시스템관리자의 쉼터 커피닉스 커피향이 나는 *NIX
커피닉스
시스템/네트웍/보안을 다루는 곳
 FAQFAQ   검색검색   멤버리스트멤버리스트   사용자 그룹사용자 그룹   사용자 등록하기사용자 등록하기 
 개인 정보개인 정보   비공개 메시지를 확인하려면 로그인하십시오비공개 메시지를 확인하려면 로그인하십시오   로그인로그인 

가입없이 누구나 글을 쓸 수 있습니다. 공지사항에 대한 댓글까지도..




BBS >> 설치, 운영 Q&A | 네트웍, 보안 Q&A | 일반 Q&A || 정보마당 | AWS || 자유게시판 | 구인구직 || 공지사항 | 의견제시
아이템베이와 아이템매니아 등의 DDoS공격 관련

 
글 쓰기   답변 달기    커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보
이전 주제 보기 :: 다음 주제 보기  
글쓴이 메시지
truefeel
카페 관리자


가입: 2003년 7월 24일
올린 글: 1277
위치: 대한민국

올리기올려짐: 2007.10.11 목, 3:32 pm    주제: 아이템베이와 아이템매니아 등의 DDoS공격 관련 인용과 함께 답변

9월(추석기간)에도 이들 사이트에 심한 DDoS 공격이 있었던 것으로 알고 있으며, 10월 8일부터 지금까지 서비스를 거의 하지 못하고 있다.
언론보도에도 이제 너무 많이 나오고 있으니 찾아보면 쉽게 확인할 수 있을 것이다.

* 아이템 거래 사이트 또 접속오류 (2007.10.8, 매일경제)
  http://news.media.daum.net/digital/it/200710/08/mk/v18392631.html
* 아이템베이, 접속장애는 DDoS에 의한 것
  http://www.gamechosun.co.kr/site/data/html_dir/2007/10/10/20071010000021.html
  http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2007101018242147907
* 아이템베이"정보·데이터 안전" 트래픽 폭주때문
  http://www.fnnews.com/view?ra=Sent0901m_01A&corp=fnnews&arcid=0921119322&cDateYear=2007&cDateMonth=10&cDateDay=10&
* 해커에게 돈을 주고 해킹을 막아야 하나?
  http://www.gamechosun.co.kr/site/data/html_dir/2007/10/10/20071010000017.html
* 네이버 지식인에 고객들이 올린 내용들 (10월 8일에 비해 답변이 많이 늘었다. ^^)
  http://kin.naver.com/ing/detail.php?d1id=2&dir_id=20103&eid=FgHPgj0XXHemgh9ZMlMrZCrh3cmuRYcu&qb=vsbAzMXbuMW0z77G
  http://kin.naver.com/ing/detail.php?d1id=1&dir_id=102&eid=Fmgsq5q12Sb1TlSY+qL+vq4Uoi6bplc2&qb=vsbAzMXbuMW0z77G
  http://kin.naver.com/ing/detail.php?d1id=5&dir_id=506&eid=VEn913oydyH0HzZmd60lfKTMvrl/xLsf&qb=vsbAzMXbuMW0z77G

... 등등

1. 먼저 아이템베이를 살펴보자. 아래는 10.8일자 DNS lookup한 결과이다.

※ 내부 사정을 정확히 확인할 수 없으니, 외부에서 보이는 결과로 추측해본 것이다.

인용:

1. www IP 확인

;; ANSWER SECTION:
www.itembay.com. 1167 IN A 211.111.211.96

;; AUTHORITY SECTION:
itembay.com. 3567 IN NS ns1.intellicenter.co.kr.
itembay.com. 3567 IN NS ns2.intellicenter.co.kr.

2. SOA 레코드 확인

;; AUTHORITY SECTION:
itembay.com. 10790 IN SOA ns1.intellicenter.co.kr. webmaster.intellicenter.co.kr. 2007100802 21600 1800 1209600 43200


- Serial 번호가 2007100802로 표시되어 있는데, 일반적으로 년월일을 표기하는 편이다.(단순히 숫자이어도 상관없음) 10월 8일에 DDoS공격으로 인해 2번 정도 설정을 변경했을 것으로 보인다.
- 서버는 프리즘에 있다.
- 자체 DNS서버가 아니고, 프리즘의 DNS 서버이다.
- 211.111.211.96으로는 접속안되고, 아이템베이에 할당된 것으로 보이는 다른 IP로는 접속되는 것을 보면 96번 IP가 상위단에서 차단되었을 것이다. 이는 traceroute의 결과로도 추측해볼 수 있다. (ICMP를 막아서 정확히 체크안될 수도 있음)

그 이후 9일~11일까지 lookup결과이다.

코드:

1. 10월 9일(9일인지 10일인지 기억이 가물 가물?)

;; ANSWER SECTION:
www.itembay.com.        1132    IN      A       211.111.210.130

;; AUTHORITY SECTION:
itembay.com.            3529    IN      NS      ns1.intellicenter.co.kr.
itembay.com.            3529    IN      NS      ns2.intellicenter.co.kr.

2. SOA 레코드 확인

;; AUTHORITY SECTION:
itembay.com.            10755   IN      SOA     ns1.intellicenter.co.kr.  webmaster.intellicenter.co.kr. 2007100900 21600 1800 1209600 43200


IP도 변경됐고, SOA레코드의 serial도 100900으로 변경되었다. 서버 IP나, 네트웍 회선 변경을 통해서 서비스를 다시 하려고 했을 것으로 보인다. 그러나 다시 막힌 것으로 보이고, 지금까지도 막힌 것 같다.

2. 아이템매니아도 비슷한 형태이다.

인용:

1. www IP 확인

;; ANSWER SECTION:
www.itemmania.co.kr. 28800 IN A 211.239.169.39

;; AUTHORITY SECTION:
itemmania.co.kr. 28800 IN NS ns5.cninet.co.kr.
itemmania.co.kr. 28800 IN NS ns6.cninet.co.kr.


- SOA 레코드를 확인했으나 Serial 번호가 단순 숫자형태여서 언제 변경했는지는 확인 불가능
- 서버는 호스트웨이에 있다.
- 자체 DNS서버가 아니고, 호스트웨이의 DNS 서버이다.
- 211.239.169.39로는 접속안되고, 아이템매니아에 할당된 것으로 보이는 다른 IP로는 접속되었다(10.8일 상황). 그러나 어제부터는 다른 IP로도 접속이 안되었다.

코드:

1. www로 traceroute

traceroute to www.itemmania.co.kr (211.239.169.39), 30 hops max, 38 byte packets
 ... 생략 ...
 4  211.239.208.97 (211.239.208.97)  4.763 ms  3.387 ms  4.400 ms
 5  211.239.208.65 (211.239.208.65)  5.905 ms  5.393 ms  5.213 ms
 6  211.115.197.185 (211.115.197.185)  5.655 ms  6.640 ms  5.639 ms
 7  *

2. 다른 IP로 traceroute (2007.10.10일)

traceroute to 211.239.169.?? (211.239.169.??), 30 hops max, 38 byte packets
 ... 생략 ...
 4  211.239.208.97 (211.239.208.97)  3.268 ms  3.260 ms  3.245 ms
 5  211.239.208.65 (211.239.208.65)  6.153 ms  5.736 ms  7.514 ms
 6  211.115.197.57 (211.115.197.57)  5.999 ms  6.119 ms  5.510 ms
 7  211.115.208.244 (211.115.208.244)  5.162 ms  5.306 ms  5.943 ms
 8  *

3. 다른 IP로 traceroute (2007.10.11일)
 ... 생략 ...
26  211.115.208.242 (211.115.208.242)  5.596 ms  5.888 ms  6.843 ms
27  211.115.208.244 (211.115.208.244)  5.514 ms  5.384 ms  5.431 ms
28  211.115.208.242 (211.115.208.242)  6.133 ms  5.617 ms  5.748 ms
29  211.115.208.244 (211.115.208.244)  5.316 ms  5.333 ms  5.361 ms
30  211.115.208.242 (211.115.208.242)  5.532 ms  5.523 ms  5.910 ms


- 다른 IP로는 웹페이지까지 접속이 된 상황이었고, traceroute 결과가 다른 것을 보면 상위단에서 IP를 차단했을 것으로 보인다.
- 11일에는 다른 여러 IP로 traceroute한 결과, 라우팅 루프가 발생하고 있다. 따라서 현재는 아이템매니아의 모든 IP로의 접근이 안되는 것으로 보면 될 것 같다.

3. 공격을 기술적으로 막기 어려우니 장애시간을 줄여야할 것이다.

1. 회선 대역폭이 좋고, 백본 장비가 좋은 곳으로 이전하는게 (이전할 수만 있다면... ^^)

2. 서버를 여러군데 분산해볼 수 있는데, 여러 곳에 네트웍 회선 확보와 시스템의 구성 변경으로 문제로 쉽지 않은 부분이다.

3. 이정도의 규모 서비스 업체라면 자체 DNS서버를 운영하는게.
www IP를 기준으로 공격을 주로 하겠지만 만약에 DNS IP를 확인해서 UDP 공격이 들어온다면 타 고객사에도 심각한 서비스 장애가 생길 수 있을 것이다. DNS 서버 IP를 상위다에서 막는다면? DNS lookup을 못하니 그 DNS서버로 서비스하는 모든 고객의 서비스 중단이 생길 것이다.
또한, DNS를 통해서 장애 시간을 줄일 수 있다.

4. 악의적 UDP, ICMP 공격이라면, 현재는 아니더라도 추후에 TCP 80으로 웹페이지를 과다하게 호출하여 웹서버의 load를 높이는 형태로 서비스 장애가 발생할 수 있다. www 서버가 여러 대일 것인데, 그 중 몇대에는 최소한 웹로그를 상세히(referer, 브라우저명, ... 등) 남겨, 비정상적인 요청이 발생하는지 확인을 하고, 악의적 공격의 공통점이 있다면 403 forbidden으로 처리할 수 있도록 설정이 필요하다.
물론 로그량은 엄청나기도 하겠지만, 시간 또는 분단위까지 로그파일을 쪼개고, 로테이션을 한다면 크게 문제가 생기는 않을 것이다.

5. 과다게 DNS lookup 을 하는 IP를 차단한다.
dnstop(DNS top, CLI모드 프로그램) 같은 DNS 통계툴을 이용해서, 어떤 IP에서 lookup을 하는지 query건수와 비율을 확인할 수 있다. 이툴을
통해서 lookup을 하지 않을 만한 IP에서 높은 비율로 요청이 들어온다면 IP차단 해본다. 주로 www로 공격이 들어오는데, 이 www IP를 변경하거나 다른 회선으로 서비스를 옮기게 되면 바로 해당 IP로 다시 들어 오는 경우가 있다고
하므로, 이런 부분도 고려해볼만. ^^

※ 내부 사정을 정확히 확인할 수 없으니, 외부에서 보이는 결과로 추측해본 것이다.
위로
사용자 정보 보기 비밀 메시지 보내기 글 올린이의 웹사이트 방문
이전 글 표시:   
글 쓰기   답변 달기    커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보 시간대: GMT + 9 시간(한국)
페이지 11

 
건너뛰기:  
새로운 주제를 올릴 수 있습니다
답글을 올릴 수 있습니다
주제를 수정할 수 없습니다
올린 글을 삭제할 수 없습니다
투표를 할 수 없습니다


Powered by phpBB © 2001, 2005 phpBB Group