나꼼수 팟캐스트에도 언급되었던 사항에 대해서 보면 이렇습니다.  웹 서버는 구동중이었다고 합니다. 그런데, DB 연결에러는 났다고 하는데, 이것을 정리해보면 이렇습니다.

서비스 거부 공격(DDos)은 웹서버를 대상으로 하지 DB서버를 대상으로 하지 않습니다. DB는 자료가 들어가있는 곳으로 외부와는 격리된 형태로 존재하고 서비스를 합니다. 외부에서 DB를 바로 보고 접근하는 것은 아주 위험하기 때문입니다. 그래서 방화벽등의 보안 장비로 외부 망에서 접근하지 못하도록 설정을 하는 것입니다.

DB 서버 연결 에러가 웹 서버상에서 발생했다는 것은 DB서버가 문제가 되었다는 것이지 웹 서버가 문제가 되었다는 것은 아닙니다. 웹 서버는 정상적으로 작동을 하고 DB 연결상에서 문제가 되었다는 의미입니다. 웹 서버가 서비스 거부 공격을 받았다고 말하기는 어려운 상황이고 DB 서버에 문제가 생겼다고 말할 수 있는 상황이라고 보여집니다.  이런 연유로 나꼼수가 로그 파일이야기를 하고 있습니다만....

로그문제로 들어가보면, 웹서버는 사용자 접근 로그를 대부분 남깁니다. 그런데, 이 로그를 지울 수 있습니다. Windows 계열은 Text형태이므로 역시 조작가능성 존재합니다. 또한, 웹 서버상의 시스템에서 발생한 이벤트들도 로그를 남길 수 있는 데, 용량문제로 무한정 서버에 저장해 둘 수 없는 관계로 일정 시간이 지나면 백업을 받거나 지우는 경우가 일반적입니다.  DB의 경우도 거의 동일하다고 볼 수 있습니다.

즉, 이 상황을 놓고 보면 여러 가지 답변이 나올 수 있는 가능성이 있습니다.







댓글을 달아 주세요

  1. Favicon of http://daegul.tistory.com BlogIcon 데굴대굴 2011.12.07 18:53 신고  댓글주소  수정/삭제  댓글쓰기

    정확하게 표현하면 위에 그림에 웹서버 쪽에 빵꾸가 뽕~ 있어야 합니다.

    선거 당일 아침에 주변 투표장을 찾기 위해 아이폰으로 접속해본 사람의 입장에서 말하면 DDoS공격으로 판단할 수 없었습니다. 이유는 DDoS공격의 대부분은 UDP flooding을 이용합니다. 만약, TCP를 이용한 공격이었다면 10분 이내에 막을 수 있습니다. 이 두가지 DDoS 공격 모두 서버가 먼저 죽는게 아니라 대부분 네트워크가 먼저 죽습니다.
    하지만, DB와 연결되지 않은 서버의 페이지는 매우 잘 열렸습니다. 따라서 네트워크의 문제라고 보기 힘드므로 DDoS공격으로 판단하기 힘듭니다.

    그래서 나온게 DB와 연결되는 페이지만 공격하는 방법입니다. 이 공격은 애초에 완전한 접속을 기본으로 합니다. 공격자 입장에서 너무 많은 정보를 서버에 알려줘야 합니다. 그리고 완전 접속을 하는 것이기에 속도도 느리고 UCP/TCP를 이용한 공격보다 훨씬 많은 비용(더 많은 PC, 더 많은 회선)을 지불해야 합니다. 그런데.. 결정적으로 이 공격을 할 수 있는 툴은 아직 보지 못했습니다. (비슷하게는 나오지만 효과는 없습니다. 직접 만들면 모를까..)

    이번 껀은 개인이 진행하기에는 너무나 큰 스케일의 공격을 컴맹 수준의 사람이 자의로 했다는 건데.... 진실은 어딘가에 있겠지요....



티스토리 툴바