이번 주제는 DDOS 공격을 방어한 케이스를 소개합니다.

배경소개 : 현재 운영중인 쇼핑몰 사이트에 10일 전부터 유럽과 독일 캐나다 등에서 알수 없는 IP에서 대량의 트래픽이 발생했습니다. 로그 분석 결과 좀비 PC를 통한 무차별적으로 한 곳에 접속이 몰리는 현상이 발생했습니다.

원인분석 : 로그분석결과 분단 약 1000회 정도의 IP접속이 추적되었습니다. IP는 특별한 패턴이 없지만 동일 IP로 3~6회 정도 접속하는 경우가 있었습니다.

1차 대응 : 쇼핑몰이 돌아가고 있는 운영체제는 우분투이기 때문에 ufw와 iptables를 통해 동일 IP에서 1분내에 5회 정도 접속이 있을시 jail영역에 넣어 놓고 IP를 차단

2차 대응 : mod_evasive를 통해 동일 환경이 접속하는 경우 badlog에 해당 패턴을 넣고 접속 차단

3차 대응 : 무차별적 접속이 DB와 웹서버쪽 리소스에 영향을 주고 있어서 해당 DB와 웹서버의 커스터마이징 실시.

기본적인 3차 대응 정도로 해당 DDOS의 공격은 방어가 성공하였습니다. 다만 해당 패턴이 아닌 syn 이나 ack 혹은 기타 포트를 통한 공격 방어도 추가적으로 대응해 주어야 합니다.

잇다 팀에서는 좀 더 세밀한 DDOS공격에도 대응이 가능합니다. 한번에 모든 셋팅으로 한번에 해결되는 것이 아닌 패턴에 기반한 방화벽 커스터마이징도 지원합니다. 해당 문제로 고민 중이신가요? 잇다인에서 해결해 드리겠습니다.