좋은진호의 여유만만

620만명의 '쉬리', 610만명의 관객에게 상춘고를 접수하고 강남을 포기하게 만들었던 '투사부일체'.
바로 이 투사부일체의 관객수와 비슷한 604만대의 머신이 봇에 감염(2006년 상반기보다 29% 증가)됐다고 한다.
시맨텍이 2006년 7월부터 12월까지 180여개국 이상에 설치한 4만개의 센서에서 수집한 정보를 토대로 하여 작성한 Symantec Internet Security Threat Report(ISTR, 인터넷 보안 위협 보고서)에 따른 것이다.

http://www.symantec.com/about/news/release/article.jsp?prid=20070319_01
http://j2k.naver.com/j2k_frame.php/korean/www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20070327_01

2006년 하반기에는 상반기보다 11% 증가한 1일 평균 63,912대의 봇 감염 머신(Zoombie, 좀비)을 발견했다. 봇에 공격을 명령하는 서버 대수는 4,746대로 2006년 상반기 부터 25% 감소하고 있다. 봇 감염 대수는 증가했으나 명령하는 서버 대수가 줄었다는 것은 통합과 대규모화가 진행됨을 의미한다. 사람 세계에서 일어나고 있는 대통합의 형태가 봇에서도 이뤄지고 있는 것이다.

작년부터 국내에 숨겨진 이슈(?)인 DDoS공격의 증가도 이런 봇의 일괄적인 공격이 한 몫하고 있는 것으로 보인다. '투사부일체'의 조직같은 봇이 이제 인터넷은 그만 접수했으면 한다. ^^

[원본 이미지보기]

아래 도표에서는 뒤에서 두번째 있는 컬럼(중국이 1위인 컬럼)이 봇의 순위이다.
봇 감염 대수는 중국이 26%로 1위를 했고, 우리 나라는 11위다. 명령 서버의 40%는 미국에 존재한다고 한다.

[원본이미지 보기]

덧붙여 피싱사이트 순위까지 확인해보자.

[원본이미지 보기]

1위 미국 46%
2위 독일 11%
3위 영국 35
4위 프랑스 3%
5위 일본 3% (아시아에서 가장 순위가 높음)
6위 대만 3%
7위 캐나다 2%
8위 중국 2%
9위 한국 2%
10위 네덜란드 2%

올해로 3회째인 정보보호 안전진단의 수검주기가 12월말일까지로 연장되었습니다.
 
 
정보보호 안전진단 수검대상업체는 다음과 같습니다.
 
- 년매출 100억 이상
- 3개월간 평균 1일 방문자 100만명 이상
- ISP, IDC, VIDC, PG사, .... 등
 
KISA에서는 1월말에 해당업체에 공문을 발송했으며, KISA측에서는 공문을 받지 않더라도 위 사항에 해당된다면 받으라고 하지만, 업체에서 스스로 나서서 받을려고 하겠습니까... 그리고, 기간 연장건에 대해서는 3월 9일(금)에 있었던 '정보보호안전진단 설명회'에서 건의되었고, 그 때 답변으로는 개정 준비중이라고 하더니, 그 이전에 거의 완료된 모양입니다.
 
수검주기 변경에 대한 기사도 나왔으니 살펴보세요.
 
* 정보보호 안전진단 주기 변경 (전자신문, 2007.3.15)

http://www.concert.or.kr/2007forecast/

* 일시 : 2007.3.8(목) 09:00~17:00 (세미나 발표는 11:10분부터)
* 장소 : aT 센터 5층 대회의실(양재동 소재) <-- 지하철역에서 애매한 곳 ^^*
* 비용 : 회원사 무료, 비회원사는 사전등록시 4만원, 현장등록시 8만원
* 등록기간 :
  - 사전등록 2007년 2월 22일(목) ~ 3월 7일(수) 18:00
  - 현장등록 2007년 3월 8일(목)



여기 가시는 분 계시나요? 세미나장에서 서로 인사 나눴으면 좋겠다.


세미나와는 다른 얘기인데, CONCERT 홈페이지를 firefox에서 보니 엉망으로 나온다. 작년 초 IE6 브라우저의 object, embed, applet tag등의 설계변경으로 인해서 홈페이지 소스를 변경했는데, 그 부분 처리가 IE 브라우저만을 고려했다.


소스는 대략 다음과 같다.


__ws__() 함수는 id.innerHTML의 값을 document.write()함수로 화면에 찍어주는 역할을 하는데, 'IE6 패치에 따른 아주 쉬운 script변경 방법 '을 보면 뭐가 잘 못된 것인지 확인할 수 있을 것이다.

RIPE NCC의 DNSMON 페이지를 보면 13 root DNS 서버중에 g.root-servers.net와 l.root-servers.net DNS서버에서 대략 12시간정도 공격을 받은 것으로 보입니다. 06번이 G root서버 (DDN 관리), 11번이 L root서 버 (ICANN 관리)입니다. L root서버는 중간에 공격이 줄었다가 재차 공격을 시도를 했습니다.
 
* RIPE NCC의 DNSMON 페이지 (root DNS, 2007.2.5~2.7, 48시간)

org DNS 서버는 tld1.ultradns.net, tld2.ultradns.net, tld3.ultradns.org, tld4.ultradns.org, tld5.ultradns.info, tld6.ultradns.co.uk 6대가 골고루 공격을 당했습니다.
 
* RIPE NCC의 DNSMON 페이지 (org DNS, 2007.2.5~2.7, 48시간)

 
Team Cymu의 DNS Query Time Graph에는 정확히 확인하기 쉽지 않지만 G root 서버에서 Response Time이 그 시간대에 순간 올라갔음을 확인할 수 있습니다.
 
* DNS Query Response Time Graphs (Chicago, g.root-servers.net)
[ Tokyo와 Chicago와 회선에서 체크한 결과 ]

기사에도 나와있네요. ^^*. 처음 보도때는 없던데, 글을 늦게 쓰다보니깐 이러네요. ^^*
 
* 인터넷 백본, 집중 공격에도 난공불락임을 입증 ( Zdnet, 2007.2.8 )

 
* 참고 : Huge DNS attack goes virtually unnoticed

DDoS공격이 1월말부터 증가했고, J 모 채팅 사이트가 며칠째 서비스를 못한다는 얘기를 들었습니다.
작년부터 DDoS공격이 있었지만 최근에 공격이 보다 증가하고, 강도도 높아진걸로 보입니다.
이는 언론에서도 얘기하듯이
1) 기존의 돈요구 목적 외에
2) 31일에 중국에서 있었던 동계아시안게임때 우리팀 선수의 백두산 세리머니로 인해 중국해커들의 공격이 있는 걸로도 추측해볼 수 있을 것 같습니다.

최근 DDoS 공격에 대한 얘기들이 많이 나오고는 있지만 중국발 웹해킹(특히 윈도)에 대한 것도 빼놓을 수가 없겠죠. 커피닉스에 몇몇 웹해킹 관련 정보를 적어둔게 있으니 검 색해보시면 될겁니다. 이전에 적어둔 웹해킹 사례외에도 몇몇 사이트를 알고 있지만 친분상 알게된 정보라 따로 얘기하지 않겠습니다.

블로그, 신문기사와 호스팅사이트를 토대로 DDoS 공격을 당한 경우를 정리했습니다. 이외에 누구나 아는 대형 사이트 몇개가 있지만, 해당 업체관계자에게 직접 들은 정보가 아니어서 말씀드리지 않겠습니다. (몇 단계를 거치다 보면 정확하지 않은 정보가 전달되는 경우가 있으니깐요. ^^*)

1. 티스토리 서비스 장애관련 (2007.1.29 오전~)

http://notice.tistory.com/736


한시간여 동안이라고 쓰여있지만 실제로는 그 이상이였죠. 티스토리 장애건 워낙 많은 블로거들이 써서 따로 적지 않겠습니다.

2. 닷네임코리아 (2007.1.29)

http://www.dotname.co.kr/server_error2.html

http://blog.naver.com/anlichol?Redirect=Log&logNo=150014189101 (2007.2.5, 양선생님)
http://s2day.tistory.com/293 (2007.2.5, S2day님)

withpartner.co.kr 이라는 사이트가 공격을 당했다고 하는데, 이 사이트가 닷네임코리아에 할당된 IP입니다.
그래서 닷네임코리아의 일부 IP대역이 서비스가 안되었을 걸로 추측합니다. 아래는 with... IP를 whois한 결과입니다.


참고 : 중국발 해킹(DDoS) 최종 종착역은? (2007.2.5. withpartner.tistory.com )

3. 기타 사이트의 공지사항

http://www.mireene.com/bb.php?mode=read&no=150&page=1&bid=notice (2007.1)
http://ipix.esocom.com/dboard/main.php?url=./board_view&bseq=1&subseq=4&no=210 (2006.12)
http://www.happyjung.com/gnuboard/bbs/board.php?bo_table=notice&wr_id=236 (2006.12)

위의 내용은 IDC내의 다른 사이트가 공격을 당해 호스팅업체까지 영향을 받은것인지는 공지사항을 읽어보시고 판단을 하세요.

4. 언론 보도

- "해킹 안당하려면 돈내" 중국 해커 공격 급증 ( 한계레, 2007.2.6 17:48 )
http://news.naver.com/news/read.php?mode=LSS2D&office_id=028&article_id=0000187055

- '중국발 해킹피해' 속수무책 (YTN, 2007.2.6 18:51, 사흘간 서비스 중단. 심하다. ^^* )
http://search.ytn.co.kr/ytn/view.php?s_mcd=0103&key=200702061851014569

- IP중국발 DDOS 해킹 사례 급증! ( 한국경제21,  2007.2.6 11:16 )
http://www.keconomy21.co.kr/board_view_info.php?idx=435&seq=3

- 국내 수천여 개 사이트, '인해전술' 해킹 당했다 ( SBS TV, 2007.2.7 )
http://news.naver.com/news/read.php?mode=LSS2D&office_id=055&article_id=0000090903

6일에 root DNS서버 공격을 당했다는 건 아시는 분들이 있을건데요,
root DNS서버의 response time을 확인해보고 어떤 root DNS서버인지 직접 찾아 볼겁니다.
데이터로 파악이 안되고, 보안업체에 문의해서 정보가 없다면 추가로 글은 안쓰겠습니다. ^^*

---------------------------------------------------------
5. 호스팅 업체들 (2007.2.14 추가 작성)

- 아이비호스팅 (2007.2.7(수) 00:30~??:??)
http://ivyro.net/ivyro/board/list.php?mode=read&number=157&board_name=iwebboard_notice

- 아이비호스팅 (2007.2.5(월) 11:??~12:30)
http://ivyro.net/ivyro/board/list.php?mode=read&number=153&board_name=iwebboard_notice

- 마루호스팅 (2007.2.5(월) 17:40~, 20:00~21:??, UDP, ICMP)
http://www.maru.net/bbs/view.php?id=notice&no=203
http://www.maru.net/bbs/data/notice/attacked_mrtg.jpg
http://sir.co.kr/bbs/board.php?bo_table=cm_free&wr_id=166879

- 마루호스팅 (2007.2.8(목) 18:34~20:32, 최대 840M)
http://www.maru.net/bbs/view.php?id=notice&no=203

- 이미지호스팅 - 링크파일 (2006.12.26(화) 20:00~20:12)
http://www.linkfile.co.kr/board.htm?w=v&bm_id=1&si_id=282

- 모임즈 커뮤니케이션 (2006.2.13(화))
http://networks.moimz.com/moimz/board/board.php?bid=host_notice&no=138

http://www.edaily.co.kr/news/stock/newsRead.asp?sub_cd=DB41&newsid=01902406582997064&clkcode=00203&DirCode=0030503&curtype=read


DDoS공격은 유형에 따라 차단할 수 있는 것도 있지만, 대부분 복합적인 방법으로 이뤄져 기술적으로 차단할 방법이 거의 없다. IDC, ISP등의 협조 없이는 IDC 고객(10G이상의 여유회선을 갖고 있지 않은 고객)입장에서 막을 방법은 없다라고 보는게 맞을 것 같다.

- 공격량보다 많은 회선을 확보하면 좋겠지만 비용 만만치 않다는 것은 잘 알테고,
- 회선 확보 후 보안장비를 설치한다고 하더라도 장비의 성능이상의 트래픽이 들어오면 정상적인 서비스를 보장받을 수 없다.

DDoS를 위한 Cisco Guard & Detector(단독형 또는 Cisco 6500시리즈의 모듈형이 있음) 장비가 있지만 1G단위의 장비라, 공격이 5Gb라면 5대를 설치를 해야한다. 물론 그 이상의 공격이 들어오면 안정적인 서비스를 보장받기는 어렵고 ^^*

KT, 하나로 등의 몇몇 입주업체에서 저런 공격을 받은 걸로 들었다. 그리고, KT분당 IDC에 있는 호스팅업체 smileserv.com ( http://www.1000dedi.net/ )내에 있는 입주사도 공격을 받았으며, 공지사항의 사과문도 확인할 수 있다.

http://sample.1000dedi.net/hosting/gnuboard4/bbs/board.php?bo_table=commonBoard&wr_id=119

트래픽 양잉 일반적인 경우 6 기가, 최대 10 기가라니 실로 엄청나다. '일명 500만원 DOS 공격 괴담'이라니... 이업체를 토대로 이데일리에서 기사를 쓴건가...

정부, ISP, IDC간의 업무협조가 빨리 이뤄지길 바라며, 개인사용자의 보안의식도 강화되기를 빌어본다.

제목을 보고 영화 'Die Hard'를 생각하고 클릭했을지도 모르겠다. 그러나 제목은 너무나도 정직하게 쓰여졌다. 보안 취약성을 막기위한 라이브러리 이름이 DieHard다. ^^* 이 라이브러리는 Linux, solaris등에서 사용하여 여러 프로그램을 보안문제로 crash되는 것을 막을 수 있으며, Windows에서는 Mozilla/Firefox (Firefox 1.5.x, 2.0.x)만 보호할 수 있는 DieHard를 제공한다.
 
http://www.diehard-software.org/
http://www.cs.umass.edu/%7Eemery/diehard/download/ (download)
 
리눅스에서 사용하는 방법은 간단하다. 위 사이트에서 download받은 후에 LD_PRELOAD 환경 변수에
DieHard 경로만 지정해주면 된다.

setenv LD_PRELOAD /path/to/diehard/libdiehard.so
 
로긴후애 항상 DieHard를 통해 사용하고 싶다면 $HOME/.bash_profile 에 위 한줄만 넣어주면 된다. 다음은 명령 실행시 libdiehard.so 라이브러리를 사용하고 있음을 확인한 것이다. 제 PC(Linux)에서 사용중인데, 지금까지 문제없이 잘 쓰고 있다.
 

개발자 Berger는 MS에서 3만달러, 인텔에서 3만달러, 미 국립과학재단(National Science Foundation)에서 30만달러를 지원받았으며, MS 연구원 Ben Zorn과 함께 개발하였다.

DieHard 라이브러리에 대한 http://www.cyberciti.biz/tips/howto-protect-bufferoverflow-security-vulnerabilities.html 도 참고해보라.

커피닉스는 iptables을 이용해서 DROP시 로그를 남기도록 개인방화벽을 사용한다. 로그 남기는 것 없이 DROP만 하는 분도 있는데, 어떤 공격이 어느 정도 시도가 있는지 모르는 답답함 속에 살지 말고 꼭 남겨서 로그 확인해보면 인터넷이 얼마나 오염됐는지 확인해보길.. ^^*
(FreeBSD에서도 ipfw에 log 설정으로 남길 수 있음)



messages 등의 파일에 다음과 같은 로그가 쌓인다.


문득 어느정도 어느 포트로 들어오나 궁금해서, 최근 몇시간 것만 뽑은 후 awk 몇 번 돌리고, uniq, sort 이용하니
- TCP 139, TCP 1433, TCP 135등 Windows용 포트와
- vnc, radmin등이 사용하는 5800, 4899포트 등이 대부분인 걸 수치로 확인할 수 있었다.

※ 맨 앞부터 건수, 다음 TCP/UDP, 포트

    71 TCP 139  (netbios-ssn)
    57 TCP 1433 (ms-sql-s)
    30 TCP 135  (epmap)
    23 TCP 5800 (vnc)
    13 TCP 4899 (radmin)
     8 UDP 1026
     8 TCP 445  (microsoft-ds)
     7 UDP 500
     6 UDP 137  (netbios-ns)
     6 TCP 5900 (vnc)
     6 TCP 443  (https)
     5 UDP 1027
     5 TCP 22   (ssh)
     4 TCP 4769
     3 TCP 8080 (proxy, web 등)
     3 TCP 2100 (amiganetfs)
     2 TCP 55055
     2 TCP 1338
     2 TCP 1024
     2 TCP 10000 (ndmp)
     1 TCP 36604
     1 TCP 35092
     1 TCP 3389

참고로 국내외의 포트스캔에 대한 정보는 다음 사이트에서.

http://ftp.kreonet.re.kr/flow/index.html
http://isc.sans.org/port_report.php