좋은진호의 여유만만



jjun님이 글을 쓰셨으니 간단하게만 몇가지 언급하겠다.

'아파치 웹서버 무력화시킬 심각한 DoS 결함 발견' 기사에는 mod_deflate또는 mod_gzip 모듈과 관련이 있는 것으로 쓰여있지만, 이 모듈과는 무관하게 취약점이 존재한다. 해당 모듈을 주석처리해도 악의적인 Range 헤더 요청에 대해 똑같은 문제가 있으며, 아파치 메일링 리스트에서도 이 모듈을 언급한 것은 잘못된 판단이었다고 한다.

* Bug 51714 - Byte Range Filter might consume huge amounts of memory combined with compressed streams

웹페이지 size에 따라서, Range 헤더의 문제가 발생할 수도 있고 없을 수도 없다.

1) mod_php5모듈이 없다면 웹페이지 size에 상관없이 문제가 있다.
2) mod_php5모듈과 함께 아파치를 동작중이라면 8000bytes 이하의 웹페이지를 요청할 때만 문제가 발생한다. mod_php5 모듈이 있더라도 php로 인식하지 않는 확장자(예를 들어 .css, js, .txt 등)는 사이즈에 상관없이 문제가 있다.

따라서 index페이지만 체크하고 '우리는 문제가 없네'라고 판단해서는 안된다. php로 된 index가 8000bytes를 넘는다면, 취약점이 없는 것으로 보일 수 있기 때문이다.

Request 헤더에 Range: bytes=0-,1-2,2-3,4-5 같은 형태로 요청했다고 가정하자.

0-은 해당 웹페이지의 시작부터 끝까지를, 1-2는 웹페이지의 2번째~3번째 문자(0부터 시작하니깐 1-2는 2~3번째)를, 나머지도 같은 의미이다. 일반적으로 콤마(,)로 구분해서 여러 필드를 요청하는 경우는 없다라고 생각하면 된다.

[ 아파치 설정에서 Range헤더에 콤마를 제한하는 예 ]

따라서 위처럼 5개 필드 이상(콤마가 5개 이상)인 경우만 제한해도 좋고, 간단하게 콤마(,)가 포함된 경우를 차단해도 무방할 것으로 보인다.
곧 패치버전이 나올 것이다. 하지만 그 때까지는 L7장비 또는 웹서버에서 Range 헤더 조건 강화하는 방법으로 차단해야 할 것이다.


* 관련글 :
  - Mitigation of Apache Range Header DoS Attack
  - DoS with mod_deflate & range requests

* 내용 추가 (2011.8.31(수) 점심)

오리건주 프린빌(Prineville, Oregon)에는 약 30만 square feet크기(9만5천평)의 페이스북(Facebook) 데이터센터가 있다. 현재 절반인 15만 square feet가 운영중이며, 올 하반기에 나머지 절반이 완성될 것이다. 이 데이터센터와 페이스북 서버가 4월초에 Open Compute Project( http://opencompute.org/ )를 통해 공개가 되었다.

페이스북 서버에 간략하게 요약하면.

• 1U보다 더 큰 1.5U 크기의 서버. 그래서 보다 큰 방열판과 팬을 사용하여 온도 효율성이 높아졌다.
  
• 샤시는 심플하다. 페이스북은 '무허영심(vanity free)'이라고 표현했다. 멋진 말이다. 군살을 쏙 뺀 반드시 필요한것만 들어있는 구조다.
• AMD보드 : AMD 옵테론 6100시리즈, 24 DIMM 메모리 슬롯
• 인텔 보드 : 인텔 제온 5500 또는 5600, 18 DIMM 메모리 슬롯
  
• 자체 제작한 서버는 구매한 서버보다 38%정도 높은 효율. 24% 저렴
• 파워서플라이 : 94.5%의 고효율. 2009년 당시 구글서버가 85~90%였다.
• 전원은 2개가 연결되는데, 하나는 277V AC 주전원(일반적인 208V보다 높은 것은 효율을 위해). 다른 하나는 48V DC 백업전원(48V DC는 캐비넷형태의 UPS에 연결됨). 구글서버는 12V DC전원만 사용한다.
  

페이스북 데이터센터와 서버에 대해서는 4월 초에 나온 글이 인터넷에 많을 것이니, 추가된 내용들만 적어보겠다.


1. 페이스북 데이터센터의 태양광 시설

페이스북은 이 데이터센터에 태양광발전시설을 구축하여 100KW의 전기를 생산한다. 1년을 기준으로 204,000KWh의 전기를 생산할 것으로 기대하고 있다. 1년 20만KWh라면, 하루 5.6시간을 생산했을 때를 가정한 것 같다.

태양광발전으로 생산되는 에너지는 전체 에너지 사용량에 비하면 비중이 상당히 낮다. 그린피스에서도 에너지 사용면에서 좋지 않은 데이터센터로 지적했다.

하지만 데이터센터의 에너지 효율은 상당히 높다. 데이터센터의 에너지효율은 PUE수치로 나타내는데, 이 수치가 1에 가까울수록 높은 효율을 나타낸다. 구글은 2009년에 평균 PUE가 1.22라는 놀라운 수치를 보였으며, 구글의 데이터센터 중에는 1.1x인 곳도 있다. PUE가 1.2만 되어도 예술의 경지에 이르렀다고 하는데, 페이스북의 새 데이터센터는 놀랍게도 PUE가 1.07이다. 즉, 거의 전력 손실없이 운영되고 있다는 뜻이다.

 
2. 데이터센터 추가 동영상과 사진

금요일에 저널리스트와 프린빌(Prineville) 지역 공무원을 대상으로 페이스북 데이터센터 투어가 있었나보다. Data Center Knowledge의 'Video: Inside Facebook’s Server Room' (2011.4.18) 글에 약 8분짜리 데이터센터 투어 동영상을 볼 수 있다.

투어를 시켜준 사람이 'Director of Datacenter Engineering'(데이터센터 엔지니어링 부서 이사 정도?) 'Jay Park'이란 분이다. 전기분야 엔지니어이신데, 미국 교포일까? 이름도 그렇기도 하고, 동영상이나 사진을 보면 우리 나라 사람 같아 보인다.

Rackspace에서 근무하시는 분이 데이터센터를 방문하여 올린 사진도 있다
* Photo tour of Facebook’s new datacenter (Scobleizer 블로그, 2011.4.16)

로비 모니터에 데이터센터 상태를 모니터링할 수 있는 화면이 있다고 한다. 내부 온도는 18~27도(화씨 66~82도), 습도는 24~41% 정도다. 습도는 적정수준인데, 온도는 높은 구역도 있다. 외부 공기를 끌어다가 냉각을 해서 조금 높은 것일 수도 있겠다. 그리고, 오른쪽 상단에 표시된 현재 PUE는 1.08(?)으로 환상적이다. ^^

페이스북의 다른 데이터센터 사진을 보고 싶다면 타임지(TIME)에서 공개한 사진이 있다. 타임지는 2010년 올해의 인물로 페이스북의 '마크 주커버그(Mark Zuckerberg)'를 선정(2010년 12월중순)했다. 그래서, 타임지는 페이스북의 또다른 데이터센터인 캘리포니아주 산타클라라(Santa Clara, California)의 데이터센터 사진을 일부 제공했었다.
* A Glimpse Inside a Facebook Server Farm - Photo Essays (TIME, 9장의 사진)



* 데이터센터 관련글

- 2009/10/07 - [IT이야기] MS의 시카고 데이터센터 사진 공개
- 2009/04/03 - [IT이야기] 구글 데이터 센터 내부 공개, 그 안을 들여다보자
- 2009/04/10 - [IT이야기] 구글, 구글 서버와 데이터센터 발표자료를 풀 동영상으로 공개
- 구글 데이터센터의 놀라운 전력 효율 (2009.10.27, 커피닉스)
- 애플 신규 데이터센터 (2009.7.16, 커피닉스)
- 애플 신규 데이터센터 (2009.8.14, 커피닉스)
- 터키 이스탄불의 Vodafone 데이터센터, 폭우로 물에 잠겨 (2009.9.16, 커피닉스)

* 서버대수 관련글

- 2010/06/30 - [IT이야기] 페이스북(Facebook)의 서버 대수는 6만대 이상? (서버대수와 데이터센터)
- 2009/06/01 - [IT이야기] 해외 주요 업체의 서버 대수는?
- Facebook 사용자 4억명 돌파, 그리고 서버수 (2010.2.12, 커피닉스)

* 사진

- Solar-powered Facebook Data Center (2011.4.16, 페이스북 태양광 발전시설)
- Inside Facebook’s Not-So-Secret New Data Center (2011.4.7, 페이스북 데이터센터 사진 9장)

이집트 민주화시위로 인해 이집트 정부는 인터넷을 차단했다.


집권세력들이 자기 잘 못은 생각하지 않고, 국민의 입을 막겠다? 표현의 자유를 없애겠다? 온라인상으로 표현할 공간이 없을수록, 국민들에게 남은 선택은 한가지 밖에 없다. 더 격렬하게 시위하여 자신들의 의사를 표현하는 것 뿐이다.
집권세력은 더욱 힘을 잃고 있다. 내부적으로는 국민들의 격렬한 저항을 받아야 한다. 외부적으로는 다른 국가들의 압박을 받아야 한다. 전세계 네티즌으로부터는 비난을 받을 것이다. 샌드위치로 눌리는 집권세력들. 그들이 보기엔 사방이 적이다. 그러나 생각해보면 잘못을 뉘우칠 수 있는 희망의 손길이다.

그건 그렇고, 실제 인터넷이 차단되었는지 .eg 도메인으로 접속시도를 해봤다. 아~ 접속이 되지 않았다. ㅠ.ㅠ

1. 구글에서 site:gov.eg 를 검색해서 적당한 도메인을 고른다.
2. 그 후 dig으로 lookup해보면 도메인을 찾지 못한다. 물론 사이트 접속도 안된다.

아마존(Amazon)은 고객이 필요한 만큼의 자원만 할당 받아 서버를 이용할 수 있는 아마존 웹서비스(Amazon Web Services, AWS)중 EC2(Amazon Elastic Compute Cloud) 서비스를 제공한다. 클라우드 컴퓨팅 시스템을 이야기할 때 절대 빠질 수 없는 대표적 클라우드 서비스이다.


아마존 EC2가 무엇인지 들어본적이 없다면, 뷔페를 생각하면 이해가 쉬울 것 같다. 먹을 만큼만 먹고, 필요하면 쉽게 더 덜어먹을 수 있는 뷔페. EC2는 필요한 만큼 서버 자원을 할당받고, 더 필요시 비용을 지불하면 쉽게 자원을 더 할당받아 늘릴 수 있다. 위키리크스(WikiLeaks)도 아마존에서 쫓겨나기 전까지는 EC2 서비스를 이용했었다.

이 서비스를 위해 구성된 아마존의 EC2 Cluster가 세계 슈퍼컴 TOP 500중에서 231위를 차지(2010년 11월 발표기준)했다.



이 클러스터는 총 880대로 구성되었다. 위에 표시된 Xeon X5570 CPU는 네할렘(Nehalem) 쿼드코어(Quad Core) CPU이다. 그래서, 위에 표시된 총 코어수는 다음과 같이 계산이 된다.


Amazon EC2 Cluster가 2010년 6월 순위에는 포함되어 있지 않지만, 성능을 그 때 기준과 비교하면 슈퍼컴 TOP 500 중 146위정도였다.


우리가 사용하는 일반 웹서비스가 슈퍼컴 500위 안에 들다니? 클라우드 컴퓨팅 시대에는 누구나 슈퍼컴의 일부를 할당받아 쓰는 시대가 되었다.

구글 캘린더에서는 정상적으로 보인다. 하지만 캘린더 공유용 웹페이지에서는 비정상적으로 날짜가 당겨서 보인다. 지난주부터 문제가 생긴 것 같다. OS와 브라우저별로 확인한 결과, 리눅스 파이어폭스에서만 날짜가 당겨져 보였다.

• Windows IE8, 파이어폭스, 크롬, 사파리에서 정상 표시
• 리눅스 오페라에서 정상 표시
• 리눅스 파이어폭스(3.6.x)에서 비정상 표시
  

IT일정 공유하는 커피닉스의 '캔커피'( http://can.coffeenix.net/ )에서 살펴본 것이다. EMC Effect Day는 12월 9일, Wine 1.2.2 Released는 12월 3일로 표시되어야 맞다. 하지만 모두 이틀씩 당겨서 보인다.