2016년 나무위키 DDoS 공격사태

주의. 사건·사고 관련 내용이 있습니다.

이 문서에는 실제로 발생한 사건·사고에 대한 자세한 내용과 설명을 포함합니다. 불법적이거나 따라하면 위험한 내용도 포함할 수 있으며, 일부 이용자들이 불쾌감을 느낄 수 있으니 열람에 주의하시기 바랍니다. 또한, 실제 사건·사고를 설명하므로 충분히 검토 후 사실에 맞게 수정하셔야 합니다.

또한, 이 틀을 적용하시려면 적용한 문서의 최하단에 해당 사건·사고에 맞는 분류도 함께 달아주시기 바랍니다. 분류 목록은 분류:사건사고 문서에서 확인하실 수 있습니다.

1. 개요
2. 공격
3. 분석
3.1. 트래픽 그래프
4. 대응
5. 부산물 : CloudFlareDDoS 방어 솔루션

1. 개요

나무위키가 DDoS 공격을 받아 일시적으로 접속이 불가능해진 사건.

나무위키의 서버가 잠시 느려지거나 끊기는 일은 나무위키/서버 다운 문서에 기록된 바, 여태까지 많았지만 DDoS 공격을 통해 서버가 잠시라도 마비된건 처음이다.

2. 공격

  • 2016년 2월 6일 오후 4시 46분 02초경, 공격이 시작되어 서버가 곧 다운되었다.
  • 5시 1분경에 서버가 복구되었다.

  • 복구와 함께 즉시 CloudFlare의 DDoS 차단 루틴이 적용되고, DDoS 공지가 올라갔다.

  • 5시 20분경에 점검이 시작되었다.
  • 5시 30분에 완료된다고 했으나 2월 6일 5시 26분에 들어 서버는 다시 접속이 가능한 상황이고 DDoS 공격을 받았다는 메세지도 사라졌다.
  • DDoS 차단 루틴이 적용된 후, 나무위키 뷰어에서의 접속 시도시 503 에러가 뜨며 접속이 불가능하다. 해당 뷰어의 동작 구조 상 CloudFlare의 DDoS 차단 루틴 처리를 하지 못한다.스크린샷 2월 7일 임시 대응 후 업데이트를 배포하고 있다.

  • CloudFlare의 DDoS 차단 루틴으로 인해 외부 사이트에 나무위키 링크가 걸리지 않게 되었다.

3. 분석

아래 스크린샷들은 namu가 공개한 것이다.

3.1. 트래픽 그래프

위 그래프를 보면 DDoS 공격으로 인해 나무위키의 트래픽이 갑자기 폭발적으로 증가하였다는 것을 알 수 있다.

3.2. IP

39.117.106.68

115.139.66.56

119.204.82.232

14.44.43.60

221.152.198.33

121.169.15.19

121.188.182.111

221.143.54.35

211.205.229.194

112.150.30.17

118.39.78.75

1.244.213.203

175.213.17.34

211.116.121.98

121.152.112.77

58.237.43.106

175.124.74.220

60.253.48.2

183.105.225.206

121.154.15.209

203.251.126.181

122.43.5.40

218.238.211.43

121.136.84.252

60.253.46.251

125.187.168.64

110.11.98.138

121.88.198.115

175.215.23.65

124.5.16.244

211.213.74.50

1.176.70.193

3.3. 로그

해당 시간대의 웹서버 로그. 최근 변경 페이지를 공격한 것을 알 수 있다. 유저 에이전트를 보면 Windows 8.1 64비트에 구동중인 크롬 44.0.2403.157 버전으로 위장해서 공격한 것으로 보인다.

상식적으로 저 아이피 전부가 정확히 일치하는 환경일리는 만무하니 DDoS 공격 프로그램에 고정값으로 하드 코딩된 것으로 보인다. 일반인을 위해 말하자면, "모든 아이피가 브라우저, OS 등을 포함한 환경이 완전히 똑같을리는 만무하니 공격 프로그램에 미리 각 IP마다의 환경들이 짜여진 것으로 보인다."는 뜻이다.

게다가, 브라우저에서 현 주소 대신 다른 주소로 접근하라는 HTTP 응답코드 HTTP 302를 보냈음에도 받은 주소로 재접속을 시도하는 다른 정상적인 브라우저들과는 달리 계속해서 동일 주소로 접근을 시도하고 있는 모습이나, 해당 페이지 외의 CSS나 JS 파일은 일체 불러오지 않는 모습을 봐서 쉽게 정상적인 접근이 아님을 알 수 있다.

4. 대응

나무위키의 현 노선을 바꾸지 않는 한 사실상 불가능하다.

공격 후 서버를 복구한 뒤에 CloudFlareDDoS 방어 루틴이 적용되었지만, 이는 임시방편일뿐 추후 같은 규모, 심지어는 이보다도 더 큰 규모의 공격이 일어났을 때의 대비는 돈을 투자하지 않는 이상 거의 불가능하다.

나무위키는 앞으로 이와 같은 규모, 혹은 더 큰 규모의 DDoS 공격을 받을 수도 있다. 계속 DDoS 공격을 받으면 서버 측이 서비스를 거부하거나 CloudFlare측이 플랜 업그레이드를 강요할 수 있기 때문에 구 엔하위키엔젤하이로처럼 계속 서버를 옮겨다니거나 유목위키, 아예 망해버려서 흑역사가 될 수 있지 않느냐는 우려가 나오고 있다.겨우 리그베다 위키 에서 갈라져 나왔는데... 하지만 클라우드플레어는 이보다 훨씬 더 큰 규모인 500Gbps에 달하는 공격도 방어한 전적이 있고, 나무위키도 DDoS 방어 옵션이 들어간 유료 플랜을 사용중이기에 잘만 대처한다면 큰 문제는 없을 가능성이 크다. 오히려 걱정해야 할 것은 취약점을 이용한 해킹. 위와는 달리 쉽게 막을 방법이 없기 때문이다.

5. 부산물 : CloudFlareDDoS 방어 솔루션

이 사건 이후로, IP 변경시 나무위키에 접속할 때 마다 Checking your Page...라는 문구에 하얀 화면과 함께 약 5초 뒤 문서로 넘어가는 현상을 겪는데 이것은 이 사태의 잔재로 적용된 CloudFlare DDoS 차단 루틴으로, CloudFlare에서 자동으로 이 접속이 DDoS 공격을 위한 악의적인 접속인지 아닌지 판별해주는 것이니 위키러들은 자신의 컴퓨터 혹은 스마트폰에 이상이 있는지 아닌지에 대해 너무 놀라지 않아도 된다.

이 솔루션 때문에 접속이 불가능하다는 유저가 있으나, 이미 나무위키 초기부터 https가 아닌 http나 no-ssl로 접속할 경우에도 적용되던 루틴이었고, 위에 언급된 바 이 사건으로 DDoS 방어가 불가능하다는 약점이 알려졌으므로, 외부공격이 없어도 최소 1년간은 이 솔루션을 계속 적용할 것 같다. 만약 또 공격이 이루어지면 이 솔루션이 영구 적용될 가능성도 있다. 모바일에게는 영구 지옥

최종 확인 버전:

cc by-nc-sa 2.0 kr

Contents from Namu Wiki

Contact - 미러 (Namu)는 나무 위키의 표가 깨지는게 안타까워 만들어진 사이트입니다. (static)