IT이야기2007. 2. 8. 11:52
DDoS공격이 1월말부터 증가했고, J 모 채팅 사이트가 며칠째 서비스를 못한다는 얘기를 들었습니다.
작년부터 DDoS공격이 있었지만 최근에 공격이 보다 증가하고, 강도도 높아진걸로 보입니다.
이는 언론에서도 얘기하듯이
1) 기존의 돈요구 목적 외에
2) 31일에 중국에서 있었던 동계아시안게임때 우리팀 선수의 백두산 세리머니로 인해 중국해커들의 공격이 있는 걸로도 추측해볼 수 있을 것 같습니다.

최근 DDoS 공격에 대한 얘기들이 많이 나오고는 있지만 중국발 웹해킹(특히 윈도)에 대한 것도 빼놓을 수가 없겠죠. 커피닉스에 몇몇 웹해킹 관련 정보를 적어둔게 있으니 검 색해보시면 될겁니다. 이전에 적어둔 웹해킹 사례외에도 몇몇 사이트를 알고 있지만 친분상 알게된 정보라 따로 얘기하지 않겠습니다.

블로그, 신문기사와 호스팅사이트를 토대로 DDoS 공격을 당한 경우를 정리했습니다. 이외에 누구나 아는 대형 사이트 몇개가 있지만, 해당 업체관계자에게 직접 들은 정보가 아니어서 말씀드리지 않겠습니다. (몇 단계를 거치다 보면 정확하지 않은 정보가 전달되는 경우가 있으니깐요. ^^*)

1. 티스토리 서비스 장애관련 (2007.1.29 오전~)

http://notice.tistory.com/736

1월 29일 오전 10시경 부터 약 한시간여 동안 티스토리 서비스의 접속이 원할하지 못하였습니다. 외부의 서비스 방해 공격에 의해 네트웍에 과부하가 걸린 상태에서 일부 네트웍 장비가 장애를 일으켜 결과적으로 티스토리에 접속이 어려운 상태가 되었습니다. 티스토리 서버들은 정상적으로 운영되고 있었으며, 문제가 된 네트웍 장비에 대해 원인을 파악하여 해결하고 보안성을 강화하였습니다.

한시간여 동안이라고 쓰여있지만 실제로는 그 이상이였죠. 티스토리 장애건 워낙 많은 블로거들이 써서 따로 적지 않겠습니다.

2. 닷네임코리아 (2007.1.29)

http://www.dotname.co.kr/server_error2.html

http://blog.naver.com/anlichol?Redirect=Log&logNo=150014189101 (2007.2.5, 양선생님)
http://s2day.tistory.com/293 (2007.2.5, S2day님)

withpartner.co.kr 이라는 사이트가 공격을 당했다고 하는데, 이 사이트가 닷네임코리아에 할당된 IP입니다.
그래서 닷네임코리아의 일부 IP대역이 서비스가 안되었을 걸로 추측합니다. 아래는 with... IP를 whois한 결과입니다.

IPv4 주소          : 211.39.253.0-211.39.254.255
네트워크 이름      : DOTNAMEKOREA
연결 ISP명         : DREAMX
할당내역 등록일    : 20060315
할당정보공개여부   : Y

참고 : 중국발 해킹(DDoS) 최종 종착역은? (2007.2.5. withpartner.tistory.com )

3. 기타 사이트의 공지사항

http://www.mireene.com/bb.php?mode=read&no=150&page=1&bid=notice (2007.1)
http://ipix.esocom.com/dboard/main.php?url=./board_view&bseq=1&subseq=4&no=210 (2006.12)
http://www.happyjung.com/gnuboard/bbs/board.php?bo_table=notice&wr_id=236 (2006.12)

위의 내용은 IDC내의 다른 사이트가 공격을 당해 호스팅업체까지 영향을 받은것인지는 공지사항을 읽어보시고 판단을 하세요.

4. 언론 보도

- "해킹 안당하려면 돈내" 중국 해커 공격 급증 ( 한계레, 2007.2.6 17:48 )
http://news.naver.com/news/read.php?mode=LSS2D&office_id=028&article_id=0000187055

- '중국발 해킹피해' 속수무책 (YTN, 2007.2.6 18:51, 사흘간 서비스 중단. 심하다. ^^* )
http://search.ytn.co.kr/ytn/view.php?s_mcd=0103&key=200702061851014569

- IP중국발 DDOS 해킹 사례 급증! ( 한국경제21,  2007.2.6 11:16 )
http://www.keconomy21.co.kr/board_view_info.php?idx=435&seq=3

- 국내 수천여 개 사이트, '인해전술' 해킹 당했다 ( SBS TV, 2007.2.7 )
http://news.naver.com/news/read.php?mode=LSS2D&office_id=055&article_id=0000090903

6일에 root DNS서버 공격을 당했다는 건 아시는 분들이 있을건데요,
root DNS서버의 response time을 확인해보고 어떤 root DNS서버인지 직접 찾아 볼겁니다.
데이터로 파악이 안되고, 보안업체에 문의해서 정보가 없다면 추가로 글은 안쓰겠습니다. ^^*

---------------------------------------------------------
5. 호스팅 업체들 (2007.2.14 추가 작성)

- 아이비호스팅 (2007.2.7(수) 00:30~??:??)
http://ivyro.net/ivyro/board/list.php?mode=read&number=157&board_name=iwebboard_notice

- 아이비호스팅 (2007.2.5(월) 11:??~12:30)
http://ivyro.net/ivyro/board/list.php?mode=read&number=153&board_name=iwebboard_notice

- 마루호스팅 (2007.2.5(월) 17:40~, 20:00~21:??, UDP, ICMP)
http://www.maru.net/bbs/view.php?id=notice&no=203
http://www.maru.net/bbs/data/notice/attacked_mrtg.jpg
http://sir.co.kr/bbs/board.php?bo_table=cm_free&wr_id=166879

- 마루호스팅 (2007.2.8(목) 18:34~20:32, 최대 840M)
http://www.maru.net/bbs/view.php?id=notice&no=203

- 이미지호스팅 - 링크파일 (2006.12.26(화) 20:00~20:12)
http://www.linkfile.co.kr/board.htm?w=v&bm_id=1&si_id=282

- 모임즈 커뮤니케이션 (2006.2.13(화))
http://networks.moimz.com/moimz/board/board.php?bid=host_notice&no=138
Posted by 좋은진호

댓글을 달아 주세요

  1. 이래저래 문제가 많네용.. 해결할 수 있는 방법이 있을까요 ??

    2007.02.11 23:53 [ ADDR : EDIT/ DEL : REPLY ]
    • 이분야는 저보다 더 잘 아실 것 같은데요. ^^*

      결론적으로 말하면 서비스 업체에서 '해결할 방법은 없고, 장애는 발생할 수 밖에 없다.'입니다. IDC의 협조가 있다면 장애시간을 줄일 수는 있겠지요.

      서비스 받는 대역폭은 한정일테고, 100Mb 회선에 1Gbps 의 네트웍 플러딩 DDoS 공격이라면 어쩔 수 없이 서비스는 중단되겠죠.
      DDoS를 위한 Cisco의 Detector 장비를 쓰더라도 서비스측의 메인 스위치가 아닌 상단(IDC측 이상)의 스위치에 저 장비를 설치해야 하는데 IDC에서 쉽게 해주지도 않을뿐더러, 공격 트래픽이 증가하면 할 수록 보안장비 대수도 증가하니 비용부담도 커서 선듯 나설 업체는 드물 것 같습니다.

      우선 서비스 업체는 방화벽이나 스위치에 UDP, ICMP를 차단, RFC에 이미 reserved된 IP들 필터링(네트웍 플러딩되면 서비스 죽기는 하지만 내부 시스템 보호 차원)을 하고 과다 트래픽 발생시 IDC, ISP의 협조를 받아야 겠죠.

      IDC, ISP측에서 특정 IP나 port로 오는 UDP를 차단해주면 좋겠지만, 자신들의 스위치 load가 높아질 수 있으니 쉽게 해주지는 않을겁니다.
      ICMP는 그나마 막아줄 가능성은 있습니다. source IP는 위변조와 워낙 많은 IP들이니, 공격당하는 dest IP에 대해서 null0 routing으로 쉽게 해결할 가능성이 크죠. ^^*

      IDC에서는 자주 공격당하는 서비스가 있다면 대응하기 위한 방안 모색보다는 그 업체를 내볼려고 할 가능성이 큽니다.
      http://www.1000dedi.net/hosting/gnuboard4/bbs/board.php?bo_table=commonBoard&wr_id=121
      한 호스팅업체의 공지사항인데, 쉽게 처리하는 방법을 선택한것 같습니다.

      IDC, ISP에서 DDoS등을 차단할 수 있는 인프라를 구축하라는 법적인 사항이 있었으면 하는 바램입니다.

      2007.02.12 12:46 신고 [ ADDR : EDIT/ DEL ]
    • 가입자단의 대역폭이 서비스 업체들보다 커지고 있다라는 사실은.... 많이 생각을 하게 만듭니다 :)

      2007.02.20 23:57 신고 [ ADDR : EDIT/ DEL ]
    • 예. 우물을 파야 개구리가 모인다고, 우물을 잘 파 인프라를 구축해놨더니, 오히려 개구리를 잡아먹는 경우가 생겼습니다. 개인의 보안의식이 더더욱 중요한 때입니다. PC 보안이 철저히 되어도 인프라를 잘 못 이용하는 경우는 줄어들텐데 말이죠.

      2007.02.21 13:12 신고 [ ADDR : EDIT/ DEL ]