IT이야기2011. 1. 20. 22:48
DDoS공격은 꾸준했지만, 최근 12월과 1월에 DDoS 공격량이 증가하고, 공격도 심해졌다는 얘기를 한다.

최근 몇몇 업체가 DDos공격을 받았다. 이들 업체도 DDoS 공격 피해자인데, 고객들에게 그것도 못 막냐~라는 얘기를 듣게 되고, 고객에게 미안한 마음까지 생긴다. 하지만 이들 업체가 노력하지 않아서 못 막는게 아니다. 차단위한 인프라 구축에도 한계가 있다. 만약 50G, 아니 100G가 들어온다면 일반적인 국내 환경에서 이 트래픽을 감당할 인프라를 갖춘 곳이 얼마나 되겠는가.

1. 폭우가 쏟아져 상류댐에서 대량의 물을 방류하게 되면 하류에서는 대비를 하더라도 피해를 입을 수밖에 없다.

이런 경우 해결할 방법은 상류댐(IDC나 연동망 등)에서 물길을 막아주는 것 밖에 없다.(이를 IP null routing이라고 한다. 공격받는 IP로 들어오는 트래픽을 상단에서 버리는 것이다.) 그러나 이 댐은 특이해서 물을 한방울도 흘러보내지 않거나 대량의 물을 그대로 방류하거나 둘중 하나만 선택할 수 있다. 어쩔 수 없이 물을 한방울도 흘러보내지 않는 것을 선택하게 된다. 대량의 물은 막았지만 식수난을 겪게 된다. (IP null routing을 하게 되면 공격 트래픽은 막아지지만 해당 IP로는 서비스를 할 수 없다. 인프라는 보호했지만 서비스는 못하는 현실)

DDoS

[ 이미지 출처 : 구글 이미지 검색 -> make.to ]


※ DDoS공격 유형은 여러가지가 있는데, 위는 UDP유형으로 대역폭을 초과하는 공격을 예로 든 것이다.
※ DDoS공격은 유형에 따라 차단할 수 있다. 그리고, 인프라를 초과하더라도 상단과의 협조와 내부 DDos방어장비를 이용해 단계별 처리로 피해를 줄일 수 있다. 먼저 DDoS방어장비 구축과 인프라 개선은 해야하는 것은 당연하다.


2. 최근 공격량이 증가했다는 것은 좀비 PC가 늘었다는 이야기가 된다. '선' 좀비 PC 구축 -> '후' DDoS공격의 형태이기 때문이다.

'하우리의 맞춤전용백신 목록'에서도 Trojan/DDoSAgent 전용백신이 작년 11월부터 증가했다. 좀비 PC도 늘어 났다는 것이다.
인터넷침해대응센터(KRCERT)의 보안공지( http://www.krcert.or.kr/ )를 보면 12월말부터 국내 주요 오픈소스 게시판의 취약점이 줄줄이 발표되었다. (당시 대량의 서버에 설치된 제로보드를 자동 패치하느라 고생한 커피닉스 분이 생각난다. ^^) 이들 3개 게시판이면 국내 공개 게시판의 대부분을 커버한다고 보면 된다.
취약점을 이용해 악성코드만 심으면, 공장에서 찍어내듯 좀비 PC를 만들 수 있는 대량 양산 체제를 구축한 것이다. 밤낮이 필요없는 24시간 양산 체제. 게시판 사용하는 사이트는 널려있으니, 악의적인 사람 입장에서는 원감절감(노력절감) 체제. 우리 나라 좀비 PC들은 네트웍도 빵빵하고, 성능은 날아다닌다. 그만큼 막강한 공격력을 자랑(?)하게 된다.

[ 인터넷침해대응센터(KRCERT)의 보안공지 ]


* 국내 공개 웹 게시판(제로보드) 취약점 주의 (2010/12/21)

  o 국내 PHP 기반의 공개 웹 게시판 제로보드에서 XSS, CSRF 및 RFI 취약점이 발견됨[1, 2]
  o 해당 취약점을 이용한 홈페이지 변조 및 원격 실행 위협이 발생함에 따라, 취약한 버전 사용자의 주의 및 조속한 패치가 요구됨

* 국내 공개 웹 게시판(테크노트) 취약점 주의 (2011/01/06)

  o 국내 PHP기반의 공개 웹 게시판인 테크노트에서 SQL인젝션 취약점이 발견됨 [1]
  o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 내부정보(개인정보 등)유출 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요

* 국내 공개 웹 게시판(그누보드) 취약점 주의 (2011/01/07)

  o 국내 PHP기반의 공개 웹 게시판인 그누보드에서 XSS, CSRF 취약점이 발견됨[1]
  o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 관리자 계정 탈취 및 악성코드 유포지로 악용되는 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요

게시판 취약점 이용한 악성코드 심기, 유명사이트 해킹으로 악성코드 심기, 웹브라우저의 zeroday취약점 등으로 좀비 PC 양산체제 구축은 꾸준할 것이다. DDoS공격 증가와 좀비 PC 양산체제 여건 마련은 무관하지 않다.

PC점검 철저히 하시라. 그리고 IE에만 의존하지 말고, 파이어폭스나 크롬 등도 이용하시라.
내가 이용자이면서 그들에게 공격자일 수도 있다. 누구를 욕할 처지가 아닐 수 있다.
Posted by 좋은진호
IT이야기2009. 8. 3. 13:03
위키피디아(Wikipedia)는 약 350여대의 서버로 운영되고 있다. 2008년 당시에 초당 5만번의 웹요청, 그리고 MySQL DB를 사용하여 초당 8만번의 SQL 쿼리가 발생한다. 지난 7월 31일에 잠깐동안 위키피디아(Wikipedia) 서비스에 장애가 발생했다. 아래 메시지 중에 10.0.6.28은 클러스터링된 DB서버 IP중의 1개이다.

wikipedia 위키피디아

[ 장애 발생한 위키피디아 페이지. 이미지 출처 : http://planet.mysql.com/entry/?id=20411 ]


This wiki has a problem

Sorry! This site is experiencing technical difficulties.
Try waiting a few minutes and reloading.

(Cannot contact the database server: Unknown error (10.0.6.28))

짧은 시간 동안이었지만, 그 순간에 위키피디아 백과사전을 봤어야하는 네티즌들은 답답했을 것이다. 이런 서비스는 공기와 같은 존재로 평상시에는 그 소중함을 느끼지 못한다. 그러나 공기 공급이 중단된다면? 숨이 턱턱 막히고, 답답함을 이루 말할 수 없다.
  • 가장 최근 일만 보더라도 지난달에 DDoS공격으로 메일서비스, 계좌이체, 인터넷 쇼핑 등이 원활하지 못해 답답함을 느꼈다.
  • 그 이전에 DDoS공격으로 인해 포털들의 부분적인 장애로 불편함을 겪었다.
  • 그리고, 지난 30일에 hanirc서버가 DDoS 공격를 당해 IP가 차단된 상태다. 현재 이순간에도 제대로 서비스가 이뤄지지 못하고 있다. 다수와 커뮤니케이션이 필요한 네티즌에게는 외로움과 답답함의 시간일 것이다. (참고로 hanirc에 대한 실시간 정보는 http://twitter.com/HanIRC 를 참고하기를 )
google data center 구글 데이터센터

[ 구글 데이터센터와 엔지니어 ]


중단없이 공기가 공급되도록 시스템 옆에는 늘 시스템 관리자가 있다. 위키피디아 장애가 발생한 이 날은 흥미롭게도 '시스템 관리자의 날'(시스템 관리자에게 감사하는 날, System Administrator Appreciation Day)이다. 올해로 10번째를 맞은 시스템 관리자의 날은 매년 7월 마지막 금요일로 정해져 있다. 364일동안 소외된 이 들을 위해 하루만이라도 감사하자는 의도다. 안타깝게도 시스템관리자는 잘하면 본전이고 잠깐 장애가 발생하면 욕먹는 위치에서 일하는 사람들이다.

시스템 관리자를 포함하여 늘 서비스가 중단되지 않도록 묵묵히 일하시는 분들에게 우리는 감사해야 한다. 서로에게 감사하자.

Posted by 좋은진호
IT이야기2009. 7. 9. 01:15
저녁에 알약 등의 사이트가 안뜨길래, 백신받으려는 사람이 많아서 그러나보다 생각했다. 그런데, 2차 공격이 진행됐다는 기사가 올라왔다. 개인적으로 11시대에 안랩 홈페이지(home.ahnlab.com) 가 느리게 접속되는 현상이 확인했고, 다음의 한메일(mail.daum.net)은 현재(00시대) 거의 접속이 안될 정도이다. 네이버가 메일 장애시에 임시로 mail2 도메인을 사용했는데, 방금전(01:00에 확인)에 다음 한메일도 주소를 mail2.daum.net 로 임시 변경했다.

다음 한메일 접속시.

[ 다음 한메일 접속시 나오던 창. 도메인이 mail.daum.net인 경우 ]


그러나 어느 사이트가 접속된다, 안된다의 정보를 확인하는 것보다 중요한 것은 개인 PC의 점검이다.
  • 안철수연구소에서 오후부터 전용백신을 제공( http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1 ) 하고 있으니 V3를 이용하지 않으신 분은 꼭 받아서 확인하시길.
  • 그리고, 'MPEG2TuneRequest 제로데이 취약점' 패치가 임시로 올라왔으니 적용하시길... '안철수연구소 ASEC'블로그에 자세히 설명되어 있다.
새로운 공격 대상이 생겼다는 것은 대상을 자체적으로 변경하거나, 지금도 악성코드가 계속 배포된다는 의미일 것이다. 궁금해진다.

공격당하는 사이트의 보안담당자, 네트웍엔지니어, 시스템엔지니어들, 그리고, 악성코드 분석과 대처를 위해 애쓰시는 보안업체분들은 지금 이시간에도 고생하고 계실 것 같다. 힘내세요.

* 관련 정보 

Posted by 좋은진호
IT이야기2009. 7. 8. 10:24
어제 네이버 메일과 쪽지기능, 옥션(auction.co.kr), 조선닷컴(chosun.com), 청와대(www.president.go.kr), 국방부(www.mnd.go.kr), 은행사이트, 그리고 백악관 등 다수 사이트가 DDoS공격을 받았다. 지금도 청와대, 국방부, 조선닷컴, 옥션 등이 원할게 접속되지 않는다. 네이버 블로그도 일부 개인 페이지들이 제대로 보이지 않는 경우가 있다. 그 원인은 악성코드 때문이었다. 쿨캣님의 블로그( http://xcoolcat7.tistory.com/520 )에서 악성코드가 공격을 하는 대상 사이트의 목록을 볼 수 있다. 악성코드의 공격대상 목록과 실제 공격당한 사이트가 일치한다.

악성코드 msiexec2.exe의 공격 대상 사이트 목록

[ 출처 : 쿨캣님 블로그 ]


msiexec1.exe 등을 포함한 Win-Trojan/Downloader.374651 악성코드는 안철수연구소 바이러스 정보에서 정보를 얻을 수 있다. 그러나 공격대상 사이트 목록이 있는 msiexec2.exe에 대한 분석자료는 안랩 사이트 등 다른 곳에는 아직 공개되어 있지 않은 상태이다.

KRCERT에 '신종 분산서비스거부공격(DDoS)에 따른 "주의" 경보발령'  공지가 올라와 있다. '신종 DDoS 악성코드로 인하여 국내 주요 공공기관 및 이용자 방문이 많은 포털, 금융 사이트에 대한 접속 장애 발생'했다는 내용이다.

이 악성코드가 부팅 후 자동 실행이 된다. 그리고, 제어 서버(C&C) 접속 없이 공격 대상 목록 파일정보를 기반으로 자동 공격한다.  만약 악성코드내에 공격을 중단하는 명령이 없다고 한다면, 대상사이트는 공격을 계속 받을 수 밖에 없다. C&C(Command & Control) 접속없이 이뤄지므로, 공격을 멈출 방법이 없기 때문이다. PC만 켜져있는 동안은 계속 공격이 이뤄진다는 얘기.

개인 PC에 악성코드가 심어져 있는지 검사가 필요하다.


* 관련정보 (18:15 추가)
  - 안철수연구소, DDoS 공격용 악성코드 전용백신 무료 제공 (그리고, 이번에 공격한 악성코드명)
  - Urgent-Massive DDOS Attack!
  - 하우리의 분석자료 (Trojan.Win32.DDoS-Agent.33841) (공격대상 목록 포함)
  - 네이버, 옥션, 청와대 공격 악성코드 분석 (글 쿨캣님, 16:36)
  • 악성코드 초기 버전(7.5일)이 만든 uregvs.nls 파일에는 한국 사이트는 없었고, 미국 정부 사이트만 있었다고.
  • 한국 사이트는 7월 7일에 포함

Posted by 좋은진호
IT이야기2008. 3. 16. 00:20
CONCERT Forecast 세미나 내용을 크게 나누면 2가지로 묶을 수 있을 것 같다.

  •  DDoS 방어 & botnet 이해
  • 시스템 자체 보안 보다는 '개인정보보호', '조직 구성', '내부정보 유출 방지', '보안 사내 교육' 등 운영적인 면
사용자 삽입 이미지
            CONCERT Forecast 2008 시작전

세미나 내용 중 일부를 정리했다.

1. DDoS 공격 대응 (발표자 : '오늘과내일'의 홍석범)

   리눅스 서버에 조치를 취하는 보편적인 내용(ip_conntrack 튜닝, net.ipv4.route 튜닝 등)과 CDN서비스 활용, 장비 도입 등 다양한 말씀을 해주셨다.

  •  DNS 서버의 다중화 부분은 공감이 간다. DNS 서버를 1대 운영하거나 2대를 하나의 네트웍 대역에 두고 운영한다면, 다른 내역에 2대 이상의 DNS서버를 운영하기를 권장한다.
  • 'PC용 DDoS 공격 탐지 Agent 배포'를 대응방안도 제시한다. 좀비PC의 수를 줄여 공격 피해를 감소시킬 수 있는 근본적 대책 중의 하나일 것이다. 물론 이 부분은 정부와 보안업체들의 의지가 중요한 부분이다.
  • 공격을 당할 때 보통 공격 대상 IP를 Null routing 처리한다. 이 방법 대신 해당 IP를 TCP 80만 오픈하고 나머지는 막는 ACL 처리를 제시했다. 물론 장비가 ACL를 HW기반으로 처리해야 장비의 load가 올라가지 않을 것이다. 이런 ACL적용은 공격을 받는 곳보다 상위단에서 처리(IDC, VIDC, ISP)를 해줘야 하는데, 얼마나 협조를 잘 해줄지가 관건.
사용자 삽입 이미지

사용자 삽입 이미지

사용자 삽입 이미지

사용자 삽입 이미지

2. 'Stop security threats before they stop you' (발표자 : IBM의 이병화)

   botnet을 주 발표 내용으로 다뤘다.

   [ 2007 상반기 보안 위협 하이라이트 ]
사용자 삽입 이미지

   [ Commercial attack service ]
사용자 삽입 이미지

   botnet의 상업적 서비스에 대한 것이다. 해킹이 하나의 서비스로 진행되고 있다는 것은 언론이나 블로거들을 통해서 접했을 것이다. XSOS.NAME 등을 돈을 지불하고 구매하면, botnet 목록을 볼 수 있게 되고, 해당 bot을 조정하여 공격할 수 있다. 누구나 약간의 비용만으로도 공격을 할 수 있는 시대가 된 것이다.

   변종도 많고, 전세계 컴퓨터의 8%를 감염시켰던 Storm worm에 대한 얘기도 했다. 다른 발표자분도 Storm에 대해서는 언급을 했었다. Storm worm 분석은 fullc0de님( http://fullc0de.egloos.com/3572438 )의 글을 읽어보면 될 듯.

   발표자료에는 포함되어 있지 않지만 세미나 중간에 NetBot에 대한 얘기를 했었고, 발표 중간의 화면 캡쳐는 아마 http://www.hackeroo.com/move/netbot_attacker.html 에 있는 중국해커의 공격 데모였을 것으로 생각된다.

3. 세션 중간에 사무국장(?)의 얘기

   다들 '중국발', '중국발 해킹'하니깐 실제 국내 보안전문가가 중국에 가서 중국 해커 6명과의 만남을 가졌다고 한다. 그 때 나온 얘기들

  • 중국이 우리 나라를 해킹하는 것은, 일본이 당한 것에 비하면 아무 것도 아니라는 것. 일본은 더 심하다.
  • 최근 큰 이슈가 된 모 사이트 해킹은 고차원 방법이 아니었다. 저 6명중에 이 해킹사건과 관련이 있는 해커가 있는 것으로 판단.
  • 마피아와 해커가 손잡을 가능성. (이 내용은 SKT의 발표자 분의 자료에도 있다. '러시아 마피아와 연계되어 조직폭력배화 하려 하며, 정치적인 해킹시도로 변화가능성 존재')

4. 내부 정보 유출 방지와 문서 DRM (발표자 : 파수닷컴의 이승재)

   [ 내부 정보오출 피해사례 ]
사용자 삽입 이미지

   약 86%가 현직원과 퇴직자에 의해 피해가 발생했다.

   [ E-DRM 구조 ]
사용자 삽입 이미지

   C-DRM(Commercial DRM)과 E-DRM(Enterprise DRM)중에 문서보안인 E-DRM의 구조이다. 원격 접속에서 화면을 볼 때도 Screen Capture를 막을 수 있다고 말씀을 한다. (이부분은 개인적으로 확인해본적이 없어서 모름)

5. 보안조직 구성

   [ 보안 조직 현황 ]
사용자 삽입 이미지

   전담조직이나 인원이 적다는 것을 알 수 있다.

6. 엔드 포인트 보안의 지속적인 관리방안 (발표자 : 한국 MS의 백승주)

   IPSEC기술을 활용한 서버 및 도메인 고립 모델에 대해 발표를 했다. 데모 발표가 효과적이었다.
   발표자료는 '코알라의 하얀집'  블로그에서 볼 수 있다.

7. 2007/2008년 IT 보안위협동향 및 웹 보안의 중요성 (발표자 : SOPHOS 아시아의 배수한)

   상당히 좋은 자료를 많이 준비하셨고, 발표자의 전달력도 뛰어났다. 자료가 많아서, 글보다는 몇가지 PT자료를 살펴보는게 나을 것 같다.

사용자 삽입 이미지

사용자 삽입 이미지

사용자 삽입 이미지

세미나 아쉬운 점 하나 얘기한다.


Posted by 좋은진호
IT이야기2008. 2. 21. 13:04

IRC기반의 botnet이 아닌 웹기반의 botnet으로, 러시아의 해커가 만들었다. C&C(Command & Control) 서버(명령을 내리고, 조종하는 서버. BlackEnergy에서는 웹 페이지가 이에 해당)는 러시아나 말레이지아에 위치에 있으며, 주로 러시아를 공격 대상으로 한다.

BlackEnergy는 크게 2가지로 구성되어 있다.

1. 웹기반의 C&C를 제공한다. (php+MySQL)
2. DDoS공격 bot을 생성하는 툴(builder.exe)을 제공한다.
   builder.exe 툴을 이용하여 웹기반 bot관리 서버로 접속하는 바이너리파일을 생성할 수 있게 된다.

BlackEnergy screenshot
[ 이미지 출처 : 글 끝에 소개한 URL ]

bot 바이너리는 지정한 C&C서버로 접속하게 된다. 그리고, bot과 제어서버간의 명령은 웹을 통해서 이뤄지게 되며, 구조는 대략 이렇다.

1. bot은 C&C 서버의의 URL(예. http://웹서버/경로/stat.php )을 체크하게 된다. 이 때 id, build_id 값을 POST방식으로 넘긴다.
2. 서버에서는 명령 등의 상태 값을 BASE64 인코딩된 값으로 리턴을 한다. 그 값에 따라서 bot은 명령을 수행한다.
   다양한 공격 유형이 있는데, ICMP flood, TCP SYN flood, UDP flood, DNS flood, http 요청 등이 있다.
   'flood http foobar.com a.html' 명령을 내린다면 foobar.com/a.html을 계속 호출하게 되며, 'flood syn foobar.com 80'은 TCP SYN flood를 발생한다.

PC에 설치된 bot에 대한 작년 10월 백신 검사 결과를 보니 V3, clamAV, AVG, McAfee 등은 이 바이너리를 못 찾아내고, F-Secure, F-Prot, Kaspersky는 찾아냈다.

보다 자세한 정보는 'BlackEnergy DDoS Bot Web Based C&C'에서 볼 수 있다.

Posted by 좋은진호
시스템이야기2008. 1. 26. 03:10
라드웨어에서 준비한 '2008 Radware DDoS 보안 세미나'에 갔다왔다. 평점을 주면 5점만점에 3점 정도. 사례중심의 발표를 기대했지만, 보편적인 내용으로 흘러갔다. 저와 함께 참석했던 커피닉스( http://coffeenix.net/ )의 나머지 다섯분도 같은 의견이다.

생각난김에 DDoS 공격 유형따라 막을 수 있는지 여부를 정리했다.

국내 DDoS공격이 곳곳에서 터지기 시작한 2007년 초반에만 하더라도, DDoS공격을 막을 수 있느냐, 없느냐의 논의가 몇몇 커뮤니티에서 있었다. 그러나 요즘은 막을 수 없는 공격이 주를 이룬다는 것을 잘 알고 있다.

결론적으로는 회선 대역폭을 공격량보다 많이 확보( 보유한 회선 > 공격량 )해야 공격의 주를 이루는 UDP, ICMP flooding 공격을 버텨낼 수 있는 최소한의 조건을 만족한다. 이 때 네트웍장비의 CPU load 가 낮아야만, 사용자는 불편함없이 서비스를 이용하게 될 것이다. 10G, 20G 이상의 공격량이 많을 경우엔, 다른 고객사에게 피해를 주거나 연동망 장애를 가져올 수 있다. 이럴 경우 IDC나 ISP에서 먼저 차단할 것이다. 즉, 서비스 업체의 인프라만으로는 서비스의 완벽보장은 이뤄내기 힘들다.

UDP, ICMP이외에 공격 유형에 따라, 시스템(네트웍, 서버, 보안장비) 인프라가 되면 막을 수 있는 유형도 있다. Radware 세미나에서 제시한 공격유형 6가지 정도를 갖고 살펴보도록 하겠다.

사용자 삽입 이미지

1. HTTP Flood

  웹페이지를 과다하게 호출하여 서버의 load가 높아지거나 처리가능한 커넥션수를 초과하게 만드는 공격이다.
  '웹페이지 과다 호출 방식의 DDoS공격 사례' (글 좋은진호, 2008.1.23)를 참고하기 바란다.
  IPS, L4스위치의 성능, 웹서버의 설정을 통해서 막아 낼 수 있다.

  1) IPS없고, L4스위치도 없다면.
      몇대 안되는 웹서버를 로드밸런싱하고 있는데, 다량의 공격(세션이 몇만이상)이라면 서버 load가 높아져 서비스가 불가능할 것이다.
  2) IPS없고, 성능 좋은 L4스위치. 그리고 몇 십대의 웹서버를 L4에 물려 서비스 한다면.
      이 때는 '웹페이지 과다 호출 방식의 DDoS공격 사례'에 써진 것처럼 막아 낼 수 있는 방법을 찾을 수 있다.
      그러나 몇 십대에 분산되어 서버가 다 받아드리더라도, 세션이 몇만~몇십만의 공격일 때 L4의 처리한계로 서비스가 느려질 수 있다.
  3) IPS있다면, 웹서버의 설정까지 조합해서 가능

2. SYN Flood, TCP Flag Flood, Half-Open Flood

  방화벽, L4스위치(SYN proxy기능을 갖는 L4. 그러나 SYN proxy기능을 이용하려면 DSR구성 방식은 불가능함), IPS등으로 막아낼 수 있다.

3. UDP Flood, ICMP Flood

  초기에 얘기했던 것처럼 공격량보다 많은 회선을 확보하지 못하면 어떠한 장비를 도입하더라도 막아낼 수 없다.  본인의 백본보다 상위단의 백본을 관리하는 곳(IDC, 호스팅 등)에 요청하여 dest. IP를 차단해달라고 요청해야할 것이다.

  작년 초에는 방화벽, ISP의 장비 업체의 실력있는 엔지니어들도 '우리 장비는 막을 수 있을 것 같다.'라고 얘기하는 경우도 있었다. UDP는 포트가 오픈되어 있지 않더라도 백본까지는 UDP 트래픽이 들어온다는 것(백본에서 UDP를 막았을 때)을 알면서도 저렇게 생각하고 있는 경우가 있었다. 요즘은 국내의 DDoS공격이 주위 사람에게만 뒤져봐도 흔하게 일어나는 안타까운 현실 때문에, 업체에서도 저런 얘기를 하는 경우는 줄었을 것이다.

  참고로 UDP는 주로 80포트와 53(DNS) 포트로 공격하지만 이외에 1024이하의 임의로 포트로 공격하는 경우도 있다.

DDoS 대응 장비로 거론되는 것은 다음 3가지 정도일 것이다.

1. 시스코의 Guard & Detector
   - 대규모 사이트에서 위의 2~3번 유형 대처할 때 적합
   - 초기 훈련을 통해 평상시의 트래픽을 인지하는 방식이라서 1번의 유형을 대처할 수도 있다.
      확인해본 적이 없어서 ^^
   - 1G 장비
   - 어플라이언스 제품과 Catalyst 6500시리지의 모듈형이 있다.
2. 라드웨어의 DefensePro(DP)
   - 대규모 사이트에서 1~3번 유형 대처할 때 적합
   - DP6000의 경우 10G모듈이며, 5~6G정도 공격은 커버 가능
3. 기가핀네트웍스의 Slimline, Flowline
   - 소규모 사이트에서 2번 유형을 대처할 때 적합
   - 약간 두꺼운 책 한 권 크기 정도이며, 가격이 저렴하다.
   - 1G UDP모듈만 제공(역시 소규모 사이트를 위한 제품임을 알 수 있음)했으나
     최근에 Flowline 500-F를 통해 광모듈 지원 장비도 나왔다.

시스코장비나 라드웨어 장비가 3번 유형을 막아준다고 표시해뒀는데, 유해한 UDP를 필터로 걸러내고 하위로 보내준다는 의미이지 보유한 회선을 넘는 공격을 막아낸다는 의미는 아니다.

※ 위의 모든 내용은 공격유형의 이름만 세미나에서 뽑아왔을 뿐이지 세미나 내용과는 전혀 무관하다.

세미나 내용중 흥미있는 슬라이드 2장만 올린다.

사용자 삽입 이미지
[ 공격대상 사이트가 시기별로 차이가 있으며 다양하다는 것을 보여줌 ]

사용자 삽입 이미지
[ 공격하겠다는 메일 ]
Posted by 좋은진호
IT이야기2008. 1. 24. 00:15
2주전에 정통부는 DDoS 공격 대응책 마련에 올해 20억원을 책정했다는 기사가 보도되었다. 20억이라는 금액은 누가 봐도 너무 적은 금액이라는 것을 알 것이다.
장비 몇대 또는 10여대면 끝날 금액으로 IX 3곳에 나누어 설치하는데, 이걸로 뭘할까 싶다.

20억 투자가 계획대로 진행되더라도, 구축체계 가동까지는 12월이다. 12월까지는 정부차원의 특별한 대응책('빨리 협조하여 대응한다'는 말뿐인 대응말고.)은 없어 보인다.

2 월 : 주요 ISP를 대상으로 사업설명회 (기사 외에도 KT관계자를 통해서도 들었음)
7 월 : DDoS 대응체계 구축 네트워크 설계
8 월 : DDoS 대응 시스템 도입 추진
10월 : 대응 시스템 시범 구축·운영
12월 : 대응 시스템을 본격 가동 예정

대조적으로 VeriSign은 타이탄(Titan) 프로젝트명으로 인프라확충에 2010년까지 1억달러 이상을 투자한다. (작년 4월에 쓴 '.com & .net 도메인 수수료 인상과 Titan 프로젝트'을 참고하세요.) 작년 2월에 root DNS의 공격을 받은 것이 큰 계기가 되었다.

21일 나온 기사에 따르면( 인터넷침해 대응체계 구축, 디지털타임스), 지난 5년간 경제적으로 약 5조3000억원의 침해사고에 대한 피해손실 예방 효과를 거두었다고 발표했다.

KISA측은 "이러한 노력의 결과로 1ㆍ25 대란이 발생한 2003년도에는 전 세계 침해사고 피해액 대비 국내 피해액 비율이 10% 수준이었으나 5년이 지난 현재 3% 수준으로 감소했다" 면서 "이를 경제적으로 추산하면 약 5조3000억원의 피해손실을 예방한 것" 이라고 말했다..

많이도 막았다고 자랑할 때가 아니다. 2000년 2월 야후, 이베이, 아마존 등이 DDoS공격에 의한 직접적 피해액만 1조 5천억원으로 산정한다.
현재 DDoS의 타켓이 국내 대형 포털이 아니지만 언제 포털이나 정부기관이 될지 모른다. 2000년의 해외 교훈을 잘 생각하자. 큰 손실을 막았다고 자랑하지 말고 더 큰 손실을 줄이기 위해 20억이 아니라, 200억을 한번에 투입해도 부족한 때이다.

인터넷에 고속도로만 뚫는게 전부가 아니다. 안전장치를 늘려 대형 사고를 줄여야 한다는 것을 잊지 말자.

* 정부, DDoS 공격 대책 마련 나선다 (2008.1.8, 아이뉴스24)
http://news.empas.com/show.tsp/cp_in/20080108n17198/

※ 올해에도 웹하드 업체의 DDoS공격이 심심치 않게 들려온다.



Posted by 좋은진호
IT이야기2007. 3. 27. 23:27
620만명의 '쉬리', 610만명의 관객에게 상춘고를 접수하고 강남을 포기하게 만들었던 '투사부일체'.
바로 이 투사부일체의 관객수와 비슷한 604만대의 머신이 봇에 감염(2006년 상반기보다 29% 증가)됐다고 한다.
시맨텍이 2006년 7월부터 12월까지 180여개국 이상에 설치한 4만개의 센서에서 수집한 정보를 토대로 하여 작성한 Symantec Internet Security Threat Report(ISTR, 인터넷 보안 위협 보고서)에 따른 것이다.

http://www.symantec.com/about/news/release/article.jsp?prid=20070319_01
http://j2k.naver.com/j2k_frame.php/korean/www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20070327_01

2006년 하반기에는 상반기보다 11% 증가한 1일 평균 63,912대의 봇 감염 머신(Zoombie, 좀비)을 발견했다. 봇에 공격을 명령하는 서버 대수는 4,746대로 2006년 상반기 부터 25% 감소하고 있다. 봇 감염 대수는 증가했으나 명령하는 서버 대수가 줄었다는 것은 통합과 대규모화가 진행됨을 의미한다. 사람 세계에서 일어나고 있는 대통합의 형태가 봇에서도 이뤄지고 있는 것이다.

작년부터 국내에 숨겨진 이슈(?)인 DDoS공격의 증가도 이런 봇의 일괄적인 공격이 한 몫하고 있는 것으로 보인다. '투사부일체'의 조직같은 봇이 이제 인터넷은 그만 접수했으면 한다. ^^

사용자 삽입 이미지
[원본 이미지보기]

아래 도표에서는 뒤에서 두번째 있는 컬럼(중국이 1위인 컬럼)이 봇의 순위이다.
봇 감염 대수는 중국이 26%로 1위를 했고, 우리 나라는 11위다. 명령 서버의 40%는 미국에 존재한다고 한다.

사용자 삽입 이미지
[원본이미지 보기]

덧붙여 피싱사이트 순위까지 확인해보자.

사용자 삽입 이미지
[원본이미지 보기]

1위 미국 46%
2위 독일 11%
3위 영국 35
4위 프랑스 3%
5위 일본 3% (아시아에서 가장 순위가 높음)
6위 대만 3%
7위 캐나다 2%
8위 중국 2%
9위 한국 2%
10위 네덜란드 2%


Posted by 좋은진호
IT이야기2007. 2. 9. 11:13
RIPE NCC의 DNSMON 페이지를 보면 13 root DNS 서버중에 g.root-servers.net와 l.root-servers.net DNS서버에서 대략 12시간정도 공격을 받은 것으로 보입니다. 06번이 G root서버 (DDN 관리), 11번이 L root서 버 (ICANN 관리)입니다. L root서버는 중간에 공격이 줄었다가 재차 공격을 시도를 했습니다.
 
* RIPE NCC의 DNSMON 페이지 (root DNS, 2007.2.5~2.7, 48시간)
사용자 삽입 이미지

org DNS 서버는 tld1.ultradns.net, tld2.ultradns.net, tld3.ultradns.org, tld4.ultradns.org, tld5.ultradns.info, tld6.ultradns.co.uk 6대가 골고루 공격을 당했습니다.
 
* RIPE NCC의 DNSMON 페이지 (org DNS, 2007.2.5~2.7, 48시간)
사용자 삽입 이미지

 
Team Cymu의 DNS Query Time Graph에는 정확히 확인하기 쉽지 않지만 G root 서버에서 Response Time이 그 시간대에 순간 올라갔음을 확인할 수 있습니다.
 
* DNS Query Response Time Graphs (Chicago, g.root-servers.net)
[ Tokyo와 Chicago와 회선에서 체크한 결과 ]
사용자 삽입 이미지
사용자 삽입 이미지

기사에도 나와있네요. ^^*. 처음 보도때는 없던데, 글을 늦게 쓰다보니깐 이러네요. ^^*
 
* 인터넷 백본, 집중 공격에도 난공불락임을 입증 ( Zdnet, 2007.2.8 )

DNS 시스템을 겨냥한 것으로 보이는 데이터는 6일 오전 2시 30분(미국 시간)에 집중적으로 쏟아지기 시작했다. 람잔은 “여러 대의 루트 서버에 트래픽이 폭발적으로 증가했다. 미 국방성에서 가동하는 「G」서 버와 ICANN에서 가동하는 「L」서버가 주로 공격을 받은 것 같다.”고 말했다. ICANN의 크레인 역시 그런 느낌을 받았다고 확인해주었다.
 
* 참고 : Huge DNS attack goes virtually unnoticed


Posted by 좋은진호