선관위 디도스 부정선거에 대한 IT분야 종사자의 입장
Tweet디도스 부정선거 관련 몇가지 사안을 정리해 보겠습니다.
우선 공격을 받은 서버는 선관위 서버와 박원순 시장측 서버 두 곳입니다. 박원순 후보측 서버는 디도스(DDoS) 공격을 받은게 맞습니다. 문제는 선관위 서버입니다. 선관위 서버는 두 개로 보이는데, 하나는 www.nec.go.kr 이고 다른 하나는 info.nec.go.kr 입니다. 전자는 메인 웹사이트 페이지고 후자는 투개표 및 투표소 정보 웹서버입니다. 두 서버의 IP 주소가 다른걸로 보아 적어도 서로 다른 두 서버, 혹은 두 개의 서버군(대규모 웹사이트는 여러개의 서버를 하나로 묶어 내부 로드밸런싱을 함)인 것으로 보입니다.
선거일 당시 info 서버는 확실하게 접속이 안됐고 www서버는 일부 접속이 되기도 한것 같지만 결국 마찬가지로 접속이 안되기도 했습니다. 트위터에 올라온 에러화면을 보면 대표주소(nec.go.kr)가 접속 후 비정상 종료됐습니다. 이건 디도스의 특징일 수도 있고,내부 타임아웃(데이터 내부 조회 실패)일 수도 있기는 합니다.
선거일 아침 선관위 메인 홈페이지가 접속되지 않는 화면
또한 일부 제보에 따르면 당시 서버와 상관없이 웹서버 자체는 동작했고 데이터를 가져다 뿌려주는 부분만 죽어서 작동을 안했다는 이야기도 있습니다. 하지만 디도스 공격만으로는 데이터베이스 서버만 죽이기는 불가능에 가깝습니다. 유일한 가능성은 웹 페이지 프로그램을 잘못 개발해서 너무 비정상적으로 데이터 처리속도가 오래 걸릴 경우인데, 현실적으로는 일어나기 힘든 케이스 입니다.
보도에 따르면 200대의 좀비PC를 이용해 263MBps 의 용량(bandwidth) 으로 공격이 이루어졌다고 합니다. (보안뉴스 관련 기사 링크 ) 그런데 이 정도 bandwidth는 웬만한 접속만으로도 나온다고 합니다. 200대 좀비피씨의 공격도 3-4년전 사용되던 급의 서버만으로도 감당하고도 남는다고 합니다.
아래 이미지는 트위터에서 @yemharc 님께서 보내주신 멘션입니다. @yemharc 님은 네트웍 관련 분야에 종사하고 계시다고 합니다. 저도 서버와 프로그래밍 분야에 종사했지만 네트웍 분야에서는 저보다 더 잘 아시는 것으로 보입니다.
더 결정적인 것은 몇년전 디도스 대란 이후 정부 기관은 디도스 방어장비를 구매했다는 보도가 있으며 이 기사에 선관위가 명시되어 있다는 점입니다. 200대 좀비PC의 263MBps 수준의 공격도 못 막는 디도스 방어 장비라면 애초에 장비에 하자가 있지 않으면 불가능한 일이며, 그렇다면 한국 정부 전체 웹서버가 누구나 조금만 비용을 들이면 손쉽게 다운시킬 수 있는 수준이라는 이야기가 됩니다.
상식적으로 볼 때 박원순 당시 후보 웹사이트 정도라면 그 정도의 공격으로 다운될 수도 있기는 할걸로 보입니다. 그러나 선관위 서버가 저정도 수준의 디도스에 뻗는다는 건 전문가라면 아무도 안 믿을 소리입니다. 간단하게만 따져봐도 선거일에 선관위 웹서버를 통해 투개표 결과 조회나 투표소 조회를 해볼 사람은 몇천에서 몇만명 동시 접속 가능성이 고려되어야 합니다. 그런데 200대의 공격에 뻗다니요. 공격 작업의 특성상 정상 접속과는 다른 비정상 접속 방법이라고 해도 그건 말이 안됩니다.
결국 이 모든 의혹을 푸는 방법은 로그 파일 공개 하나 뿐입니다. 로그 파일 공개하면 디렉토리 구조가 드러나서 보안에 문제가 생긴다고 하지만, 그 정도 가지고 문제 안됩니다. 로그파일 안에 절대경로가 표시되지 않는 경우도 많고, 설령 절대경로가 표시되도 대부분의 절대 경로는 서버마다 비슷한데다 절대경로에 직접 접속 못하게 막혀 있습니다. 상대 경로로 구조를 파악한다 해도 그 정도 구조는 웹서버를 외부에서 프로그램으로 긁으면 다 나옵니다. 정 불안하면 야5당에서 지정한 전문가에게만 공개해도 될 일입니다.
경찰과 선관위는 그냥 로그만 공개하면 됩니다. 그러면 전문가들이 보면 다 나옵니다. 안그러겠지만 혹시 조작이라도 한다면 그 패턴만 살펴봐도 조작한거 보입니다. 그러니 빨리 공개하시기 바랍니다.
Barry Lee
Related Posts
-
10.26 부정선거 선관위 자료에 대한 추가 분석
Posted on 2012/2/28
-
나꼼수를 비판하는 경향신문과 언론에 대한 충고
Posted on 2012/2/22
-
10.26부정선거의 선관위 발표 보고서에 대한 분석
Posted on 2012/2/21
-
신종 트위터 피싱 정보 및 해결 방법 안내
Posted on 2011/12/22
Tags
Share This
축구와 사진을 사랑하며 트위터를 즐기는 평범한 직장인. 어머니와 아내, 두 딸들을 사랑하는 아들이자 남편이자 아빠. 그러나 공정하지 못하고 정의롭지 못한 것을 참지 못하는 늦깎이 열혈남. 
아하, 그렇군요. 263/200 = 1.315. 페이스북의 제 담벼락에 공유합니다.
정말 세상이 어떻게 돌아가는건지…이건 어느 한사람이 책임질 문제가 아닙니다. 정말 무섭네요..
진실이 아닌 이야기가 괴담처럼 퍼져서 댓글 답니다. 트위터 댓글 자체의 계산법도 문제가 있으며, DDoS 프로그램의 특성에 따라 그 정도면 파괴적입니다. 방화벽이라도 한번에 처리되는 세션수나 특징이 있기 때문에 완벽하게 네트워크를 보호하지 못합니다. 한마디로 IT 종사자가 얼마나 전문가인지 모르지만 디도스에 대해서 잘 모르고 추측성 음모롬만 달고 있습니다. 결론적으로 200mbps면 웬만한 서버 다운은 쉽습니다.
그리고 로그 파일에 재대로 디도스의 흔적이 남지 않습니다. 100mbps면 12.5MB/sec입니다. 한번에 서버 용량을 초과하는 세션을 물게 되면 10mbps라도 서버는 time out 됩니다. 그리고 선관위 방화벽은 만능 아닙니다. 정부기관 방화벽 대부분 셋팅이나 운영이 상식적인 수준 이하라는 점을 고려해야합니다. 지금도 봤을 때 세션 50만개면 선관위나 그 이상되는 사이트도 내려갑니다. 하도 답답해서 한마디 남깁니다. 님께서 이야기한 이 부분은 괴담이라 생각합니다.
정부기관 방화벽 셋팅이 대부분 상식 이하인지는 제가 잘 모르겠습니다만, 그 말 대로면 우리나라 정부기관 웹사이트는 누구나 마음 먹으면 하룻밤만에 다운시킬 수 있다는 말씀이시겠군요?
그리고 로그에 디도스의 흔적이 남지 않는다뇨? 디도스라는 건 서버나 라우터에 일정 수준의 로드를 만들어내는 건데 그러기 위해서는 정상적인 상황에 비해 훨씬 많은 접속 및 처리 요청이 들어오다가 서버의 처리 용량을 넘어서면 서버가 처리를 못하면서 급격히 로그 숫자가 줄어들어야겠죠.
저 개인적으로 증상을 분석해 봤을 땐 디도스에 의한 다운도 충분히 가능성은 있다고 봅니다만, 문제는 그 정도의 공격에 맥없이 무너질 정도가 맞느냐 아니냐고 보는데요.
그리고 당시 제가 선관위 웹사이트에 접속을 계속 시도해서 아는데, 당시 증상은 라우터나 파이어월이 프리즈된 상황은 아니었고 서버의 응답이 현저히 저하된 상황이었습니다. 그런데 그런 상황이면 당연히 파이어월이나 별도의 장비가 이런 패턴을 인식하고 필터링해 줬어야 하는 상황이죠.
님은 지금 서버와 방화벽, 그리고 디도스 전문 방어 장비를 혼용해서 말씀하고 계신데, 방화벽은 기존에 이미 있어야 하는 것이고, 7.7 디도스 대란 이후 별도의 디도스 방어 장비도 설치했다고 보도가 됐다는 겁니다. 그리고 이 장비는 제가 알기론 트래픽 패턴 인식이나 헤더 정보등을 모니터링해서 특정 IP에서 오는 공격을 차단해 주는 걸로 알고 있고요. 그렇다면 서버에 기록이 없더라도 해당 장비나 방화벽의 시스로그를 보면 알 수가 있는 거죠. 그런데 기록이 안남는다뇨?
남의 말을 괴담이라고 하려면 뭔가 좀 정확하게 설명을 하십시오. 제가 디도스 분야 전문가는 아니지만 나름 서버와 네트워크 만져본지 10년 넘은 사람입니다.
박원순 홈피의 로그파일을 공개했었고, 거기에 디도스 공격의 흔적들이 고스란히 남아 있는데 지금 자네 무슨 헛소리를 하는건가? 정신차리게나… -_-;
뭔 소리에요. 왠만한 대학 전산망도 그정도는 버팁니다.그리고 로그가 왜 안남아~~~~~! 서버 로그만 로그고 L4~7 단계의 네트워크 장비들의 로그는 로그가 아닌가? 왜 장비를 무시해! ㅋ 서버 로그 디비보면 ORACLE이든, MSSQL 이든 디비 커넥션 끊긴거 다 나와!
안해보고 해본것처럼 억지를 부리시는듯 …
펜티엄1 CPU 에선 263Mb/s 를 처리할수 없습니다. TCP 프로토콜상에서 자동으로 스피드 다운이 일어납니다. CPU가 처리하지 못하기때문에
선관위 서버는 펜티엄2 인가 봅니다 ㅋ
저도 펜티엄 1은 좀 무리가 있다고는 생각합니다. 그런데 펜티엄 1 본지 10년은 된 거 같네요.
사실 펜티엄 1 가지고 리눅스로 가볍게 서버만 돌리면 저정도의 “정상” 세션은 처리가 가능했었던 거 같습니다.
하지만 10년전 CPU인 펜티엄 1으로 새로나온 기법들까지 막을 수 있다고는 확신 못하겠네요.
그런데 선관위 서버가 펜티엄 1인가요?
안녕하세요~ 해커 C 다녀갑니다.
일단,, 어디까지나 수치계산으로만 보이긴 합니다..
내용 잘보고 갑니다.
디도스 공격을 받았다는 누구든지 털수 있다는 건데
로그파일공개 하세요
어차피 털려서 집내부도 공개 된마당에 또 털린들 어떠합니까?
대체 이런 얘기를 언제까지 봐야 되는지 모르겠는데, 웹서비스는 십중팔구 성능 병목점이 DB이고, 접속량 과다시 웹 서버는 버티지만 DB 서버가 죽는 일은 아주 흔합니다. 과거 네이버 등을 공격했던 디도스는 네트웍 장비까지 마비시킬 정도로 막대한 규모였지만, 반대로 소규모의 디도스라면 DB의 용량은 초과하되, 웹서버는 버티는 상황이 충분히 가능합니다.
디도스 방어 장비랑은 상관 없습니다. 어차피 트래픽 양 자체가 네트웍 장비를 마비시킬 정도도 아니었고, 디도스 방어 기능이 작동했든 아니든, DB는 다운될 수 있습니다. 이건 디도스 이슈라기보다 순전히 선관위 웹사이트의 성능 문제죠.
잘못된 이론이 계속 퍼지고 있는데, 이제 좀 그만했으면.
이론적으로는 웹 서버가 살아있는데 디비 서버만 죽을 정도의 로드가 걸릴 수는 있습니다. 그런데 그건 어디까지나 이론적이죠.
제가 본문에서 언급 안했는데, 선관위 서버는 자바 서블릿으로 되어 있습니다. 그 이야기는 서버가 톰캣 내지는 IBM계열 서버일 가능성이 높다는 소리이고, 정부기관이나 금융기관은 전통적으로 신뢰성 때문에라도 IBM 장비를 선호하는 경향이 있죠.
이런 자바 계열 서버들은 데이터베이스 커넥션을 무한정 여는게 아니라 일정 숫자의 커넥션을 미리 오픈해 놓고 컨넥션 풀을 만들어 두었다가 웹서버 서블릿에서 요청하면 커넥션을 배당합니다. 이 때 일반적으로 데이터베이스 서버에서 감당할 수 있는 커넥션 숫자로 준비해 두기 때문에 커넥션 풀이 부족해서 사이트가 안열리면 모를까, 데이터베이스 서버 자체가 뻗는 경우는 더 적은 걸로 압니다.
따라서 님의 주장이 전혀 일리가 없는 건 아니지만 그건 안좋은 설정과 삽질, 우연 등이 겹쳐야 벌어질 수 있을 상황이 아닐까 합니다
웹어플리케이션 성능관리가 주업인 IT종사자 입니다.
일단, JAVA Based 어플리케이션과 장비의 상관관계는 전혀 없습니다. 신뢰성의 이유로 공공기관 특성상 IBM 장비와 JAVA를 선호할 뿐이지요.
제 경험에 비추어 말씀드리자면,
1. 실제로 현업에서 접하는 웹 어플리케이션 성능의 병목구간은 절대 다수가 DB 입니다. (90% 이상)
2. WAS 가 DBMS에 접근할때 Connection Pool 을 사용하지만 이 수치가 의미있게 튜닝된 경우는 거의 없습니다. 대부분이 무조건 많은 수의 Pool 을 사용하도록 구성되어 있으므로 높은수준의 관리가 이루어지는 네이버,다음 정도의 인프라 관리가 아니라면 무차별적인 요청에 대해서는 DBMS 가 먼저 Hang 이 발생합니다.
3. 실제로도 대부분의 경우 DDOS 공격을 당할때는 네트워크 구간이나 웹서버 문제 이전에 DBMS 에서 먼저 문제가 발생됩니다. 즉 DDOS 공격시에도 웹페이지가 안열리는 최초의 문제는 DBMS 에서 응답을 받지 못해 발생하는 경우가 많습니다. 이는 웹, WAS 와 달리 DBMS 는 Cluster 형태로 여려대를 묶을수가 없기 때문이지요 (기껏해야 RAC로 2대 묶는정도 입니다.)
따라서, 제 결론은 트래픽의 양이 네트워크를 마비시킬 양이 안되더라도 특정 웹페이지에 포함된 Heavy Query를 지속적으로 호출하게 된다면 DBMS 서버는 언제는지 맛이 갈 수 있다는 이야기 입니다. 그리고 이런경우가 드문 경우가 아닌 웹 어플리케이션 성능이슈의 90% 이상으 차지하는 문제이기도 합니다.
더군다나, IT 수준이 떨어지고 거의 모든 관리를 외주업체에게 솔루션 별로 넘겨버리는 공공기관 IT 관리의 특성상 DDOS 공격에 대해 이런형태로 문제가 발생하는 경우는 너무나 당연합니다.
그 부분에 있어서는 저도 공감이 갑니다. 우리나라 웹 개발시에 충분한 시간을 들여 설계하지도 않으려니와, 개발 이후 해야 하는 데이터베이스 튜닝도 거의 제대로 이루어지지 않기는 하죠. 특히나 직접 개발하는 능력도 없으면서 외주 주고 접대받는 게 일인 공공기관이라면 말씀대로 커넥션 풀도 대충 왕창 만들어 놓고 주먹구구로 돌리다가 디비가 먼저 죽는 경우도 발생할 수 있을 듯 합니다.
문제는 이미 7.7 디도스 대란 이후 정부 기관이 디도스 방어장비를 도입했고 그 목록에 선관위도 있었다는 점, 그리고 그 장비가 정상 작동했다면 당연히 네트웍 트래픽의 패턴 인식을 통해 디도스를 방어해 냈어야 한다는 점이겠죠.
만약 말씀대로 디비만 뻗고 웹이 살아있는 상황이라면 그 상황이 되기 위해서는 그만한 트래픽이 먼저 발생했어야 하는 것이고, 이 장비가 그걸 먼저 막아냈어야 한다는 점이죠.
결국 서버 관리도 개판, 웹사이트 개발도 개판, 커넥션 풀 설정도 개 판, 디도스 방어장비 관리도 개판, 이 모든게 개판이어야 이 상황이 들어맞는 거죠.
그런데 정말 모두 개판이었을 것 같다는 생각이 들기도 하는게 더 슬프네요.
상식적으로 선거 하루이틀 칩니까? 그정도로 DB Pooling을 허접하게 하면 선거철 세션으로도 금새 죽을 수 있죠.공공기관들이 허접처리를 하는 부분도 있지만 그렇게 망쪼들 정도로 개판치지는 않습니다..
지금 막 이런 뉴스가 떴군요.
http://m.ohmynews.com/NWS_Web/Mobile/at_pg.aspx?cntn_cd=A0001666290
방어장비 안쪽은 문제 없었답니다.
동감입니다. 티맥스소프트 출신이고 한 때 금융망 서버 구축했었습니다. 119소방대, LG화재, 삼성생명, 흥국생명, 현대해상 등이 제가 짰던 레퍼런스입니다. 제 짧은 짐작으로는 과부하 공격에서 리소스 아웃이 데이터베이스 커넥션 풀에서 먼저 일어나는 것은 꽤 자연스럽습니다. 이번 디소스 공격이 TCP 상의 쓰리웨이 핸드쉐이킹 공격이 아닌 HTTP 과부하 공격이라는 게 더욱 그렇습니다.
사족인데, 이번 사건의 범행 기법과 별개로 저는 범죄 지령자를 VIP로 보고 있습니다.
로그 공개가 결정적일것 같고 전문가가 보면 딱 나온다고 하는데,(경찰에도 전문가 많죠) 공개란게 우리나라 사람들 대상으로만 이뤄질수 있는게 아니라서 좀 아닌거 같네요.
저도 DDoS 공격 트래픽 치고 너무 적다고 생각이 되는데, 이게 네트워크 장비 부하가 아니고 세션을 처리하는 웹서버 프로그램쪽이면 가능한 이야기라 생각이 듭니다. DDoS 대응 장비는 보통 네트워크단 이야기겠죠.
대충 OSI만 잘 알고, 이성적으로 생각해보면 그다지 이치에 벗어나는 형태가 아닌데, 너무 조급한 결론을 내리고 보시는건 아닌지 걱정됩니다. 특히 글제목으로 인해 非IT 종사자들의 오해가 더 깊어질까 걱정입니다.
네. 어쩌면 경찰 발표가 맞을 수도 있겠죠. 그럴 가능성이 0%는 분명 아닙니다. 그런데 공교롭게도 어제 경찰에서 1500대의 좀비 PC가 동원됐다고 추가 발표를 했네요. 뒤늦게 알았거나, 혹은 스스로도 설득력이 떨어진다고 느?겼나보죠.
그리고, 네트웍에 이미 디도스 방어장비가 설치되어 있었다고 합니다. 그런데 이 장비는 트래픽 패턴을 분석해서 디도스 공격일 경우 서버로 가는 걸 차단해 주는 장비랍니다. 그렇다면 이런 장비들이 멀쩡한데 서버가 죽는다는게 말이 될까요? 물론 설정 개판으로 해놓고 관리 엉망으로 했으면 그럴 수도 있겠죠. 그렇다고 해도 이런 의문 제기 자체가 의미가 있다고 생각됩니다
많은 전문가분들이 오셔서 긍정적인? 답변을 열심히 하시는 모습이 상당히 인상적이라고 느껴집니다.
좋은 의견 감사드립니다.
일단, 이글은 괴담에 가까운 수준입니다.
http://cafe.naver.com/speakout2012.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=144&
여기에 보시면, 실제 트래픽이 보일겁니다.
2Gbps (Giga bits per second)정도 될겁니다. 이정도면, 조회쪽을 담당하는 웹서버가 장애가 났을가능성 충분합니다.
보통 기가단위비트를 감당할 서버가 그렇게 많지 않습니다.
또한 서버로그파일을 공개한다고 해서, 문제가 해결이 될지 않을것 같습니다. 틀림없이 일부 DDOS형태의 공격은 있었을가능성이 있다는데 100원겁니다.
kt 클린존 빼고는 ddos 방지 시스템이 기꺼해야 2Gbit이내의장비밖에 없죠… 컴퓨터 대수가 문제가 아니라(컴퓨터 대수는 피의자들의 진술이니 신뢰성이 떨여지겠죠) 이정도 트래픽을 이겨낼 서버들 많지 않습니다. 행망도 마찬가지고요..
저 개인의견은 로그파일을 공개해라는 것은 문제를 해결하지 못한다고 보고, 아예 누가 선거구 투표소 위치를 변경을 지시했는지, 무슨 이유로 변경햇는지, 그 이유가 타탕한지를 따져 보면, 금방 그 연결고리를 알수가 있을겁니다.
보통 사람은 선관위 웹사이트를 공격한다고 투표율이 낮아질것라고 생각을 못하죠.. 내부 관련자 빼고는
저도 DDoS 자체는 있었을 것이라고 생각합니다. 문제는 과연 그게 전부였을까 하는거죠. 뭔가 추가적인 작업이 있었을 가능성이 있지 않나 합니다.
그리고 선관위는 선거 개표시 수십만 이상의 접속자가 폭주합니다. 그런데 250MBps 수준의 트래픽을 견디기 어렵게 구성됐다면 그게 더 이상할 거 같은데요. 그 서버는 지난 지방선거 등에서도 똑같이 사용했던 서버입니다. (물론 그 이후로 업그레이드가 됐을지 모르죠.)
나꼼수에서도 언급됐지만 2Gbps (250MBps) 정도의 트래픽으로 뻗을 수 있느냐는 지적이 보안 세미나에서 있었다고 하더군요.
물론 저도 말씀대로 투표소 위치 변경이 문제이지, 이게 DDoS냐 아니면 다른 내부 조작이 있었느냐 자체는 주요 증거는 될지언정 사안의 핵심은 아니라고 생각합니다.
대충 글을 읽으니…선관위에서 선거일 전날 광케이블전선을 모뎀선으로 바꾸었는가 보네요 ㅋㅋㅋ
트래픽에 대해 트윗한 사람입니다.
조금 어려운 말을 섞어 말하겠습니다.
특히 아래 설명을 자세히 보실 분들은 [ bps / Mbps / Gbps ]와 [ pps / Mpps ]를 유의해서 보아 주십시오.
네트워크 장비 중에서 제일 처음 패킷을 받기 시작하는 장비류인 L1, L2, L3 스위치의 스펙입니다. (다산네트워크 제품)
http://www.so-net.co.kr/v3/data/brochure/DASAN_L2,_L3_Switch_Brochure.pdf
여기에 보시면 Switching Capacity 라는 부분이 있는데, 2가지가 써 있습니다.
하나는 답글에서 계속 이야기 나오고 있는 bps(byte per second)입니다.
Mbps라면 Mega Byte, Gbps라면 Giga Byte가 되겠죠.
그리고 그 어느 장비도 Mbps 처리량은 없습니다. 모두 Gbps죠.
그리고 조금은 생소하실법한 Mpps 라는게 있습니다.
이것은 Packet Per Second라는 단위인데, 이 경우에는 마찬가지로 Mega Byte 단위입니다.
IEEE에서 정의된 IFG(Inter Frame Gap)는 96bit time, Preamble Time은 6.4u입니다.
이걸 풀어서 말하면 10Mbps를 기준으로 계산하면
IFG = 96Bit Time = 9.6 us (10Mbps = 0.1u)
Preamble Time = 6.4 us
64byte가 통과하는 시간은 64 * 8 * 0.1u – 51.2 u
1 / (Total Time) = 1 / (IFG + preamble + 64byte 통과시간)
= 1 / (9.6 + 6.4 + 51.2)
= 14,880 pps
사실 이 설명은 정확한 근거를 대기 위해 의미없이 써 놓은 것에 가깝고, 한 눈에 들어오게 말하자면 다음과 같습니다.
10 Mbps = 14,880 pps
1 Gbps = 1,488,000 pps
10 Gbps = 14.88 Mpps
100 Gbps = 148 Mpps
다만 여기서 유의할 점은, 모든 벤더들의 Backplane/Switching Fabric 용량은 Duplex(양방향)으로 표현됩니다.
한마디로 200Gbps 용량이라 표기되어 있다면 처리량은 절반인 100Gbps(148Mpps)가 됩니다.
그리고 이 모든것은 IEEE 표준안에 근거한 계산입니다.
이제 이걸로 본론으로 들어가겠습니다.
기사에서 나온 트래픽은 [ 263 Mbps ]입니다.
계산이 용이하게 270Mbps라 가정하고 pps로 전환하면 [ 401,760 pps ]입니다. 1Gbps도 안됩니다.
그럼 이걸 장비로 넘어가서 적용해 볼까요?
스펙 좋은것 볼것도 없이 램용량 64MB 장비들만 몇개 나열해 보겠습니다.
여기에 예시로 든 모든 장비는 해당 링크의 PDF 파일에 전체 성능이 명시되어 있습니다.
V2324G ::: 52.0Gbps
V2348 ::: 100.0 Gbps
V2324G-PO ::: 52.0Gbps
좀 더 자세하게 가 볼까요?
이번엔 램용량 128MB 장비들입니다.
V5224 ::: 48.0Gbps, 35.7 [ Mpps ] <- pps가 아닙니다.
V6424 ::: 17.6Gbps, 9.5 [ Mpps ]
장비 가격과 품질은 굳이 언급하지 않겠습니다.
다만, 다산네트워크를 검색해 보시면 [ 한국의 시스코 ] 라던가 [ 업계 최저가격 ] 이란 말을 많이 보시게 될겁니다.
마지막으로 이 답글에서 언급한 장비들은 적어도 08년 이전 제품들입니다. 부디 선관위 장비가 구형이라 어쩌고… 하는 말씀은 하지 말아주시길 부탁드립니다.
P.S – 저 다산네트워크 직원 아닙니다. 혹시 회사 선전으로 보일까봐… 쩝
아앜ㅋㅋㅋㅋㅋ 진짜가 나타나셨군요
Mpps = Million packets per second
Gbps = Gigabits per second
Mbps = Megabits per second
입니다. 님의 무식한 한번 웃고 갑니다.
kt가 당일한 발표해도 2Giga bits per second표기가 되어 잇지요..
그리고 참고로 it에서 소문자 b는 전부 bit입니다.
대문자 B는 바이트죠..
거의 100%인데, 모르는 사람들이 혼용해서 쓰는 바람에 혼란을 가져다 주는 겁니다.
http://cafe.naver.com/speakout2012.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=144&
제가 혼용해서 쓴 적이 있나요??
뭔가 글을 잘못 읽으신듯?
yemharc의 글
>>하나는 답글에서 계속 이야기 나오고 있는 bps(byte per second)입니다.
Mbps라면 Mega Byte, Gbps라면 Giga Byte가 되겠죠
>>>1Gbps도 안됩니다..
1Gbps도 안된다고 하는데, kt나 다른 언론사에 발표하는 것은 2Gbpds(bits per second)넘습니다. 이정도면 DDOS 공격이 맞습니다.
Barry Lee / December 4, 2011
>>아앜ㅋㅋㅋㅋㅋ 진짜가 나타나셨군요
위의 분은 정말 it모르는 분입니다.
국제표준이니 이런이야기 하는데, RAM나오고, 다산시스템도 나오는데, 계산식이나 내용이 거의 오류가많은데, 진짜 전문가라고 탄복하다니요…
그냥 이글을 삭제하세요..
확실히 이야기 하는데 이것은 괴담수준입니다.
하다 답답해서,
저 블로그에 글을 올려놓았습니다.
한번 보세요
hellobusker.tistory.com
말씀듣고 다시 잘 보니 bps와 Bps 의 개념에 대해 yemharc 님께서 잘못 쓰신게 맞군요. 왜 저렇게 쓰셨는지는 저도 잘 모르겠네요.
그리고 doka 님께서 꾸준히 말씀하시던, 그 정도의 트래픽에 장비가 뻗는다는 것과는 달리, LG앤시스의 이야기로는 자기들이 공급한 디도스 방어장비는 당시 공격받았을 때 아무 문제 없이 작동했다고 합니다.
위에 기사를 보시면 나옵니다.
아, 그리고 한번 단 댓글은 삭제하지 않겠습니다. 다만 doka 님께서 두 번 댓글을 다셨길래 하나는 pending으로 돌려놓았습니다.
디렉토리 구조는 빼고라도, 아니면 외부 전문가들에게만 열람할 수 있도록 access log 를 공개해야 할텐데요. 아니면 IP만이라도.
(그리고 이걸 공개하면, 여러 방면으로 검증이 가능하죠. 로그는 WAS의 액세스 로그에만 남는게 아니니까요.)
기껏해야 사는 곳 주소와 주민등록번호로 투표소 위치를 알려주는 페이지를 제작할 때 어떻게 짜면 Heavy Query를 만들 수 있는지 의문이 드네요. 모든 데이터 테이블을 전부 Join 으로 묶어서 만들었나? ㅡ,.ㅡ;;;;;;;
아.. 한가지 빼먹은게 있군요.
조회는 하지도 않고 접속만으로 공격 했다는거 ㅡ,.ㅡ;
그럼 Heavy Query를 만들려면 페이지 로딩시에 DB에 부하를 줄 수 있도록 짜야 하는데 아마도 페이지 스크립트 자체가 DB에 들어 있었나 봅니다.(제로보드냐!!!????)
아.. 생각해보니 그러네요..ㅋ
아놔.. 자기가 무슨 수천만건 수억건짜리 회계 데이터베이스도 아니곸ㅋㅋㅋㅋㅋ
기껏해서 투표소 위치 찾아서 리턴해주고 공지사항 게시판 정도 운영하는 데이터베이스에 무슨 헤비 쿼리 던질게 있겠어요.. 나참..
게다가 선관위 서버, 그러니까 관공서 서버인데다 자바기반 웹서버니까 데이터베이스는 오라클일 가능성이 꽤 높은데, 만약 오라클이라면 그런 정도의 쿼리로 뻗는다는게 더 이상하죠. ㅋㅋㅋㅋㅋㅋㅋ
좋은 글과 댓글을 통해 많이 배우고 있습니다.
저는 기술적 지식이 깊지 않아 트래픽 2기가가 많은 건지
적은 건지도 잘 모르고 있었습니다. 하여 이번에 비교를 해보려
알아보았는데 지난 2010년 위키리크스가 공격당했을 때,
1차 새벽녘이 2기가급, 2차 본공격 시 10기가급의 트래픽이
발생되었다고 하네요. 관련 기사 링크입니다.
http://www.zdnet.com/blog/networking/ddos-how-to-take-down-wikileaks-mastercard-or-any-other-web-site/422
http://ddos.arbornetworks.com/2010/11/round2-ddos-versus-wikileaks/
아무리 담당공무원이 무능(?)하고, 우연에 우연이 겹치고
겹쳐도 방어장비까지 도입한 국가기관, 그것도 선관위가
2기가급 트래픽공격에 마비되었다는 점이 상식적으로
이해가 가지 않습니다. 위키리크스 급도 안되게 관리되었다는
건 그 누구도 납득하지 못할 것입니다.
저는 이렇게 생각합니다.
정부가 먼저 선관위가 지난 2010년 DDoS 사태 이후 새롭게
수립되었을 사이버공격대응매뉴얼에 따라 정상적으로 대처했는지
부터 따져봐야 무엇이 문제인지 알기 쉬워지지 않을까 합니다.
또한 사이버 공격에 대비하여 광범위한 모니터링을 하고 있는
KISA가 새벽녘 DDoS공격을 인지하였는지, 어떻게 대응하였는지,
그리고 본 공격이 일어났을 때 어떻게 대처했는지도 공개하여야 합니다.대한민국 사이버보안을 맡고 있는 KISA의 지금까지의 대응태도는 무성의 하다 못해 의심스럽기까지 합니다.
좀 다른 접근이지만 당일 클리앙 회원들의 글들을 보고 분석해봤습니다.
http://clien.career.co.kr/cs2/bbs/board.php?bo_table=park&wr_id=9469069
종사자라고 하기엔 내용에 오류가 너무 많습니다.
너무 많다는 오류가 뭔지 좀 설명해 주셨으면 서로 도움이 될텐데 아쉽네요.
밑도 끝도 없는 “오류가 많네요” 라는 이야기는 좀 황당합니다.
죄송합니다. 써놓고 보니 제가 봐도 황당하네요. 보충설명이 있었어야 되는데.
일단 263mb/sec 의 의미를 어떻게 이해하고 있는지가 애매합니다. 263mb/sec 라면 bit로 환산하면 2Gbps에 해당하는 수치인데 저정도라면 대단히 큰 부하가 걸립니다. 멘션을 주신분은 저걸 263Mbps로 이해한 게 아닌가 싶습니다.
263Mbps라 하더라도 공격방법에 따라 서버를 마비시킬 수 있습니다. 디씨의 방법 프로그램 처럼 그냥 요청을 무수히 많이 던지면 서버의 서비스를 마비시키는게 가능하죠.
그 외에 여러가지 기술적인 방법이 있습니다. 따라서 단지 데이터 용량이 적다고해서 펜티엄도 마비시키지 못한다라고 하는 건 적절하지 않은 이야기입니다.
http://parkscom.tistory.com/1167111275
이 블로그에서 설명하고 있는 것이 이번 사건에 대한 가장 정확한 설명인 것 같습니다.
예의없이 한마디만 불쑥 던지고 간 점에 대해서는 다시 한번 사과드립니다.
네, 저도 2Gbps 가 작은 부하라고 생각하지는 않습니다. 하지만 선관위 해당 페이지는 개표시에 수십만명이 접속할 수도 있기에 그 정도의 부하는 버텨낼 수 있어야 한다고 생각합니다. 그냥 기업 홈페이지 수준이 아니기 때문입니다.
그리고, 사건 당시 선관위 서버는 LG앤시스에서 공급한 디도스 방어장비에 의해 보호받고 있었고, LG앤시스 측에서는 당시 장비가 문제 없이 요구되는 작업을 하고 있었으며 그 안쪽은 제대로 보호되고 있었다라고 말했다고 합니다.
개인적으로 디도스가 전혀 없었다고는 생각하지 않습니다. 문제는 그 디도스가 전부였느냐 하는거겠죠.
물론, 아시겠지만 애초에 선관위가 투표소를 대량으로 변경하지 않았다면 이런 기획 자체가 나올 일도 없었겠죠. 투표소가 그대로 있었으면 새벽에 투표소 검색을 할 리도 없으니까요.
이글은 괴담수준이므로 삭제해야 하는 이유
먼저 저는 현재 네트웍관리회사에서 일하고 있음을 먼저 밝힌다.
1. Barry Lee 가 it종사자라고 하는데, 현재는 네트웍관리와관련한 일을 절대로 하는 사람이 아니다. 그러므로 관련전문가라고 할수 없다
발췌
>>저도 서버와 프로그래밍 분야에 종사했지만 네트웍 분야에서는 저보다 (@yemhar분이) 더 잘 아시는 것으로 보입니다.
2. Barry Lee 가 언급한 @yemhar 이사람도 네트웍 전문가라고 할수가 없고, Barry Lee가 자신있게 DDos가 아니다 라고 이야기 한것도 @yemhar글에 많이 의존한것으로 보인다.
그런데, 트위터멘션도 그렇고, 댓글내용으로 보아, @yemhar 이사람은 그냥 네트웍 전문가가 아니라고 보면 된다.
네트웍 전문가라고 사칭할뿐이죠…
@yemhar글에는 오류가 너무 많은데, 몇가지오류를 언급하자면 :
오류1 >>자기경험을 비추어 264mb/sec 정도면 펜티엄1서버도 버틴다고 하는데, 그런 펜티엄1서버 존재하지 않는다.
>> 펜티엄1같은 pc급장비는 10/100Mbit Ethernet카드를 장착하는데, 100Mb이상의 트래픽을 감당할수가 없다. 초당 최대속도가 100Mb 이더넷카드가 200Mb를 감당한다. 무슨 개소리를….
오류2> 264mb/sec 관련오류
1. 실제 선관위 서버에 발생한 네트웍양 2Gbps(Giga bits per second)가 발생했다. 그런데 일부 신문에서 바이트로 환산하는과정에서 오류가 난것으로 하는데, 나꼼수에도 그랬듯, 2기가가 맞다. 그리고 그 단위는 초당비트이지 절대로 초당바이트가 아니다.
@yemhar 댓글을 보면 전부 바이트로 계산하고 있다.
트래픽밴드폭을 이야기할때는 전부 bit로 보면 된다.
메모리는 몇글자를 쓸수 있는지가 중요하기때문에 대문자B 즉 바이트단위로 표기하지만 네트웍속도나 대역폭은 bit로 표기한다.
일부 호스팅업체에서, 하루전송량단위로 계약하는 경우가 있는데, 이때 단위는 하루전송바이트로 표기한다. 이때에는 대문자B를 사용한다.
그래서 일부 트위터들이, 10기가 전송량이 월요금이 5만원도 안한다.
그리고 이정도면 절대 디도스가 아니라고 주장하는 트위터 글들이 많은데, 그때 이야기하는 것은 하루전송바이트이고, 선관위 문제는 초당 2기가 비트(bit)다.
초당 비트를 하루전송량으로 계산할려면
2 * 3600 * 24 / 8 =GByte가된다.
2. 250Mbit(초당250메가비트)트래픽의 양이 별개 아닌 트래픽이라고
네트웍 담당자라면 이런 개소리는 절대 못한다.
일단 kt요금표부터 보자.
http://www.kt-icc.com/guide/location_03.jsp
전용 100Mbps 월요금이 370만원되어 있다. 물론 할인하면 더 싸지겠지만, 한달에 370만원 , 초당 250Mb정도 커버할려면,
300Mbps로 정도 계약해야 겠다.
그리고 단순 서버한대로 운영하는 쇼핑몰인경우 50Mb정도되면 거의서버는 응답불능이라고 보면 된다.
단연코 펜티엄급 서버로 200Mbps를 감당할수 있는 서버는 이세상에 없다. 100원과 내손목가지 건다.
자신없으면 글을 삭제하던가.
3. 디도스공격으로 특정페이지만 공격할수 있나?
디도스공격으로 특정페이지를 공격하지는 않지만,
디도스공격이 발생하면, 디비서버가 맛땡이가 먼저 가는경우가 흔하다. 그래서, 디비서버만 맛땡이가 갔다고 디도스가 아니라고 하는것은 문제가 있다.
상식적으로 추론해보자.
내가 범인이라면, 디도스할수 있는 시스템을 가지고 있는데,
내부직원을 매수해서, 디비서버를 강제로 죽인다.
보안유지가 힘들뿐더러, 하위직공무원이 그런것을 한다.
이글을 읽는 당신같은면, 필리핀에서 국내의 좀비피씨를 이용해서 공격하는방법과, 내부직원을 매수하는방법중 두개중 어떤것을 선택하겟나요..
지금 투표소 변경과 관련하여, 선관위 문제가 많은 것 같은데,
선관위에 일하는 모든 공무원이 공범자인것 처럼 떠들어 되는것이 문제해결에 도움이 절대로 안됩니다.
펜티엄1이 초당 200M의 트래픽을 견딘다고요?
저도 이번 사건에 분개하고 있는 사람이지만 이건 좀 어처구니.
로그파일을 공개해봤자. 디도스가능성이 훨씬 높다.
나꼼수 김어준이 공개한 kt 트래픽 그래프에 나와 있다.
(http://hellobusker.tistory.com 여기에 분석해놓았음.)
현재 나꼼수 김어준과 문용식대표(나우컴대표)가 디도스가 아니라고 주장하면서, 강력하게 로그파일을 공개하라고 하는데, 그리고 그 이면에는 선관위 직원이 강제로 디비서버를 죽었다식으로 추측을 하게끔 여론몰이를 하는데, 이건 정말 문제다…
이번 선거방해문제와 관련하여, 선관위문제가 많을것으로 추측되지만, 내부직원이 강제로 디비를 끊었다 이건 아닌다.
또한 ip정보가 숫자에 불과하다고 하는데,
정말 숫자일뿐일까??
ip정보는 접속한 사람들의 위치정보를 포함한 자료이고, isp업체를 통하면, ip소유자정보도 알수가 있는데…. ip정보를 공개하라고.. 정말 김어준총수한테 코치하고 있는 전문가들 전부 나가서 디져라….
아래에 정리해서 댓글 달았습니다.
그리고 여기는 님의 블로그가 아닙니다. 제 블로그입니다. 댓글 달 때에는 최소한의 예의 정도는 갖춰주시기 바랍니다.
전부 나가서 디져라…???
저는 전문가가 아니라 컴맹이라 해당 안돼죠?
로그를 하나만 있다고 생각하시는 전문가는 아니시죠?
의문을 제기한 사람들이 그냥 의문점만 가지고 여론몰이 한다고 생각하세요?
그리고 어떤 ISP 업체에서 IP 불러주면 해당 IP의 위치를 바로 알려줍니까?
그 ISP 업체 이름좀 꼭 알려주삼!!
제가 베리님의 블로그에 자주 방문하는 이유는 여러가지가 있습니다만. 덕분에 비논리적인 주장을 기술적인 말로 살짝~ 덮는것도 가능하구나 라는 생각을 합니다.
네트워크 전문가시죠?
저 컴맹인데요.
진짜 전문가는 아무것도 모르는 사람이 이해가 되게 설명해 줍니다.
저좀 이해 시켜 보세요.
소원이예요~
ㅎㅎㅎ
(캡쳐 화면에 대해)
펜티엄 1은 60~300MHz클럭이에요.
요즘 개인 Nas보다 낮죠.
성능좋은(고클럭,고메모리) NAS로 20명만 동접해보세요. 어떻게 되나.
일단 이 글 자체가 일부 정제되지 않았거나 헛점이 있는 것을 인정하고, 이왕이면 이 글을 읽을 일반인께서 이해하기 쉽도록 부연 설명을 하겠습니다.
먼저, 일반적으로 웹서버는 크게 두 가지로 구성됩니다. 하나는 서버 한대가 웹사이트 하나로 동작하는 방법이 있고, 다른 하나는 서버 여러대가 묶여서 하나의 웹사이트로 동작하는 방법입니다. 물론 서버 한 대가 여러 개의 웹사이트를 표시하는 방법도 있습니다.(대부분의 웹 호스팅이 여기에 해당됩니다.) 하지만 선관위와 같이 대량의 접속이 예상되는 사이트는 아주 고가/고성능의 웹서버 한대 혹은 중간 규모 웹 서버 여러대가 하나의 웹사이트로 동작합니다.
하지만, 대부분 이런 웹사이트는 하나의 서버가 아니라 여러 대의 서버를 묶어놓은 후 그 앞에 로드 밸런싱 장비(L4 스위치 등)를 배치하거나 로드 밸런싱 기능이 있는 라우터를 배치합니다. 그렇게 하면 이 장비가 트래픽을 분산해서 여러 대의 웹서버로 보내게 됩니다. 이 웹서버는 똑같은 웹사이트를 표시할 수 있는 쌍둥이 서버라고 보시면 됩니다. 이 때, 외부의 해킹을 막기 위한 방화벽 장비를 라우터 앞, 혹은 뒤에 배치합니다. 이 방화벽 장비 중에는 디도스 공격을 막기 위한 기능이 있는 경우도 있고, 별도의 장비를 추가로 배치하기도 합니다. 이를 그림으로 그리면 이렇습니다.
그리고, 데이터베이스 서버(디비서버)는 웹서버의 뒤에 배치해서 외부 네트웍과 물리적으로 분리합니다. 이 때, 데이터베이스는 MySQL, 오라클, MS-SQL 등이 있는데, 일반 웹사이트에 많이 사용하는 MySQL은 분산 처리에 한계가 있지만 오라클이나 MS-SQL은 분산 처리가 가능합니다. 따라서 디비에 따라 대용량 디비 서버 1개만 두는 경우도 있고, 여러 개의 디비서버를 클러스터링하는 경우도 있습니다. 하지만 보통은 디비 서버의 경우 하나의 대용량 서버를 둔 후, 별도의 백업 서버를 배치하는 경우가 많습니다. 이 때 용량이 초과되는 것으로 보일 경우 기능 별로 서버를 분산하는 방법도 있습니다. 하지만 선관위 정도의 독립 사이트라면 그냥 하나의 서버에 두는 경우가 많다고 보시면 됩니다. (대신 백업 서버를 배치하게 됩니다.)
그림으로 그리면 이렇습니다.
인터넷 – 라우터 – 방화벽(디도스 방어장비) – 로드밸런싱 장비 – 웹서버군 – 디비서버(군)
이 때, 트래픽이 과도하게 많다고 하더라도 위의 분들이 언급한 트래픽으로 라우터나 방어장비, 로드밸런싱 장비를 다운시키는 경우는 많지 않습니다. 왜냐하면 이 장비들은 트래픽 처리에 특화되어 있기 때문에 자기들이 보장하는 트래픽 수준은 충분히 감당해 주기 때문입니다. 반면 내부에 있는 웹서버와 디비서버는 죽을 수도 있습니다. 이 때, 만약 웹서버가 여러대가 묶여서 충분한 용량이 확보됐고 디버서버가 한 대 뿐인 경우에는 디비 서버가 먼저 죽을 가능성도 무시할 수 없습니다. 반면 웹서버가 한 대라면 웹서버가 먼저 죽을 가능성이 있겠죠. 만약 웹서버가 낮은 용량 여러 개가 묶여있다면 어떤 놈은 죽고 어떤 놈은 살아있는 경우가 발생할 수 있습니다.
당시 증상이 어떤 사람은 화면을 봤고 어떤 사람은 화면을 못 봤다면 웹서버군의 여러 대 웹 서버 중 몇개는 죽고 몇 개는 살아있는 경우일 수 있습니다. 만약 데이터 표시 부분이 모조리 안 떴다면 디비 서버가 먼저 죽었을 수도 있습니다.
그런데 여기서 우리가 주목할 부분은 그 앞단에 있는 디도스 방어장비입니다. 이 장비의 공급자인 LG앤시스는 이 장비 이후의 네트웍이 정상 작동했다고 말했습니다. 그 말은, 디도스 방어장비가 디도스 공격을 방어해 냈다는 소리입니다. 이 장비가 하는 일은, 네트웍 트래픽을 중간에서 모니터링하다가 디도스 공격으로 추정되는 트래픽이 들어오면 그걸 앞단에서 막아주는 역할을 합니다. 그러면 이 장비 뒤에 숨어있는 웹서버는 디도스 공격의 피해를 입지 않게 되는 거죠. 그런데 이 디도스 방어장비가 잘 작동했으니 웹서버와 디비 서버는 죽지 않아야 하는 겁니다.
그렇다면 나꼼수 김총수의 말과는 좀 다른 결론이 나오는군요. 원래 방어 장비가 잘 작동했다면 디도스 공격이 있었더라도 웹서버와 디비서버는 죽었을 리가 없다. 다만 이 장비의 방어 설정이 잠시 꺼졌거나, 혹은 우회하도록 네트웍이 임시로 변경되었다면 웹서버는 공격에 노출되었을 겁니다. 만약 충분한 숫자의 웹서버 군이 존재하거나 혹은 웹서버의 용량이 차고 넘치는 반면 디비서버의 용량이 부족했다면 디비가 먼저 죽는 경우도 생겼겠죠. 하지만 그보다는 웹서버 일부가 죽고 일부가 살아있는 상태에서 일부 접속자는 조회가 되고 나머지 접속자는 조회가 안되는 상황도 생겼을 겁니다. 만약 두 서버의 밸런스가 절묘하게 잘 맞았다면 일부 살아있는 웹서버 중 디비 접속이 필요없는 정보성 페이지는 표시할 수 있었을 수도 있습니다.
자, 이만하면 웬만한 전문가들도 반박하기 어려울 걸로 생각하는데요.
그리고 위에 댓글 중에 참 불쾌한 댓글들이 많군요. 저도 이 바닥에서 10년 넘게 굴러먹었고, 오라클, MySQL, MS-SQL 데이터베이스 서버와 리눅스, MS IIS, 유닉스 웹 서버들도 다 만져봤습니다. 지적대로 네트워킹 쪽은 아닙니다만 관련 분야를 총괄하는 부장급으로도 있어봤습니다. 이런 이야기까지 하게 만들다니 참 어이가 없습니다.
마지막으로 여기서 우리가 펜티엄 1급이 250MBps의 트래픽을 받을 수 있느냐 없느냐 따지고 있는데 사실 다 쓸데없는 소리입니다. 저 개인적으로 디도스 공격 자체는 있었을 것으로 생각하고요, 하지만 계속 언급되는 250MBps, 즉 2Gbps 정도의 트래픽도 감당 못할 정도로 선관위 서버 Configuration이 엉망일 수는 없다고 생각합니다. 왜냐하면 계속 언급했듯이 선거 개표 정보도 동일한 info.nec.go.kr 에서 서비스되는데, 총선이나 대선의 경우 수십만 이상의 접속자가 동시에 붙는 것을 고려해야 하는 시스템이기 때문입니다. 그런데 이런 시스템이 그 정도를 못버틴다는게 더 이상하지 않겠습니까?
그렇다면 결론은 하나죠. 디도스 공격이 있더라도 내부에서 뭔가 추가적인 작업이 있었거나, 아니면 정말 최신 디도스 공격 기법이 나와서 수십만도 감당하는 네트웍과 서버를 죽였거나, 아니면 총선하고 대선 때에만 별도의 서버를 이용하거나 하는 거겠죠.
저는, 앞서 언급했듯이 당시 디도스 방어장비에 손을 댔거나, 혹은 내부에서 뭔가 작업이 있지 않았을까 의심하고 있습니다. 물론 아니기를 바랍니다.
괴담에 관한 변명이 왜이리 많은지 님의 글부터 따져 봅시다
(1)
>>일부 제보에 따르면 당시 서버와 상관없이 웹서버 자체는 동작했고
데이터를 가져다 뿌려주는 부분만 죽어서 작동을 안했다는 이야기도 있습니다.
하지만 디도스 공격만으로는 데이터베이스 서버만 죽이기는 불가능에 가깝습니다
=> 웹서버죽기전에 디비서버 죽는 경우가 흔합니다. 동의하지 않습니까?
(2)
Barry Lee가 본인보다 전문가라고 생각하신 @yemharc 이라는 사람은 네트웍관련 전문가 아닙니다.
그런데 님이 자랑스럽게 @yemharc 트윗글을 캡쳐했는데,
혹시 그내용들에 대해, 동의하는 겁니까?
본인이 생각하는 전문가가 우스운수준이니, Barry Lee보다 더 우스운 수준아니겠습니까?
(3) kt에 공개한 트래픽 그래프가 있습니다.
이그래프보고 외부공격은 없었다. 내부직원소행이다라고 생각합니까???
(4) ddos방지장비가 정상작동되었다고 엘지쪽에서 주장합니다.
ddos방지 장비나, kt클린존같은 서비스는 공격패턴을 감지해서, ip차단하는 방법으로 트래픽양을 줄입니다.
하지만 이런 시스템문제점은 오탐도 많아서, 정상적인 서비스 요청도 차단하는 경우도 생기고,
또한 ddos공격중에는 필터링하면서, 과부하도 같이 생기기때문에,
서버접속장애나 디비장애가 발생할 가능성이 있습니다.
그래서 장비가 정상작동했으니, 디도스외의 다른이유로 문제가 발생했다고 추론하는것은 합당하지않습니다.
(5) 마지막으로 님이 적은 글입니다.
>>>경찰과 선관위는 그냥 로그만 공개하면 됩니다. 그러면 전문가들이 보면 다 나옵니다.
>>안그러겠지만 혹시 조작이라도 한다면 그 패턴만 살펴봐도 조작한거 보입니다. 그러니 빨리 공개하시기 바랍니다.
저가 님보다 전문가 같은데, 저는 로그파일을 안보고 싶습니다.
안봐도, ddos징후는 있었기 때문입니다.
로그파일만 공개하면, 모든것을 다 알수 있습니까??
전문가라고 주장하는 님도 선관위 전산담당직원이 그당시에 일부러 끊었다고 생각합니까?
그럼 2시간여동안, 일부러 끊은 놓은것을 모든사람이 방치한다는 겁니까?
아웃소싱하던 엘지쪽사람들도 관여해야 겠네요…..
지금 선관위 홈페이지 가보세요..
전부 로그파일만 공개하면 된다는 식으로 이야기 합니다
로그파일공개여부는 이사건을 해결하는데, 별도움이 안된다고 생각합니다.
왜 이미 ddos징후는 있었고, 그렇다면, 내부전산직직원이 굳이 참여안해도 되는 상황이기 때문입니다.
참고로 전문가라는 사람, 특히 sns나 블로그활동을 왕성하게 하는 사람은,
주장에 따르는 책임이 존재합니다.
님의 팔로워가 18,000명이 넘습니다.
님이 @yemharc의 주장에 동의하면서, 로그파일만 공개해라 라고 하는데,
정말 웹서버로그, ip정보등을 자료를 공개해도 되는 자료가 맞습니까?
ip는 접속위치정보, 가입자정보등 보호되어야 개인정보 아닙니까???
요약)
1.로그파일을 공개해서 내부직원 소행이 아니라고 하면, 나꼼수나 니같은 분이 책임질수 있습니까?
2.로그파일은 필요하면, 언제라도 공개하는 자료가 맞습니까?
그러니까 님은 그냥 님의 정치적 스탠스를 가지고 편을 들고 계신거죠.
하나하나 답을 할지, 아니면 그냥 무시해버릴지 고민하고 있습니다. 왜냐하면 어짜피 논리를 가지고 답하든 말든 님은 자신의 주장을 펼 것이고, 이런 상황에서 결국 서로 자기 주장만 할 것이기 때문이죠. 하지만 간단하게 답만 적겠습니다.
1. 웹서버 죽기 전에 디비서버가 먼저 죽는 경우가 흔하다고 말하기는 어렵죠. 그런 경우도 있고 아닌 경우도 있을 뿐입니다. 제가 개발했거나 운영했던 서버 중에 문제가 된건 대부분 웹서버 쪽이었습니다. 적어도 저는 반드시 DB Tunning을 하는 편입니다. 서버 밸런스도 보는 편이고요. 다만, 제가 개발한 쪽이 아니라 그냥 웹 커뮤니티 쪽에서 디비가 먼저 죽는 쪽 보다는 세션을 열지 못하는 경우는 한두번 봤습니다.
물론, 사이트 개발 후 DB튜닝도 안했고 밸런스도 개판이라면, 그리고 DB서버 스펙이나 디스크 속도가 늦다면 DB서버거 먼저 뻗을 수 있다는 것 자체는 팩트입니다.
2. 인신공격의 오류입니다.
3. 아무런 근거도 없이 뭔 소린지? 전 KT 그래프 말 꺼낸 적 없는데요.
4. 도대체 뭔소린지? 방어장비가 오작동해서 웹서버가 죽다니요? 앤시스 직원이 내부는 보호됐다라고 말했다잖습니까? 그리고 필터링하면 과부하가 생기기 때문에 디비가 죽다니요? 필터링은 방화벽내지는 방어장비이니 과부하가 걸려도 그 장비에 걸려야죠. 이게 디비랑 무슨 상관입니까? 장비에 과부하 걸리면 애초에 접속도 안되죠
5. 님은 어떻게든 보호하고 싶은 모양인데, 로그 파일 까면 다 나올 수도, 하나도 안 나올 수도 있죠. 문제는 그 로그파일이 웹서버 로그만이 아니라 라우터와 방화벽, 웹서버, 디비서버의 로그를 다 말하는 것이고, 이 과정에서 이상한 부분을 발견할 수도, 발견할 수 없을 수도 있다는 거겠죠. 그러니 로그를 보자는 것이고, 공개적으로 까기 어려우면 야당이 선정한 전문가가 검토하게 하자는 거 아닙니까
6. 마지막으로, 이렇게 논의 끌고가는 이유가 뭡니까? 선관위는 관련이 없다? 그 주장하고 싶나요? 님 식으로 “괴담 유포하지 마세요!”
애초에 선관위가 30~40%나 되는 투표소를 갑자기 바꾸지만 않았다면 DDoS가 아니라 IDC가 폭파되도 선거에 별 영향이 없었을 거 아닙니까? 애초에 투표소를 바꾼건 선관위고, 그랬기 때문에 DDoS건 뭐건 서버 다운이 투표율에 영향을 주게 된거잖아요. 그러니까, 애초에 선관위가 그 짓을 안했으면 나오지도 않았을 기획이고, 선관위가 투표소를 대거 변경한 걸 몰랐다면 시행할 일 없는 기획 아닙니까? 설마 이 정도의 공격을 하는데 한 푼도 안 들었고 애들 장난이었다는 말에 동의하지는 않으시겠죠? 쉴드좀 그만치세요. 보기 역겹습니다.
그리고 18000명의 팔로어가 있으니 책임감을 가지라뇨? 도대체 책임감을 가져야 하는 팔로어의 숫자의 기준이 몇입니까? 10명 팔로어는 책임감 없어도 되고 100명은 좀 가져야 되고 1000명은 많이 가져야 되고 18000명은 아주 많이 가져야 합니까? 그런 말도 안되는 주관적인 말이 어딨나요? 그러면 수십만의 팔로어를 가진 나경원씨는 자화자찬 트윗하다 들통났으니 그것만으로 후보 사퇴했어야 하는게 아닌가요?
무시해버리시길 권해드립니다.
꼬투리 잡기하는걸볼때, 의도는 분명한것같으니, 쥐벼룩 아니면 관심병종자 일듯합니다.
정신건강에 해오우니 무시해버리시길..
DDoS 공격을 당했다면 log 기록을 볼 필요가 있을까요?
어짜피 수백대가 좀비 PC이며, 해외(특히, 중국)쪽에서 공격한 것들이 많을텐데 분석하면 우두머리를 찾을 수 있는지 DDoS가 맞는지 확인하려고 하는 것이면 맞겠지만, 큰 의미가 없다고 생각됩니다.
DDoS가 맞는지 확인 후 배후를 찾는게 낫겠지요.
컴맹 번개킴 드디어 영광스럽게도 베리님의 블로그에 첫글을 남깁니다.
읽다 웃다 읽다 웃다를 몇번을 반복한것인지 당췌… ㅎㅎㅎ
1. 로그를 공개하라고 외친 최초의 사람은 접니다.
2. 선관위 서버가 10.26일 당일 이상하다고 뭔가 냄새 난다고 10.26당일 김총수와 함께 있으면서 이야기 한사람도 접니다.
3. 기술적 문제를 다 덮어도 팩트는 06시경 부터 09시 경까지 투표소를 선관위 홈피에서 찾을 수 없었다는 것입니다.
분리하죠.
1. 김총수와 제가 무슨 로그를 까라고 명시한적 있나요? 우리는 시스로그와 각 장비들에서 만들어지는 각종 로그, 서버에서 작업할때 만들어지는 이벤트로그를 포함한 시스템 운영 전반에 관련된 로그를 요구하고 있습니다.
2. DDoS가 사건의 본질이 아니라고 했지 DDoS가 유일한 방해 방법이라고 한적 없습니다.
3. 선관위 서버는 그 태생적 한계상 웬만한 아니 상당한 트래픽을 감당하고도 뻗지 말아야 합니다. 특히! 투표날에는.
4. DDoS의 공격으로 논점을 흐리게 하지마세요. 왜냐면 우리(나꼼수팀)는 첨부터 원순닷컴과 함께 공격한것이 선관위도 DDoS로 뻗어서 투표소를 못찾은것이다 라는 논리로 나올것을 예상하고 있었기 때문입니다.
가장 먼저 감지하고 문제점을 들춰내기 시작한 제가 어느정도 정보를 가지고 있는지 지금은 말씀드리기 힘들지만 조만간 공개될 시간이 옵니다.
더 자세한 이야기를 올리고 싶지만, 이런 상황을 만든 누군가도 이 글을 볼 수 있다는 경계심이 글을 줄입니다.
저는 베리님의 블로그에서 지금까지 발표된 MRTG나 장비(LG엔시스 DDoS방지장비등등)들이 DDoS 공격과 서버들의 구성등 IT 종사자 (전문가 포함)의 시각에서 순수하게 기술적 논의가 있었으면 합니다. 개인적인 소망입니다.
저는 컴맹입니다.
제가 상식적으로 이해가 완전하게 되고, 그것을 누군가에게 비유를 하던지 그대로 전달하던지 컴퓨터는 모니터와 키보드 마우스로 구성되었다고 생각하는 평범한 국민들에게 아하~! 하고 진실을 쉽게 쉽게 아주 쉽게 설명하면 그것이 정답이라고 봅니다.
IT로 밥먹는 사람들끼리 건설적이고 유쾌한 토론장의 모습은 어떨까요?
이상 컴맹이었습니다.
(추신, 나꼼수팀 특히 김총수와 저는 얼렁뚱땅 아님 말고 식의 의혹제기를 하는것은 무쟈게 싫어합니다. 나꼼수 팟케스트에서 매 방송마다 이문제를 끊임없이 거론하고 DDoS보다 더 근본적인 투표소를 와장창 옮긴 문제를 통계뽑고 발표하고 왜 그런다고 보시는지요? 어떤 언론이 우리(꼼수팀)가 제기하는 문제를 문제라고 인식이라도 했나요?)
일단 한나라당의의 선거방해 사건을 밝힌것에 대해서는 감사의 말을 전합니다.
또한 님의 무슨 자료를 가지고, 있는지 모르는 상황이기 때문에 조심스럽지만,
님들의 주장에는 문제가 있습니다.
나꼼수 방송에서 주장했던것의 오류
1. 원순닷컴은 디도스고, 선관위는 디도스가 아니다. 그러므로 내부직원이 연루되었을 가능성이 있다.
=>선관위에도 디도스가 일어났을 가능성이 현재로서 그 반대의 가능성보다 훨씬더 많습니다.
2. 그러므로 로그만 보면 디도스인지 아닌지, 전문가가 보면 1시간이내 모든것을 알수가 있다.
=>디도스여부판명할때는 ip로그가 유효하지만, 내부직원연루를 조사할때는 시스템로그(쉘,디비로그)등 다른 로그가 필요합니다. 그런데 디도스인데, 굳이 ip로그공개가 만능인것 처럼 주장되어 떠도는 것은 님들에게도 일정책임이 있습니다.
3. 시스템로그공개가 불가능하면 단순숫자에 불과한 ip로그라도 공개해라..
=>ip로그공개가 이사건을 푸는 열쇠가 될수 없음을 이야기 드리는 것이며, ip는 단순숫자가 아닙니다.
제발 전문가에게 상의하고, 관련법률을 검토한후에 합법적으로 요구하시기 바랍니다.
4. 선관위 홈피는 어떤 이유에서도 뻗지 말아야 한다.
=> 당연한 요구고, 그부분에서는 선관위의 책임이 명백하게 있습니다. 하지만, 실제 어떠한 디도스공격에도 완벽하게 정상적인 서비스를 할수 있는 시스템은 거의 없다고 보시면 됩니다. 그리고 국가전산망이 실제 일해보면 조금 엉성합니다.
3 에 대해 한가지 얘기하고 싶은 것
Barry Lee 님도 그렇고, 나꼼수 측도 그렇고 그걸 불특정 다수에게 공개하자는 말이 아니잖아요. 왜 불특정 다수에게 공개하는 것처럼 말하면서 공격하는지 모르겠네요.
선관위는 공개 요청한 측에게만 자료를 제공하면 되고, 그 자료를 받은 측은 아주 제한된 사람들만 본 후 분석 결과만 내 놓으면 됩니다.
상식적으로 IP 자료를 받은 사람이 그걸 불특정 다수에게 공개할 권한은 없지 않겠습니까?
아주 작은 난독증이 큰 오해를 부를수도 있군요.
꼼꼼함을 가지며 넓게 보고 검증하는 부분도 필수라는 생각을 다시 합니다.
함께 일할 사람을 인터뷰할때 어떤 부분을 분석하라고 해야 하는지 좋은 샘플을 주신것에 감사합니다.
일반인이 알아 듣도록 약간 나름 소설을 써봄.
동네에서 10월 26일날 “선관위 빈대떡”의 공짜 빈대떡 행사가 있었습니다.
평소에 맛은 없었지만 무료라서 사람들이 아침에 몰려들기 시작했습니다.
참고로
“선관위 빈대떡” 가게에는 직원(서버)이 1명 또는 여러명이 있을 수 있습니다.
또 빈대떡을 만드는 주방장(데이타베이스)도 1명 또는 여러명이 있을 수 있습니다.
(1명보다 여러명이서 주문을 받거나 빈대떡을 만들면 좋겠죠)
또 “선관위 빈대떡” 가게의 입구가 졸라 비좁아서 여러명이 한꺼번에 못들어갈 수 있습니다.
또 “선관위 빈대떡”에서 고용한 직원이 신삥이라 주문 처리를 제대로 못할 수 있습니다.
암튼 사람들이 몰리자 바빠지기 시작합니다.
그런데 정상적으로 빈대떡을 받으려는 사람이 있기도 하지만
“무료 빈대떡” 행사를 방해하려는 “사람을 가장한 좀비”도 있었습니다.
이들 좀비는 근처의 “던킨 호떡”, “뚜레 콩떡”에서 사람들이 제대로 빈대떡을 받을 수 없게
수많은 좀비들을 고용하여 먹지도 않을 빈대떡을 받아오게 합니다.
“선관위 빈대떡”은 이렇게 정상적인 사람들과 방해를 하려는 좀비들의
무료 빈대떡 주문을 대량으로 받습니다.
다행히 “선관위 빈대떡”은 좀비들이 나타난다는 얘기를 듣고
가게 앞에 “좀비 감시 장치”를 설치하여 좀비를 가려냈습니다.
또 빈대떡 맛의 비결을 훔쳐가거나 쥐구멍을 만들어 들락날락 하려는 괴짜들을 막기 위해
경비원(방화벽)도 고용했습니다.
10월 26일 “무료 빈대떡” 행사 당일 사람의 불평이 터져 나옵니다.
* “선관위 빈대떡” 가게에 들어가지도 못했다는 사람.
* “무료 빈대떡” 주문을 못한 사람.
* “주문까지 했는데 빈대떡은 못받았다는 사람”.
* “느리긴 했지만 주문까지 하고 빈대떡을 잘 받았다는 사람”
이에 여러 사람들이 의문을 제기 합니다.
* “좀시 감시 장치는 잘 작동했다는데 어떻게 된거냐?”
* “빈대떡 만드는 주방장(데이타베이스)은 제대로 일을 했느냐?”
* “씨바 일부러 무료 빈대떡 안주려고 방해 한 것 아니냐?”
이에 대해 “선관위 빈대떡”에서
* 좀비 감시 장치는 진짜 잘 작동했는지
* 좀비 감시 장치가 작동했는데 왜 직원과 주방장은 바쁘다는 핑계로 고객 응대를 제대로 못했는지
* 직원(서버)들은 정말 일을 잘 했는지
* 주방장(빈대떡 만드는 사람)은 정말 일을 잘 했는지
* 악의적인 누군가가 일부러 직원과 주방장(빈대떡 만드는 사람)을 그 바쁜 시간에 심부름 보냈는지
이런 부분에 해명을 해야한다. 마 이렇게 생각합니다.
배리님이 좋아합니다.
컴맹인 제가 봐도 DOKA님 주장은 상대의 논점이 뭔지 모르고 말씀중이시네요;
1.나꼼수측 주장은 이렇습니다 : 원순닷컴과 선관위 모두 디도스 있었다. 그러나 선관위가 ‘디도스에 뻗었다’고 주장하는 것은 페인트모션이다.
2.로그파일을 공개하라. (로그 봤더니 진짜 오로지 디도스에 의해서 디비가 그런식으로 뻗은 거라면 나꼼수 주장이 틀린 것이죠)
3. (디도스공격트래픽에대한) ip리스트를 공개하라 (좀비PC Ip를 공개하라는 건데 문제가 있을지는 잘 모르겠음)
4. 종합하면, 선관위 서버가 뻗었는데, 정황상 & 상식적으로 ‘서버가 뻗을 정도의 공격’이 있었다고 보기 힘들다. 왜 뻗은 거냐? 자료를 보여달라. 진짜 디도스로 죽은거면 버러우 하겠다.
… 이런 논점들을 모르시는 건지 피하시는 건지.
DOKA님의 말이 맞을수도 있습니다. 그러나 현재 많은 사람들의 요구사항은 위 XERX님의 글처럼 이러한 의문점을 해소하기 위해(괴담이라면 더더욱 해 소해야죠) 선관위 로그파일을 공개하라는 것입니다. 물론 저같이 봐도 모를 대부분의 비IT 종사자에게 보여줄 필요 도 없구요 비공개로 민주당이든 한나라당 등에서 확인을 시키면 될일입니다. 국회 정보위에서는 이것보다도 더 한 국가비밀도 심의를 합니다. 그런데 왜 선관위에서는 부득부득 공개를 못한다고 하고있으며, DOKA님은 로그파일 봐도 모를수 있다며 아예 보려고 하지말자고 하시나요? (개인정보 등이 공개될수 있다는 주장에 대한 반론은 위에 적어놨으니 하지마시고…)
지금처럼 피의자 한명은 나경원 도우려고 했다, 다른 피의자는 모르는 일이다~ 이러는 상황에서 사태를 파악하는 열쇠 중 하나인 로그파일 검토는 당연한 일이라고 봅니다.
열람과 공개의 차이점 구분해서 사용하자는 취지라면 이해됩니까??
제가 괴담이라는 것은 선관위가 잘못이 있다. 없다가 문제가 아닙니다. 선관위가 문제가 있다고, 주장의 근거가 괴담이 되면안됩니다.
barry lee의 글은 자신의 글이 괴담수준인지를 모르는 한심한 전문가라고 생각하기 때문에, 태클을 거는겁니다.
barry lee괴담여부를 다시 정확하게 짚어드리죠..
판단해보세요
1.barry lee의 글: 디도스가 아니다.
>>또한 일부 제보에 따르면 당시 서버와 상관없이 웹서버 자체는 동작했고
>>데이터를 가져다 뿌려주는 부분만 죽어서 작동을 안했다는 이야기도 있습니다.
>>하지만 디도스 공격만으로는 데이터베이스 서버만 죽이기는 불가능에 가깝습니다.
>>유일한 가능성은 웹 페이지 프로그램을 잘못 개발해서 너무 비정상적으로 데이터 처리속도가 오래 걸릴 경우인데,
>>현실적으로는 일어나기 힘든 케이스 입니다.
반론 디도스가 발생을 하면, 디비서버가 먼저 죽는 경우는 흔하게 볼수 있는 현상입니다.
주위의 전문가에게 물어보세요.. 이런경우가 불가능한 경우인지
2. barry lee글: 이정도의 작은 트래픽으로는,선관위 서버가 다운되는 것이 이상하다.
>>보도에 따르면 200대의 좀비PC를 이용해 263MBps 의 용량(bandwidth) 으로 공격이 이루어졌다고 합니다. (보안뉴스 관련 기사 링크 )
>>그런데 이 정도 bandwidth는 웬만한 접속만으로도 나온다고 합니다.
>>200대 좀비피씨의 공격도 3-4년전 사용되던 급의 서버만으로도 감당하고도 남는다고 합니다.
반론>>
263MBps 비트로 환산하면 2.1Gbps정도됩니다.
3~4년전 사용되던급의 서버(아마 팬티엄1)가 감당하다고 하는데, 정말 괴담입니다.
2Gb정도 회선요금이 한달에 2천만원 넘습니다. 엄청난 트래픽 입니다. 2천만원 넘는 회선비를 지출하는 정부기관이 과연 우리나라에 몇군데나 될까요??
2.1Gbps 트래픽를 웹서버한대로 버틸수 있다고 하면, 제가 혀깨물고 자살하겠습니다. 그럼 믿겠습니까?
barry lee님 맞습니까, 이말에 동의하는 당신이 전문가 맞습니까?
좀비피씨가 200대가 아닐가능성은많습니다. 왜냐하면 그당시 로그를 본다고 하더라도, 정상트래픽과 비정상트래픽을 가려내려는것은 쉽지 않습니다. 보통 접속장애가 일어나면, 정상사용자도 재접속을 위해, 리플래쉬요청이 많기 때문에, 그렇습니다.
그래서 경찰이 범인의 말들을 인용해겟죠.. 범인들은 사실대로 이야기 하겠습니까? 최대한 숫자를 줄여겠죠..
3. yemharc 트위글 캡쳐.
전부가 괴담이라서 이야기 하기도 싫습니다.
이글에 동의하는 barry lee이라는 사람도 싫고요…
주장은 2번내용과 유사한 것같고 그 근거라고 보면 되겠지요
전문가라면 yemharc 트위글은 절대로 동의못합니다.
yemharc의 말이 사실이라면, 우리나라 네트웍회사들 전부 사기죄를 집어넣던가, 아니면, 부끄러운줄알고 자살하던가해야겠죠..
4. barry lee글
>> 200대 좀비PC의 263MBps 수준의 공격도 못 막는 디도스 방어 장비라면 애초에 장비에 하자가 있지 않으면 불가능한 일이며,
>>그렇다면 한국 정부 전체 웹서버가 누구나 조금만 비용을 들이면 손쉽게 다운시킬 수 있는 수준이라는 이야기가 됩니다.
반론:시중에 디도스방지 장비성능좀 알아보시고 이야기합시다.
디도스방지 장비들이 거의 2기가비트수준이내의 장비가 대부분입니다.
디도스 방지장비회사에 전화해서 물어보세요..
5.barry lee글
>>상식적으로 볼 때 박원순 당시 후보 웹사이트 정도라면 그 정도의 공격으로 다운될 수도 있기는 할걸로 보입니다.
>>그러나 선관위 서버가 저정도 수준의 디도스에 뻗는다는 건 전문가라면 아무도 안 믿을 소리입니다
반론 : 제가 아는 전문가들은 2기가비트로 서버가 다운될 가능성이 있다고 하는데, 내가 아는 전문가나 나는 왜 믿나요???
보통 웹서버는 50Mbps트래픽에도 거의 다운됩니다.
6. barry lee글
>>간단하게만 따져봐도 선거일에 선관위 웹서버를 통해 투개표 결과 조회나 투표소 조회를 해볼 사람은
>>몇천에서 몇만명 동시 접속 가능성이 고려되어야 합니다. 그런데 200대의 공격에 뻗다니요
200대의 공격이라고 믿지는 않습니다. 그렇다고 선관위 웹서버가 몇만명 동시접속가능성을 고려해서 설계해야 된다고요..
나참 어이가 없어서
통상 웹서버한대당의 동시접속수가 4096정도면 거의 맥시멈입니다. 이론상 그렇고, 실제 1000개 프로세서가 가능한 장비도 천개이상 되면 거의 죽거나 느려지는 것은 당연합니다.
그래서 1만동시접속을 고려한다면, 웹서버 10대 정도는 로드밸린싱정도로 묶어야 합니다.
방문자 만명과 동시접속소켓 만개의 차이점을 이해합니까?
7. barry lee글
>>결국 이 모든 의혹을 푸는 방법은 로그 파일 공개 하나 뿐입니다
>>경찰과 선관위는 그냥 로그만 공개하면 됩니다.
>>그러면 전문가들이 보면 다 나옵니다. 안그러겠지만 혹시 조작이라도 한다면 그 패턴만 살펴봐도 조작한거 보입니다.
>>그러니 빨리 공개하시기 바랍니다
kt그래프상에도 2G의 막대한 트래픽 실제로발생했고,
선관위나 경찰의 발표도 디도스가 맞다고 하고,
아웃소싱업체인 엘지머스기와 kt도 디도스가 발생했다고 하는 상황인데, 또한 님도 디도스가능이 있다고 부인하지 못하는 상황인데, 이런경우에도 로그만 보면 모든 의혹을 풀수 있습니까??
지금 거론되고 있는 ip로그등은 디도스여부를 판단할때에만 유효한 자료아닌가요??
로그를 공개해서 디도스가 맞으면, 선관위에게 면죄부를 줘도 됩니까??
이번선거방해사건은 디도스여부와 무관합니다.
그리고 로그파일공개가 만능이 아니라고 주장하는겁니다.
선관위를 조사해야지요. 누가 선거투표소장소를 변경지시했는지, 무슨이유로, 그것이 합당한 이유인지, 전수조사를 해야지요.. 이런상황은 행정정보공개법에 의한 당연하고 합법적인 요구이겠지요…
ip로그등을 공개주장하는 것은 안됩니다.
또한 공개하는 것도 개인정보이므로 문제가 발생합니다.
전문가들이 열람하도록 하는 조치정도는 가능하겠지요..
또한 걱정안하셔도, 로그파일을 열람한 전문가들이 한둘이 아니니, 걱정안해도 됩니다.
barry lee가 변명하면서 아이폰으로 급하게 써서, 다소 오류가 있다고 하는데, 본문전체에 사실과 근접한 내용이 거의 없다는 것이 저의 주장입니다.
barry lee가 왜 이렇게 시비를 거느냐, 또는 역겹다고 하는데, 그이유를 남기고, 더이상 글을 적지 않겠습니다.
왜시비를 거느냐?
저가 생각하는 이번선거방해사건은 천안함사건보다는 더 중대한 국가의 기본틀을 흔드는 사건이라고 생각한다.
만일 정부여당이 선관위와 공모하여, 젊은 사람들이 투표하는것을 방해하기위해 공모를 하였다면, 어떤 누가, 이것을 기획했는지 철저히 수사되어야 한다는 생각하고, 그 책임을 끝까지 추궁해야 된다고 생각하는 사람입니다.
하지만, 이러한 요구가 사실과 전혀 다른 괴담(괴상한 소리 또는 허위사실)이 되면, 선거방해사건은 흐지부지될 가능성이 많기 때문입니다. 그래서 비전문가가 주장하는 내용이 틀리면, 그내용이 틀렸다고 전문가가 알려줘야 한다는 것이 저희 생각입니다. 또한 전문가라면, 트윗상의 비전문가의 의견이 사실과 근접한지 괴담인지 여부를 판단해야 한다는 겁니다. 괴담이 쉽게 퍼지고, 사실을 바로 잡는것은 힘듭니다.
정말 이사건의 몸통을 알고 싶습니다.
전문가라면, 사실을 통해 주장을 합시다.
노대통령 죽기전에, 명품시계를 논두렁에 버렸다고 언론에서 괴담을 퍼뜨리고, 그괴담을 확인하게 위해, 보수단체가 논두렁에서 시계찾는다고 난리를 피고, 진보언론들은 노대통령 공격하기에 바빳던 것이 엊그제 일처럼 저는 느껴집니다.
아이폰5 출시하다고 난리를 피던 언론사가 오보에 대한 사과는 커녕,애플에게 속았다라고 언론기사가 나오는것이 우리나라의 현실입니다. 제발 전문가라면, 루머나 괴담을 근거로 주의주장하는것을 하지 맙시당. 현재를 이야기할때는 사실을 이야기하고, 미래를 예측할때에는 근거를 가지고 이야기 합시다.
카더라 통신 을 걸려낼수 있는 것은 자율적인 지성의 힘밖에 없다는 믿는 사람입니다.
자기글에 부끄러운줄도 모르는 사람의 블로그에 방문하는일도 그만 해야겠습니다.
님의 무례함과 눈 딱 감고 시비걸기 신공에는 당해낼 재간이 없군요. 안 오기로 하셨다니 참 다행입니다.
이 블로그 글 밑에 달린 댓글들은 하나도 안 보신 건지 참 궁금하네요. 님이 지금 제기한 이야기에 대한 모든 대답은 위에 여러 번 써 놨으니 댓글도 읽어보세요. 제가 댓글 작성을 열어놓고 그에 답변을 하는 이유는, 본문에 오류가 있더라도 댓글을 통해 서로 이야기를 나누고 그 문제점을 보완하기 위한 겁니다. 그러니, 계속 최초의 본문만 가지고 시비걸지 마시고 댓글을 보세요. 물론 다시 안 오신다고 하셨으니 안 오실테고 댓글도 안보시리라 믿습니다. 댓글 또 다시면 거짓말쟁이인거죠.
다만 다른 건 다 참고 넘어간 건데, 노무현 전 대통령을 걸고 넘어지신건 참으로 참기 어렵군요. 당신같이 아무데나 대고 노통의 이름을 걸고 넘어지는 이들이야말로 대부분 교묘한 알바들이 많더군요. 당신같이 노통의 이름을 여기저기 끌고 들어오는 인간들은 대부분 상대방이 반박하기 어렵게 하려는 수작이죠. 이따위 수작 집어치우고 다신 당신의 헛소리를 보지 않기를 바랍니다.
서로 예의들이 없으신 듯하네요.
지나가다 글을 보게 되었는데요 참 도움이 많이 되는 듯 합니다.
약간 정정해야할 부분이 있을 듯 해서요..^^
IP는 위치정보입니다.
(사실 위치정보조차 아니라고 이번에 판결이 나왔지요)
IP가 문제가 되는 것은 IP + 어떤것으로 인해 개인정보가 되기 때문입니다.
단순 access 로그의 경우 들어온 IP리스트나 들어온 count 정도 공개 시 다른 건 몰라도 개인정보 관련 법률은 적용되지 않습니다.
쥔장은 흥분하셔서, 글쓴후에 충분히 검토를 못하신것 같고,
관심병 종자님은 그 실수를 끝까지 물고 늘어지면서, 실수가 있으니 쥔장이 전문가가 아니다라고, 그러니 이 글이 괴담이다..이렇게 이야기를 하시고(?) 있네요. 말미에 노무현 대통령까지 들먹이시고..참 어줍잖은 인간입니다(주어는 없읍니다). 충분히 가치있는 글입니다. 강아지한테는 무시가 약입니다. 무시하시길…
안녕하세요. 글 쓴 후에 충분한 검토를 못했다기 보다 사실 이 글을 쓰게 된 이유와 그 뒤 상황은 이렇습니다.
지난 토요일(한국시간 일요일 밤)에 딸래미 어디 데려다 주고 앞에서 한 시간 정도 기다리면서 아이폰에서 이 글을 작성했습니다. 그것도 처음엔 트위터에다 쓰려고 긴 글 트윗으로 작성했죠. 그런데 하다보니 트윗으로 하기엔 내용이 너무 복잡하고 길더군요. 그래서 바로 복사-붙여넣기로 아이폰 워드프레스 앱을 이용해서 블로깅을 했습니다. 중간의 대화 이미지 부분은 그 뒤에 집에 와서 덧붙였습니다.
그리고 나서 트위터에 링크 올리고 다음 뷰에도 올렸죠. 그런데 이게 대박이 나서 방문자가 수천명을 넘어서고 리트윗도 수백회가 넘게 되더군요. 그리고 반박 댓글도 달리기 시작했죠. 그런데 그런 반박 댓글들이 달린 이후에 제가 본문을 수정하게 되면 댓글이 뭐가 되겠습니까? 당연히 그 댓글에 댓글을 달거나, 저 역시 댓글로 내용을 보완해야 한다고 생각했고, 그래서 그렇게 한거죠.
사실 본문 내용엔 약간 무리한 부분도 있습니다. 그래서 댓글에 그런 내용들을 보완했죠. 그리고 그 이후에 다른 분들이 이런저런 제보도 주시고 상황도 추가로 알려주셔서 생각이 보완되거나 바뀐 부분도 있습니다.
하지만 이게 디도스건 내부자 소행이건, 아니면 디도스+알파 이건 간에, 중요한건 투표소 대량 이전이 없었다면 이런 기획 자체가 생길 수가 없다는 거죠. 누군가가 투표소를 옮기게 만들었고, 그 후에 누구에게 디도스건 뭐건 공격을 지시했을 수 있죠. 괴담이고 음모론이라고 할 수도 있지만, 정말 경찰 발표대로 한 명이 술먹고 심심해서 해보라고 해서 디도스 공격이 먹혔다고 한들, 투표소가 대부분 그 자리에 있었으면 투표율에 무슨 영향이 있었겠습니까?
다만 저는 관련 분야에 대해 남들 보다 잘 아는 사람으로써 설명을 한 것이고, 그 와중에 기술적 오류가 있다면 서로 논의하면서 바로잡아가면 되는 것이죠. 중요한 것은, 논의가 이루어지면 그 다음으로 나아가야 하는거지, 자꾸 처음으로 돌아가서 처음에 넌 이런 부분이 틀렸어, 그러니 네 말은 전부 엉터리야 그러는 건 그냥 트집잡기에 불과하다는 겁니다.
아무튼 방문자 여러분께서 오해 없으시기를 바랍니다.
흠… 그냥… 공대 나와서 컴이나 네트워크 쪽에 관심만 많은 사람인데요…
디도스가 아니라고 주장하시는 분들의 의견…
뭐… 어떤 무리들처럼 무조건 억지만 부리는 느낌이랄까…
이 블로그 운영자께서 주장하시는 건,
만에 하나 있을지도 모르는 또 다른 원인(?)을 제기하는데…
반대편(?)에 서신 분들은… 괴담이니까 그냥 들을 필요도 없다… 이런 식으로만 논리를 펴심…
뭐… 용어들은 좀 어려운 부분도 있고 해서 자세히는 모르겠습니다만…
아무리 어려운 분야라 하더라도… 전문가들이 쉽게 풀었을 경우 보통의 국민이 이해할 수 있는 근거와 논리가 나오죠.
근데 여기 댓글에서 괴담이라고 주장하시는 분들에게는 그런 부분이 좀 약하네요…
사실 저는 처음에는 북한 소행이라고 생각했는데…ㅋㅋ;
안녕하세요. 고맙게 잘 읽었습니다. 컴 원리를 잘 모르지만 설명방식을 잘 따라가며 문제를 걸러낼 수 있었습니다. 그런데 이 사이트를 인쇄하려고 하면 인터넷 바깥으로 쫓겨나는 걸까요?
그런데 이 사이트를 인쇄하려고 하니 인터넷 바깥으로 쫓겨나네요. 왜 그럴까요?
우선 도스공격시 DB불사론자들에게 반론을 정리해 봅니다.
여러분들이 계산한 네트워크 장비의 용량은 디도스 공격에서 모두 버티겠죠. 하지만 DDos공격은 정의상 OSI7 레이어에서 트랜스포트 레이어의 공격이 아니죠. 디도스의 가장 낮은 수준의 공격도 최소한 TCP 레이어의 세션 레이어의 공격인 것이죠. (혹시 못 알아듣겠으면 반성의 시간을 가져보세요) 그러니 여러분의 네트워크 용량 계산은 무의미합니다. Dos 공격의 타격 대상은 network bandwidth가 아니라 Tcp socket backlog max count나 DB connection pool max count와 같은 세션 레이어나 어플리케이션 레이어 즉, 응용영역에 있는 것이죠.
특히 이번 공격은 Tcp Three-way handshaking 상의 공격이 아니라 Http 상의 과부하 공격이었죠. 즉 어플리케이션 영역입니다. 이 경우 자바 서블릿과 같은 싱글 스레디드 서버라면 DB connection pool max count 이상의 세션을 맺으면 웹 서버가 DB를 보지 못하게 되죠. 착각하지마세요. DB서버는 안 죽었어요. 다만 DB와 웹서버의 연결점이 포화되어 웹서버가 DB를 보지 못하는 것이죠. 이 현상은 과부하시 DB서버를 보호하는 DB 커넥션 풀의 자연스러운 특성이기도 하죠. 이상이 제 기술적 견해입니다. 즉 외부 공격으로도 이번 사태는 가능하다고 보고 있습니다.
정치적으로 이번 범죄의 지령자는 우리나라의 VIP가 아닐까 합리적으로 추정합니다. 이보다 죄질이 더 나쁜 범죄도 자주 저질러온 인물이니까요.
저는 티맥스소프트에서 한 때 금융망 서버 구축했었고, 레퍼런스는 119소방대, LG화재, 삼성생명, 흥국생명, 현대해상 등입니다. 지금은 게임해요.
제가 하고 싶은 이야기입니다. 위에서 네트워크 상황없이도, 그리고 DB가 죽어버리지 않아도 DDOS만으로 투표소 관련 정보는 선거 당일날 해당 현상을 보일 수 있습니다. WAS의 db connection 이상의 웹트래픽이 발생하면 당연히 그럴 수 있습니다. 게다가 www도메인과 info도메인으로 분리되어 투표정보만 따로 DDOS공격하면 주 www도메인 즉 메인 화면은 살아있는 게 되지요.
도대체 얼마나 무식하게 만들었으면 투표고 검색에 그만한 부하가 걸리나요? 그정도 부하에 다운될 DB라면 총선이나 대선때는 어떻게 버틸 수 있을까요? 그리고 선관위에 투표소가 도대체 몇개나 된다고 투표소 조회에 서버가 다운 됩니까? 더구나 선관위라면 DB서버도 한대가 아닐텐데, 만일 선관위 발표되로 그정도 공격에 다운 되었다면 서버 구축비중 절반 이상은 뇌물로 받아 먹었다고 생각할 수 밖에 없네요 총선이나 대선도 아닌 겨우 보선에서 투표소 안내 서비스가 다운되다니 아무리 생각해도 이해할 수 없군요
기술자는 말 필요없습니다. 그냥 시현해서 되면 되는거고 안되면 안되는겁니다.
한번이라도 되면 시현 해서 보여주면 됩니다. 근데 왜 검찰에서 범죄자들 다 잡았다고 해놓고 범죄현장 시현해보라고 하면 될텐데 그걸 못하나요?
오컴의 면도날을 잊지 마시길. 가장 쉬운 논리가 가장 진실에 근접할 수 있습니다.
반론은 대부분 ~카더라네요.
일단..반론을 하려면 최소한 선관위 정도 서버는 구축해 보고,
시운전하면서 일부러 그정도 로딩은 테스트 용으로 걸어본후에 반론했으면 싶습니다.
그냥 검색하다가 안타까워서 올립니다.
쇼핑몰 서버, 트레픽 운운하는 것 자체가 규모와 크기, 시스템 성능을 전혀 파악못한듯 싶습니다.
디도스가 됐던 뭐가 됐던 간에 선관위 홈페이지를 공격한 세력이 다름 아닌 현재 여당이라니
있을 수 있는 일인가요?
도대체 일어날 수 없는 일이 벌어졌는데 디도스니 뭐니 무슨 상관입니까? 어찌되었든 선거를 방해할 목적으로 선관위 홈페이지를 공격했다는건 부인할 수 없는 사실 아닙니까?