글 수 182
간만에 DDOS 공격을 받아 2시간이 넘게 사이트 운영에 차질을 빚었습니다.
표적이 된 입주 사이트는 지난 번에도 한 번 DDOS 공격으로 물의를 일으킨 바 있는 http://www.winbaram.com 이 되겠습니다.
지난 번 공격은 단순히 IP 하나만으로 공격이 들어왔지만 이번은 아주 제대로 된 공격이었습니다.
수십 개의 좀비PC를 동원한 공격이었습니다. tcp 80번 포트로 초당 10000~15000 패킷 정도가 유입되었군요.
125.143.244.211 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
121.181.40.184 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
121.181.40.184 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
124.57.84.7 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
58.120.152.118 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
122.46.142.68 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
114.205.205.5 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com AU
59.3.154.157 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
125.143.244.211 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
58.125.148.193 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
211.223.186.240 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
211.223.107.113 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
211.223.107.113 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
211.223.107.113 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
211.223.107.113 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
211.223.107.113 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
121.88.24.182 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
211.223.107.113 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
125.187.178.140 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
121.88.24.182 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
116.127.128.118 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
124.216.99.216 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
116.127.128.118 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
211.223.107.113 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
211.223.107.113 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
124.57.84.7 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
124.57.84.7 - - [13/Jun/2009:16:31:57 +0900] "GET /zbxe/ HTTP/1.1" 302 281 "http://www.winbaram.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate" www.winbaram.com KR
위에 나온 바와 같이 웹서버 로그를 분석해 보니 Cache-Control Attack 이라는 방식의 웹부하 공격이었습니다.
로그파일에서 특정 시간대의 로그만을 추려 "Cache-Control" 이라는 문자열만을 걸러 확인해 보니 초당 1278회의 웹페이지 로딩이 이루어질 정도의 강력한 공격이었습니다.
검색해 본 정보에 의하면 2008년 하반기부터 유행하기 시작한 공격 방식이라고 하니 제법 최근의 트렌드로군요.
일일이 IP를 찾아 틀어막기엔 다소 역부족이었습니다. 다행히 공격자가 공격을 그만둔 거 같은데 언제 또 공격이 들이닥칠 지 모릅니다.
문제의 사이트는 대역폭을 2Mbit/s 로 제한하며 디지문서버에서 권고 탈퇴를 요합니다.
이번 달 안으로 새로운 보금자리를 찾아 나서시길 바랍니다.
![[레벨:1]](http://hosting.digimoon.net/board/modules/point/icons/default/1.gif "포인트:280point (70%), 레벨:1/30"){kind=icon}
hong87![[레벨:3]](http://hosting.digimoon.net/board/modules/point/icons/default/3.gif "포인트:825point (2%), 레벨:3/30"){kind=icon}
난나야
![[레벨:15]](http://hosting.digimoon.net/board/modules/point/icons/default/15.gif "포인트:21350point (39%), 레벨:15/30")
디지문
- 2009.06.15
- 11:28:09
- (*.74.175.5)
이틀 동안 총 4차례의 DDOS 공격을 유발한 관계로 http://www.winbaram.com 사이트 최종 폐쇄 조치합니다.
웹접속만 차단한 것이므로 운영자 분은 자료 백업받고 타 서버로 이전할 수 있도록 준비하시기 바랍니다.
웹접속만 차단한 것이므로 운영자 분은 자료 백업받고 타 서버로 이전할 수 있도록 준비하시기 바랍니다.
![[레벨:0]](http://hosting.digimoon.net/board/modules/point/icons/default/0.gif "포인트:35point (38%), 레벨:0/30")
프리지아
- 2009.06.22
- 11:29:10
- (*.114.59.65)