드디어 입질이 왔다. 비싼 장비 들여 놓고 BMT 기간 중에 아무런 실효가 없으면 어떻하나 생각했다. 뭐..그렇다고 일부러 공격하라는 것은 아니지만 타이밍이 맞지 않으면 고객은 정확한 테스트를 할수 없기 때문이다. 그런데 이번 입질은 아주 작은 것이다.
정확하게 말하면 오후 4시30분에서 5시30분까지 약 1시간동안 ICMP 패킷을 이용하여 공격하였다.
공격 프로토콜을 보면 분명히 ICMP 패킷이지만 그때 상황에서 해당 웹서버 콘솔을 물려 보았을땐 분명히 SYN Flooding 공격이었다.
현재 SYN_RECV 현재 상태를 보이고 있었다. 이럴때 중요한 증상은 지금까지 경험에 비추 어 보면 다음과 같았다.
1. 해당 콘솔에서 외부로 PING 테스트를 하면 서버는 살아 있다.
2. 그런데 웹서버는 접속이 안된다.
3. 이럴때 증상으로는 서버가 약간 버벅거린다는 느낌과 처음 서버에 접속 했을때 콘솔에서 이상한 문자열이 주기적으로 Display 되면서 메세지를 뿌려준다.
이럴때는 우선 DDoS 공격 받고 있다고 생각하면 맞을 것이다, 물론 아닐수도 있지만 대부분 맞았었다. 그리고 나서 로그인을 하면 아래와 같은 명령어로 접속 상태를 살펴 본다.
# netstat -an
가장 간단한 명령이면서 현재 네트워크 상태를 알수 있다. 이럴때 보통 Time wait 나 establish 또는 실제 접속된 ip와 포트를 보여주는데 위 그림과 같이 syn 패킷을 보여 주고 있다면 대부분 syn flooding 공격이 높을 가능성이 많다.
우선 서버 정성화를 위하여 재부팅하여 모든 세션을 제거 하였고, DDoS BMT 장비에서 해당 유해 트래픽을 DROP 시킨 부분도 확인할 수 있었다.
아주 간략하게 써머리 정도를 해 보았는데 다음에는 공격 들어 오는 순간부터 리포팅 해 볼 예정이다. 사실 오늘도 공격당하고 있는 순간을 동영상 촬영을 했지만 아직 오픈 하기엔 조금 이른 것 같아 조금 더 추이를 지켜 보기로 하였다.
'Security Skill&Trend' 카테고리의 다른 글
| 한나라당 홈피 해킹 (4) | 2008/06/01 |
|---|---|
| TCP/IP stack to SYN attacks (3) | 2008/05/29 |
| DDoS 공격 분석 리포트 (4) | 2008/05/27 |
| 지자체는 정보보호에 힘써야-강원도 사이버대응센터 구축 (0) | 2008/05/27 |
| DDoS 공격에 대한 단상 (2) | 2008/05/24 |
| 개인정보 팔면 최고 5년형 (2) | 2008/05/23 |
TAG DDos
