[DDOS] DDOS 3번째 당하다 > 시큐리티 (레벨5이상)

본문 바로가기

검색취소

[DDOS] DDOS 3번째 당하다

검색 이전 다음 목록

본문

오늘..
아는 분의 서버에 DDOS를 당했습니다.

DDOS 공격하는 사람,, 정말 양심도 없지..
먹고 살려고 하는 데,, 보이지 않는 협박을 해서 돈을 뜯어 내려 하다니...

아무튼.. 이번 DDOS와 관련한 것들을 살짝 정리를 해 보겠습니다.

(14:30분쯤... 30분정도 죽었는데.. 참 어이없게,, IDC에서 icmp를 막는다는게..
LB 아이피를 막아 버려서.. 정말 ..ㅠ.ㅠ 어처구니 없게 DDOS 때문도 아니고...
암튼, 모든 것 초기화시켜 달라고 해서 원복됐습니다. 물론 도와줄라고 한 것이라 이해가지만요..)

초기 사이트 디자인과, 서버 구성, 네트워크 구성, DB 구성 등을 내가 했기에 정말 애착이 많이 가는 사이트였습니다.

해당 사이트는 전에 두 번에 걸쳐 DDOS를 당했는데, 정말 속수무책으로 내가 별로 할 수 있는 일들이 없더군요..

그리하여, 
프로그래머를 정말 많이 다그치고, 교육시키고 사이트 디자이닝을 걸쳐 몇 달 대비를 했습니다.
듣자하니, 한 번 돈을 주면 지속적으로 돈을 요구한다기에, 챙피한 일이지만 전에 돈으로 해결을 해서리,
나름대로 준비를 하였습니다.

- 이미지 서버 분리하여 이미지는 이미지 캐시로 처리하도록 함
- DB는 master/slave로 운영하며 DB Cache로 사용하여 connection 최소화 및 cache hit를 극대화 실행
- 웹서버의 이미지는 웹캐시를 사용하여 캐치 처리함
- 웹로그 기준하여 block 아이피 실시간 조회 및 전 서버 방화벽으로 차단할 수 있도록 구성,

구성)
- 웹서버 8대
- DB서버 3대
- 이미지 캐시 서버 4대

(1) DB 서버
DB서버를 웹서버 각각 서버에서 캐싱을 하여, connection을 처리하니, 
제 생각에 DB서버의 connection에 대당하는 메모리 사용률이나 트래픽이 발생할 것 같지 않아
DB서버가 총 4대 였는데 3대로 줄였습니다. (DB Master 1대 + slave 2대)

오늘 DDOS를 당하고 패킷을 확인해 보니, 예상대로 DB에는 전혀 영향을 미치지 않았습니다.
전에는 DB가 버티지 못해서 공격 거의 1분 만에 죽었었는데.~ ㅠ.ㅠ. 

(2) 웹 서버
웹서버는 총 6대에서, 이미지 서버를 별도로 분리를 하니, 웹서버에 용량도 가벼워지고 트래픽도 팍 줄었습니다.
그리하여, 웹서버에 DB Pool을 설치하고 동시에 운영을 하였습니다.
웹서버 또한, 버벅 거림 없이 트래픽을 잘 막아 주더군요..

(3) ACL 차단
공격 당시 읽어오는 파일의 아이피 당 count 수를 구해보니 어마어마 하더군요..
좀비들.. ㅠ.ㅠ
모두 차단해 버렸습니다...
[root@ns1 ~]$ cat /var/log/httpd/access_도메인 | grep "list.html"| cut -d" " -f1|sort -n |uniq -c|sort -n |tail -n 100
163 115.138.198.126
188 59.151.210.187
195 124.22.219.75
208 87.228.47.102
233 124.153.165.187
265 115.136.197.154
293 120.142.3.44
309 173.35.241.41
311 116.39.65.43
327 121.140.169.71
330 58.143.177.49
428 222.100.249.217
525 69.238.55.28
535 121.181.105.142
564 96.48.221.242
742 119.67.234.92
747 58.236.142.148
962 220.219.64.6
1028 122.34.131.156
1067 125.183.245.70
1122 69.234.202.97
1129 210.57.243.168
1134 116.21.131.172
1196 122.47.23.7
1211 116.39.128.215
1216 58.141.254.113
1227 24.22.247.242
1247 71.159.49.65
1306 24.6.11.108
1322 123.243.29.53
1383 116.45.251.8
1440 116.34.202.111
1663 68.4.66.236
1691 121.88.146.145
1822 75.50.159.40
1914 119.197.140.3
2505 58.146.229.36
2747 121.142.236.15
2804 122.38.45.65
3314 116.43.205.60
3613 71.237.201.85
4325 38.118.149.66
24758 124.49.52.79
30667 222.251.139.68

(4) 대역폭
평상시 트래픽 100M/s, 최대 가용치 1G/s로 대역폭은 기본적으로 확보했습니다.

(5) MRTG

 
 
 
 
 
 

등록된 댓글이 없습니다.

검색취소

시큐리티 (레벨5이상)

검색
  • no image
  • clamav 설치

    dpkg --configure -aapt-get remove -y --purge clamav clamav-freshclamapt-get autoremove -yrm -rf /var/log/clamav /etc/cla…

  • no image
  • vnst vnstat 설치 / 설정

    tar xfvj vnst.bz2apt-get install -y vnstatifconfing 한 네트워크 디바이스 (eth0) 넣는다.vnstat -u -i eno1orvnstat -u -i eth0  2일전 바뀐 …

  • no image
  • 리눅스용 백신

    리눅스용 백신출처 : http://blog.naver.com/jabusuninOpen Antivirus Projecthttp://www.openantivirus.org/(자유소프트웨어 진영의 대표적 안티바이러스)Cl…

  • SSL 인증서 무료로 받아 설치하기
  • SSL 인증서 무료로 받아 설치하기

    2012년 8월 18일부터 회원가입을 받는 모든 사이트는 SSL 보안을 의무적으로 적용해야 한다. 이를 어길 시 3,000만 원 이하 벌금을 부과한다고 한다. SSL 보안이란 간단히 말하면 사용자가 웹 브라우저에 입…

  • no image
  • 요즘 빅데이터/분석/보안 관련된 기사

    요즘 빅데이터/분석/보안 관련된 기사 또는 자료들이 엄청나게 쏟아져 나온다.. 요즘 회사도 바뻐서 못쫒아갈 판이다.(사실은 핑계다) 그래도 나중에라도 읽어보려면 링크라도 정리… [IT수다]우리에게 필요한 건 ‘빅데이…

  • no image
  • 우분투에서 cacti 설치하기

     apt-get install cacti-- 드디어 cacti를 설치합니다 cacti의 기본 설치 위치는 /usr/share/cacti/site/ 에 설치 됩니다. 사이트주소/cacti/   를 호출하면 설정메뉴 나…

  • [DDOS] DDOS 3번째 당하다
  • [DDOS] DDOS 3번째 당하다

    오늘..아는 분의 서버에 DDOS를 당했습니다. DDOS 공격하는 사람,, 정말 양심도 없지..먹고 살려고 하는 데,, 보이지 않는 협박을 해서 돈을 뜯어 내려 하다니... 아무튼.. 이번 DDOS와 관련한 것들을 …

  • php 해쉬 테이블 취약점 (HashDoS) 공격 방어
  • php 해쉬 테이블 취약점 (HashDoS) 공격 방어

    최종 업데이트 : 2012/01/08 hash table 을 이용한 DOS가 상당히 요즘 화두가 되고 있습니다.다행히, 한국을 사랑하는 독일인(스테판 에써(Stefan Esser))이 이미 모듈을 제공하고 있습니다.…

이 게시판은 레벨3이상 읽기,쓰기 가능한 게시판입니다. 커뮤니티 활동등을 통해 신분이 확인된 분에 한해서 진입가능합니다.
보안 관련 된 글을 많이 남겨주세요.. 특히 외부에 제목만 공개되므로 자유롭게 등록가능합니다.
?>