조선닷컴이 접속 불능 상태에서 복구되자 마자 “사상 초유”의 인터넷 대란이 일어났다고 크게 기사를 냈는데..
Tag: 공격
이번 인터넷대란의 원인은 Slowris DDOS공격인듯…
오늘 2009년 7월 7일 네이버 메일을 비롯하여 청와대, 조선일보, 한나라당, 옥션 등 각 분야 1등이라고 할 수 있는 사이트들이 오후 6시~7시를 시작으로 접속 불가능한 현상이 6시간째 지속되고 있습니다. 아래 글은 http://hackaday.com/2009/06/17/slowloris-http-denial-of-service/ 포스트 내용이고 그 아래는 제가 번역한 내용입니다. A positive side effect of the hack is that the server does not crash, only the HTTP server is affected. His example perl implementation, slowloris, is able to take down an average website using only one computer. Once the attack stops, the website will come back online immediately.
이런 동시 다발적인 장애가 우연은 아닌것 같고.. 매우 상징적인 사이트들만 장애가 발생한 것으로 봐서 인위적인 공격에 의한 것 같습니다.
2~3주 전 아파치 웹서버가 DDOS에 취약점이 있다는 메일을 받았는데…
대략 내용은… 패킷을 천천히 보내면서 마치 정상적인 커넥션을 맺은 상태로 서버가 인식을 하게 한 상태에서..
미완성 HTTP헤더를 전송하는 방법으로 커넥션이 계속 대기 상태가 지속되게 하는 방법이라고 합니다.
아무래도 이전의 DDOS 공격과는 정 반대의 패턴으로 진행되는 공격에 별 힘도 써보지 못하고 그냥 무너지는것 같은 느낌이.. 2003년 인터넷 대란과 마찬가지로 이번 사태도… 7.7인터넷대란이란 이름으로 역사에 기록되지 않을까…–;
[RSnake] has developed a denial of service technique that can take down servers more effectively. Traditionally, performing a denial of service attack entailed sending thousands of requests to a server, these requests needlessly tie up resources until the server fails. This repetitive attack requires the requests to happen in quick succession, and is usually a distributed effort. However, [RSnake]’s new technique has a client open several HTTP sessions and keeps them open for as long as possible. Most servers are configured to handle only a set number of connections; the infinite sessions prevent legitimate requests from being handled, shutting down the site. This vulnerability is present on webservers that use threading, such as Apache.
RSnake는 서버를 더 효과적으로 다운시킬 수 있는 DOS 공격 테크닉을 개발했다. 전통적으로 DOS 공격은 수천개의 request를 서버에 전송함으로서 진행했지만 이번 공격 방법에서는 서버가 죽을 때까지 서버의 리소스를 꽁꽁 묶어버린다. 이 반복적인 공격은 request가 짧은 순간에 연속적으로 보내져야 가능하며 보통 분산된 작업(여러 사람의 참여?)이 되어야 한다. 그러나 RSnake의 새 기법은 HTTP 세션을 일단 열어 놓고 가능한 오랜 시간동안 유지시키는 방법이다. 대부분의 서버는 설정상 제한된 수의 커넥션만 처리하도록 설정되었다. 이 “무한 세션”은 정상적인 request가 처리되는 것을 막고 해당 사이트를 다운시켜버린다. 아파치와 같이 쓰레드를 사용하는 웹서버의 경우 이 공격에 대해 취약점이 존재한다.
이 해킹의 긍정적인 side effect는 서버 자체를 다운시켜버리는 것이 아니라 HTTP 서버에 대해서만 영향을 가한다는 것이다. 이 기법에 대해 Perl로 작성한 예제인 slowloris 를 사용하면, 일반적인 웹사이트를 단 한대의 컴퓨터를 사용하여 다운시켜버릴 수 있다. 공격을 중단하면 해당 웹사이트는 즉각 정상으로 회복될 것이다.
Slowris 관련 링크:
http://hackaday.com/2009/06/17/slowloris-http-denial-of-service/
http://ha.ckers.org/slowloris
http://isc.sans.org/diary.html?storyid=6622
공격코드 http://ha.ckers.org/slowloris/slowloris.pl