- 회원들이 추천해주신 좋은 글들을 따로 모아놓는 공간입니다.
- 추천글은 매주 자문단의 투표로 선정됩니다.
Date 22/08/08 15:49:35
Name   T.Robin
Subject   가끔 홍차넷을 버벅이게 하는 DoS(서비스 거부 공격) 이야기
[Disclaimer]
이 글에는 간접광고(?)가 포함되어 있습니다

안녕하세요. T.Robin입니다.

타임라인에 모종의 글을 쓰다가 오해를 살 수도 있을 것 같아서 해당 글을 지우고 해명글같은 것을 쓰고 있었는데, 막상 쓰다 보니 내용이 많이 길어지더군요. 그래서, 이왕 하는 김에 졸필이나마 IT에 대해 잘 모르시는 분들께 도움을 드리는 것도 좋겠다 싶어서 아예 티타임으로 글을 옮겼습니다.

홍차넷을 최소 1~2년 이상 사용하셨던 분들이시라면 최소한 수차례 이상 홍차넷이 아무런 이유도 없이 느려지는 것을 경험해보신 적이 있으실 겁니다. 신규 유입이 갑자기 확 늘어난 것도 아니고, 그렇다고 운영진이 뭔가 공사(?)를 하는 것도 아닌데 갑자기 버버버벅...... 대는 거죠. 여기에는 이런저런 이유가 있을 수 있습니다만, 이 중 상당수는 홍차넷 서버가 서비스 거부 공격(DoS, Denial of Service)을 받았기 때문입니다. 서비스 거부 공격을 받는 서버는 서비스를 수행할 수 있는 자원이 부족해서 속도가 느려지거나, 궁극적으로는 아예 접속 자체가 불가능해지게 됩니다.

그럼 자원이 부족하게 만들려면 어떻게 해야 하나...... 사실 이건 별거 없습니다. 서버에다 대고 데이터를 왕창 요청하면 서버가 수없이 많은 요청을 일일이 처리하다가 지쳐 나자빠집니다. 사람하고 똑같아요. 아무도 모르는 보안 취약점을 타고 들어가서 자신만의 음흉한(?) 코드를 집어넣는다거나 하는 그런 고급 기술은 필요 없습니다. 그냥 데이터 요청을 엄청나게 많이 할 수만 있으면 되고, 심지어는 PC 한 대만 있어도 공격을 수행할 수 있습니다. 어려울게 전혀 없어요.

여담으로, 이 공격을 한 대에서 수행하면 서비스 거부 공격(DoS)이 되고, 여러대(최소 수백대 이상)가 한꺼번에 수행하면 분산 서비스 거부 공격(DDoS, Distributed Denial of Service)이 됩니다. 어디서 들어보신 기억이 나시나요? 한 때 신문지상에서도 많이 보실 수 있었던 바로 그 DDoS 공격이 이겁니다. 공격하는 쪽에서는 그냥 물량 많이 만들어놨다가 어택땅으로 한 번 밀어부치기만 하면 끝납니다. 참 쉽죠? (응?)

그럼 이걸 어떻게 막으면 되느냐...... 요령은 간단합니다. 요청을 미친듯이 많이 보내는 IP의 요청을 무시해버버리면 됩니다. 다만 여기엔 문제가 있는데, 어느 IP가 요청을 그렇게 덤프트럭에서 모래 쏟아붓듯이 마구잡이로 쏟아내는지를 어떻게 판단하느냐는 겁니다. 정상적인 홍차넷 홈페이지(https://redtea.kr)를 최초로 로딩할 경우 빠르면 0.5초 이내에 20~30개의 요청을 한꺼번에 처리하는데, 이게 모이고 모이면 정상적인 접근만으로도 순식간에 수천~수만개의 요청이 쌓이게 됩니다. 게다가 어떤 접속들은 어떻게 보면 DoS 공격처럼 보이지만 실제로는 아닌 경우도 있습니다(이를테면 모바일로 접속하는 경우, 서버 입장에서는 서로 다른 기기가 몇 개 IP로 뭉쳐서 보여지게 됩니다). 그리고 그동안에는 이런 공격이 오면 홍차넷 운영진 여러분들이 사람과 시간을 갈아넣어서(OTL) 몸빵으로 대응해 오시고 계셨습니다. 저도 원래 정보보안 엔지니어였던 터라, 홍차넷이 몇 차례정도 DoS 공격을 받고, 어떻게 대응하시는지를 옆에서 보고 있자니 사람 갈려나가는게 대충 보이더군요(......).

옆에서 보고 있다보니 역시 이건 좀 아닌 듯 하기도 하고, 제가 현재 만드는 솔루션이 네트워크 진단/분석 솔루션이기도 한 터라 이 부분은 제가 도움을 드릴 수 있을 것 같아서, 어느 IP가 초당 몇 번이나 데이터를 요청했는지를 파악하는 프로그램을 만들었습니다. 이런게 있으면 DoS 공격이 발생했을때 누가 공격했는지를 쉽게 파악할 수 있죠. 요컨데, 컴퓨터보고 "야 네가 좀 알아서 세어서 보고해봐라 쫌"이라고 하는겁니다. 다만, 홍차넷 서버의 성능이 솔직히 그렇게 좋은 편은 아니기 때문에(그렇게 알고 있습니다), 방법에 따라서는 서버에 [본래 서비스보다 훨씬 많은 부하]를 줄 수 있어서, 만드는데 기계어 명령어 세트를 한 개라도 더 줄이기 위해 최대한 노력했습니다.

프로그램의 동작을 전문용어로 표현하자면, [TCP SYN 패킷만 캡쳐해서 source IP별로 카운팅]하는 프로그램 되겠습니다. C++로 만든 libpcap 기반 프로그램이고, 마지막 1분간의 데이터를 저장하는 단일 파일을 계속 덮어씁니다. 데이터는 자동으로 휘발되고, TCP SYN 패킷만 보고 다른 패킷은 무시하기 때문에, 프로그램 입장에서는 무슨 데이터가 오가는지를 알 수가 없습니다. 그리고 그것보다, 모든 패킷을 다 보려고 했다간 분명히 홍차넷 서버가 버거워해서 [메인 서비스가 느려질게 뻔한데], 그러면 운영진께서 분명히 "이거 못쓰겠는데요"라고 하실 거란 말이죠...... =_=a

[여기서부터 대충 간접광고(?)]
참고로 이 프로그램은 무료(freeware, public domain)로 제공할 생각입니다. 서버가 Windows 또는 Linux이면 아무데서나 동작하고, 의존성은 Windows의 경우 npcap, Linux의 경우 libpcap 하나 뿐입니다. 혹시 이 글을 읽으시는 분들 중 본 프로그램이 필요하신 경우 말씀해주시면 바이너리 파일을 제공해 드릴 수 있습니다. Linux의 경우 일단 빌드 환경은 Ubuntu 20.04 LTS와 CentOS 7이 준비되어 있습니다만, 다른 환경이신 경우 OS만 말씀해주시면 맞춤형으로 빌드해 드릴 수 있습니다. 광고......랄게 하나 있긴 한데, TXT로 되어있는 카운팅 보고서 맨 위에 제가 재직중인 회사 홈페이지 URL이 들어가는 정도 수준입니다(이렇게 하면 저희 회사 영업사원들이 회사 홍보용으로 쓸 수도 있어서......). 회사와 이야기해봤는데, 이런거 필요 없답니다. 그래서 회사 광고는 지우고 사이트 광고만 넣었습니다.

혹시 프로그램 필요하신 분이 있으시면 말씀해주세요. 원하시면 소스코드 보여드리고 현장에서 직접 컴파일해드릴 수도 있습니다.
[여기까지 광고(?) 끝]

자, 그래서 결론을 정리하면......

1. DoS나 DDoS는 대단한 기술이 필요없는 공격이다. 요청을 엄청 많이 해서 서버가 진 빠지게 하는게 전부다
2. 홍차넷도 DoS 공격을 여러차레 받은 경험이 있고, 그동안에는 운영진이 몸빵으로(......) 공격을 막았다
3. T.Robin이란 인간이 DoS 공격을 빠르게 확인할 수 있게 해주는 프로그램을 만들어서 홍차넷 서버에 사용할 수 있도록 하였다
4. 이 인간, 하는 김에 프로그램을 그냥 무료(freeware, public domain)로 뿌릴 생각이다

정도 되겠습니다.

날씨가 덥습니다.
아무쪼록, 전국의 IT 서비스 운영자 여러분, 건승을 기원합니다.


* Cascade님에 의해서 티타임 게시판으로부터 게시물 복사되었습니다 (2022-08-21 13:52)
* 관리사유 : 추천게시판으로 복사합니다.



25
  • 아 이게 광고신고버튼이던가?
  • 기술이 미래딘
  • 추천


목록
번호 제목 이름 날짜 조회 추천
1247 정치/사회이태원 압사사고를 바라보는 20가지 시선 7 카르스 22/10/30 5439 29
1246 과학이번 카카오 사태에 가려진 찐 흑막.jpg 코멘터리 18 그저그런 22/10/25 5148 24
1245 일상/생각"교수님, 제가 생과 사의 경계에 있는 것 같습니다." 24 골든햄스 22/10/20 4773 53
1243 과학"수업이 너무 어려워서 해고당한" 뉴욕대 화학 교수에 관하여 64 Velma Kelly 22/10/06 6261 27
1242 IT/컴퓨터망사용료 이슈에 대한 드라이한 이야기 20 Leeka 22/09/30 4189 9
1241 기타대군사 사마의 감상. 나관중에 대한 도전. 10 joel 22/09/30 3878 24
1240 체육/스포츠북한산 의상능선 간략소개 9 주식못하는옴닉 22/09/25 4162 16
1239 정치/사회한국 수도권-지방격차의 의외의 면모들 45 카르스 22/09/20 6123 22
1238 기타난임일기 26 하마소 22/09/19 4040 58
1237 일상/생각만년필 덕후가 인정하는 찰스 3세의 착한 빡침 95 SCV 22/09/13 32650 49
1236 기타2022 걸그룹 4/6 31 헬리제의우울 22/09/06 4451 30
1235 과학마름모는 왜 마름모일까? 30 몸맘 22/09/05 5893 28
1234 일상/생각우리는 조금씩 성장한다. 4 whenyouinRome... 22/09/05 3873 35
1233 정치/사회한국 인구구조의 아이러니 21 카르스 22/09/01 6233 57
1232 역사홍콩의 기묘한 도로명의 유래 11 아침커피 22/08/27 4672 37
1231 일상/생각자폐 스펙트럼과 일반인의 경계에서 살아온 사람의 이야기 14 카르스 22/08/21 5332 78
1230 IT/컴퓨터가끔 홍차넷을 버벅이게 하는 DoS(서비스 거부 공격) 이야기 36 T.Robin 22/08/08 4150 25
1229 정치/사회장애학 시리즈 (2) - 시각장애인 여성은 타인의 시선을 어떻게 받아들이고, 돌려주는가? 5 소요 22/08/07 3525 15
1228 의료/건강아산병원사건 서울대 교수 실명글과 개인적인 견해 20 cummings 22/08/04 4754 23
1227 일상/생각(영양無) 나는 어쩌다 체조를 끝내고 레전드로 남았는가 14 Picard 22/07/27 4476 11
1226 정치/사회<20대 남성 53% "키스는 성관계 동의한 것">이라는 기사는 무엇을 놓치고 있는가? - 보고서 원문 자료를 바탕으로 46 소요 22/07/25 5262 39
1225 일상/생각 6 하마소 22/07/21 3660 20
1224 경제코인·투자 손실금까지 변제해주는 게 맞냐? 25 Wolf 22/07/20 4915 23
1223 일상/생각딸아이는 자스입니다. 13 세상의빛 22/07/15 7530 152
1222 정치/사회장애학 시리즈 (1) - 자폐를 지닌 사람은 자폐를 어떻게 이해하나? 16 소요 22/07/14 4470 26
목록

+ : 최근 6시간내에 달린 댓글
+ : 최근 12시간내에 달린 댓글

댓글