 장비로 거론되는 것은 다음 3가지 정도일 것이다.

1. 시스코의 Guard & Detector
   - 대규모 사이트에서 위의 2~3번 유형 대처할 때 적합
   - 초기 훈련을 통해 평상시의 트래픽을 인지하는 방식이라서 1번의 유형을 대처할 수도 있다.
      확인해본 적이 없어서 ^^
   - 1G 장비
   - 어플라이언스 제품과 Catalyst 6500시리지의 모듈형이 있다.
2. 라드웨어의 DefensePro(DP)
   - 대규모 사이트에서 1~3번 유형 대처할 때 적합
   - DP6000의 경우 10G모듈이며, 5~6G정도 공격은 커버 가능
3. 기가핀네트웍스의 Slimline, Flowline
   - 소규모 사이트에서 2번 유형을 대처할 때 적합
   - 약간 두꺼운 책 한 권 크기 정도이며, 가격이 저렴하다.
   - 1G UDP모듈만 제공(역시 소규모 사이트를 위한 제품임을 알 수 있음)했으나
     최근에 Flowline 500-F를 통해 광모듈 지원 장비도 나왔다.

시스코장비나 라드웨어 장비가 3번 유형을 막아준다고 표시해뒀는데, 유해한 UDP를 필터로 걸러내고 하위로 보내준다는 의미이지 보유한 회선을 넘는 공격을 막아낸다는 의미는 아니다.

※ 위의 모든 내용은 공격유형의 이름만 세미나에서 뽑아왔을 뿐이지 세미나 내용과는 전혀 무관하다.

세미나 내용중 흥미있는 슬라이드 2장만 올린다.

사용자 삽입 이미지
[ 공격대상 사이트가 시기별로 차이가 있으며 다양하다는 것을 보여줌 ]

사용자 삽입 이미지
[ 공격하겠다는 메일 ]
Posted by 좋은진호
IT이야기2008. 1. 24. 00:15
2주전에 정통부는 DDoS 공격 대응책 마련에 올해 20억원을 책정했다는 기사가 보도되었다. 20억이라는 금액은 누가 봐도 너무 적은 금액이라는 것을 알 것이다.
장비 몇대 또는 10여대면 끝날 금액으로 IX 3곳에 나누어 설치하는데, 이걸로 뭘할까 싶다.

20억 투자가 계획대로 진행되더라도, 구축체계 가동까지는 12월이다. 12월까지는 정부차원의 특별한 대응책('빨리 협조하여 대응한다'는 말뿐인 대응말고.)은 없어 보인다.

2 월 : 주요 ISP를 대상으로 사업설명회 (기사 외에도 KT관계자를 통해서도 들었음)
7 월 : DDoS 대응체계 구축 네트워크 설계
8 월 : DDoS 대응 시스템 도입 추진
10월 : 대응 시스템 시범 구축·운영
12월 : 대응 시스템을 본격 가동 예정

대조적으로 VeriSign은 타이탄(Titan) 프로젝트명으로 인프라확충에 2010년까지 1억달러 이상을 투자한다. (작년 4월에 쓴 '.com & .net 도메인 수수료 인상과 Titan 프로젝트'을 참고하세요.) 작년 2월에 root DNS의 공격을 받은 것이 큰 계기가 되었다.

21일 나온 기사에 따르면( 인터넷침해 대응체계 구축, 디지털타임스), 지난 5년간 경제적으로 약 5조3000억원의 침해사고에 대한 피해손실 예방 효과를 거두었다고 발표했다.

KISA측은 "이러한 노력의 결과로 1ㆍ25 대란이 발생한 2003년도에는 전 세계 침해사고 피해액 대비 국내 피해액 비율이 10% 수준이었으나 5년이 지난 현재 3% 수준으로 감소했다" 면서 "이를 경제적으로 추산하면 약 5조3000억원의 피해손실을 예방한 것" 이라고 말했다..

많이도 막았다고 자랑할 때가 아니다. 2000년 2월 야후, 이베이, 아마존 등이 DDoS공격에 의한 직접적 피해액만 1조 5천억원으로 산정한다.
현재 DDoS의 타켓이 국내 대형 포털이 아니지만 언제 포털이나 정부기관이 될지 모른다. 2000년의 해외 교훈을 잘 생각하자. 큰 손실을 막았다고 자랑하지 말고 더 큰 손실을 줄이기 위해 20억이 아니라, 200억을 한번에 투입해도 부족한 때이다.

인터넷에 고속도로만 뚫는게 전부가 아니다. 안전장치를 늘려 대형 사고를 줄여야 한다는 것을 잊지 말자.

* 정부, DDoS 공격 대책 마련 나선다 (2008.1.8, 아이뉴스24)
http://news.empas.com/show.tsp/cp_in/20080108n17198/

※ 올해에도 웹하드 업체의 DDoS공격이 심심치 않게 들려온다.



Posted by 좋은진호
IT이야기2007. 1. 12. 23:32
※ 2009.7월 DDoS 공격 관련해서는 글 맨 마지막의 '관련글'을 참고하세요.

이데일리 2007.1.12(금)일자에 나온 기사의 일부이다.
http://www.edaily.co.kr/news/stock/newsRead.asp?sub_cd=DB41&newsid=01902406582997064&clkcode=00203&DirCode=0030503&curtype=read

최근 모 사이트 관리자는 메신저로 `xxx만원을 입금하지 않으면 사이트를 공격하겠다`는 메세지를 받았다. 그러나 별다른 대응 조치를 하지 않았다.

이 후 10여일간 하루 2~3차례 짧게는 5분에서 최대 5시간씩 대용량 트래픽이 유발되는 형태로 서버가 다운되는 등 네트워크 장애현상을 겪어야만 했다. 이 때문에 해당 IDC에서 강제 해지돼 다른 IDC로 이전했지만 이후에도 해킹 공격을 받아 결국 서비스를 중단하고 말았다.

최근 성인· 도박· 화상채팅 사이트를 대상으로 분산서비스거부(DDoS)라는 방법으로 돈을 요구하고 해킹 공격을 하는 사례가 잇따르고 있다.

DDoS는 IRC(인터넷릴레이채트) 채널에 로그인후 명령을 대기하고 있는 `좀비`라는 바이러스에 감염된 PC를 이용하여 공격하게 된다.
... 생략 ...

업계에 따르면 DDoS 공격은 주로 보안이 취약하고 유동IP를 사용하는 개인PC를 숙주로 이용하기 때문에 공격자 추적은 불가능한 상태로 DDoS 공격 등에 의한 장애 발생시 현재 원천적으로 차단할 방법이 없다. 현실적으로 IDC는 공격을 받으면 같은 회선을 사용하는 다른 서버의 피해를 줄이기 위하여 해당 사이트의 서비스를 중지시키거나 다른 네트워크로 분리하는 것이 유일하다.

... 생략 ...

DDoS공격은 유형에 따라 차단할 수 있는 것도 있지만, 대부분 복합적인 방법으로 이뤄져 기술적으로 차단할 방법이 거의 없다. IDC, ISP등의 협조 없이는 IDC 고객(10G이상의 여유회선을 갖고 있지 않은 고객)입장에서 막을 방법은 없다라고 보는게 맞을 것 같다.

- 공격량보다 많은 회선을 확보하면 좋겠지만 비용 만만치 않다는 것은 잘 알테고,
- 회선 확보 후 보안장비를 설치한다고 하더라도 장비의 성능이상의 트래픽이 들어오면 정상적인 서비스를 보장받을 수 없다.

DDoS를 위한 Cisco Guard & Detector(단독형 또는 Cisco 6500시리즈의 모듈형이 있음) 장비가 있지만 1G단위의 장비라, 공격이 5Gb라면 5대를 설치를 해야한다. 물론 그 이상의 공격이 들어오면 안정적인 서비스를 보장받기는 어렵고 ^^*

KT, 하나로 등의 몇몇 입주업체에서 저런 공격을 받은 걸로 들었다. 그리고, KT분당 IDC에 있는 호스팅업체 smileserv.com ( http://www.1000dedi.net/ )내에 있는 입주사도 공격을 받았으며, 공지사항의 사과문도 확인할 수 있다.

http://sample.1000dedi.net/hosting/gnuboard4/bbs/board.php?bo_table=commonBoard&wr_id=119

트래픽 양잉 일반적인 경우 6 기가, 최대 10 기가라니 실로 엄청나다. '일명 500만원 DOS 공격 괴담'이라니... 이업체를 토대로 이데일리에서 기사를 쓴건가...

정부, ISP, IDC간의 업무협조가 빨리 이뤄지길 바라며, 개인사용자의 보안의식도 강화되기를 빌어본다.

Posted by 좋은진호