프리이미지
사이트 내 전체검색

[DDOS] DDOS 3번째 당하다

페이지 정보

작성일13-07-04 22:48

본문

오늘..
아는 분의 서버에 DDOS를 당했습니다.

DDOS 공격하는 사람,, 정말 양심도 없지..
먹고 살려고 하는 데,, 보이지 않는 협박을 해서 돈을 뜯어 내려 하다니...

아무튼.. 이번 DDOS와 관련한 것들을 살짝 정리를 해 보겠습니다.

(14:30분쯤... 30분정도 죽었는데.. 참 어이없게,, IDC에서 icmp를 막는다는게..
LB 아이피를 막아 버려서.. 정말 ..ㅠ.ㅠ 어처구니 없게 DDOS 때문도 아니고...
암튼, 모든 것 초기화시켜 달라고 해서 원복됐습니다. 물론 도와줄라고 한 것이라 이해가지만요..)

초기 사이트 디자인과, 서버 구성, 네트워크 구성, DB 구성 등을 내가 했기에 정말 애착이 많이 가는 사이트였습니다.

해당 사이트는 전에 두 번에 걸쳐 DDOS를 당했는데, 정말 속수무책으로 내가 별로 할 수 있는 일들이 없더군요..

그리하여, 
프로그래머를 정말 많이 다그치고, 교육시키고 사이트 디자이닝을 걸쳐 몇 달 대비를 했습니다.
듣자하니, 한 번 돈을 주면 지속적으로 돈을 요구한다기에, 챙피한 일이지만 전에 돈으로 해결을 해서리,
나름대로 준비를 하였습니다.

- 이미지 서버 분리하여 이미지는 이미지 캐시로 처리하도록 함
- DB는 master/slave로 운영하며 DB Cache로 사용하여 connection 최소화 및 cache hit를 극대화 실행
- 웹서버의 이미지는 웹캐시를 사용하여 캐치 처리함
- 웹로그 기준하여 block 아이피 실시간 조회 및 전 서버 방화벽으로 차단할 수 있도록 구성,

구성)
- 웹서버 8대
- DB서버 3대
- 이미지 캐시 서버 4대

(1) DB 서버
DB서버를 웹서버 각각 서버에서 캐싱을 하여, connection을 처리하니, 
제 생각에 DB서버의 connection에 대당하는 메모리 사용률이나 트래픽이 발생할 것 같지 않아
DB서버가 총 4대 였는데 3대로 줄였습니다. (DB Master 1대 + slave 2대)

오늘 DDOS를 당하고 패킷을 확인해 보니, 예상대로 DB에는 전혀 영향을 미치지 않았습니다.
전에는 DB가 버티지 못해서 공격 거의 1분 만에 죽었었는데.~ ㅠ.ㅠ. 

(2) 웹 서버
웹서버는 총 6대에서, 이미지 서버를 별도로 분리를 하니, 웹서버에 용량도 가벼워지고 트래픽도 팍 줄었습니다.
그리하여, 웹서버에 DB Pool을 설치하고 동시에 운영을 하였습니다.
웹서버 또한, 버벅 거림 없이 트래픽을 잘 막아 주더군요..

(3) ACL 차단
공격 당시 읽어오는 파일의 아이피 당 count 수를 구해보니 어마어마 하더군요..
좀비들.. ㅠ.ㅠ
모두 차단해 버렸습니다...
[root@ns1 ~]$ cat /var/log/httpd/access_도메인 | grep "list.html"| cut -d" " -f1|sort -n |uniq -c|sort -n |tail -n 100
163 115.138.198.126
188 59.151.210.187
195 124.22.219.75
208 87.228.47.102
233 124.153.165.187
265 115.136.197.154
293 120.142.3.44
309 173.35.241.41
311 116.39.65.43
327 121.140.169.71
330 58.143.177.49
428 222.100.249.217
525 69.238.55.28
535 121.181.105.142
564 96.48.221.242
742 119.67.234.92
747 58.236.142.148
962 220.219.64.6
1028 122.34.131.156
1067 125.183.245.70
1122 69.234.202.97
1129 210.57.243.168
1134 116.21.131.172
1196 122.47.23.7
1211 116.39.128.215
1216 58.141.254.113
1227 24.22.247.242
1247 71.159.49.65
1306 24.6.11.108
1322 123.243.29.53
1383 116.45.251.8
1440 116.34.202.111
1663 68.4.66.236
1691 121.88.146.145
1822 75.50.159.40
1914 119.197.140.3
2505 58.146.229.36
2747 121.142.236.15
2804 122.38.45.65
3314 116.43.205.60
3613 71.237.201.85
4325 38.118.149.66
24758 124.49.52.79
30667 222.251.139.68

(4) 대역폭
평상시 트래픽 100M/s, 최대 가용치 1G/s로 대역폭은 기본적으로 확보했습니다.

(5) MRTG

 
 
 
 
 
 

게시물 검색
이 게시판은 레벨3이상 읽기,쓰기 가능한 게시판입니다. 커뮤니티 활동등을 통해 신분이 확인된 분에 한해서 진입가능합니다.
보안 관련 된 글을 많이 남겨주세요.. 특히 외부에 제목만 공개되므로 자유롭게 등록가능합니다.