2016년 나무위키 DDoS 공격사태

덤프버전 : r20180326

분류


주의. 사건·사고 관련 내용을 설명합니다.
이 문서는 실제로 일어난 사건·사고의 자세한 내용과 설명을 포함하고 있습니다.

1. 개요
2. 공격
3. 분석
3.1. 트래픽 그래프
4. 대응
5. 부산물 : CloudflareDDoS 방어 솔루션


1. 개요[편집]

2016년 2월 6일 오후 4시 46분경 나무위키가 DDoS 공격을 받아 일시적으로 접속이 불가능해진 사건.

나무위키의 서버가 잠시 느려지거나 끊기는 일은 나무위키/서버 다운 문서에 기록된 바, 여태까지 많았지만 DDoS 공격을 통해 서버가 잠시라도 마비된건 처음이다.

2. 공격[편집]

파일:내부서버접속실패.png
  • 2016년 2월 6일 오후 4시 46분 02초경, 공격이 시작되어 서버가 곧 다운되었다.

  • 오후 5시 1분경에 서버가 복구되었다.

파일:namuDDoS.png
  • 복구와 함께 즉시 클라우드플레어의 DDoS 차단 루틴이 적용되고, DDoS 공지가 올라갔다.

파일:디도스점검.jpg
  • 오후 5시 20분경에 점검이 시작되었다.

  • 오후 5시 30분에 완료된다고 했으나 2월 6일 오후 5시 26분에 들어 서버는 다시 접속이 가능한 상황이고 DDoS 공격을 받았다는 메세지도 사라졌다.

  • DDoS 차단 루틴이 적용된 후, 나무위키 뷰어에서의 접속 시도시 503 에러가 뜨며 접속이 불가능하다. 해당 뷰어의 동작 구조 상 Cloudflare의 DDoS 차단 루틴 처리를 하지 못한다.스크린샷 2월 7일 임시 대응 후 업데이트를 배포하고 있다.
파일:링크실패.png

  • 클라우드플레어의 DDoS 차단 루틴으로 인해 외부 사이트에 나무위키 링크가 걸리지 않게 되었다.

3. 분석[편집]

아래 스크린샷들은 namu가 공개한 것이다.


3.1. 트래픽 그래프[편집]

파일:스크린샷 2016-02-06 17.31.45.png
위 그래프를 보면 DDoS 공격으로 인해 나무위키의 트래픽이 갑자기 폭발적으로 증가하였다는 것을 알 수 있다.

3.2. IP[편집]

39.117.106.68

115.139.66.56

119.204.82.232

14.44.43.60

221.152.198.33

121.169.15.19

121.188.182.111

221.143.54.35

211.205.229.194

112.150.30.17

118.39.78.75

1.244.213.203

175.213.17.34

211.116.121.98

121.152.112.77

58.237.43.106

175.124.74.220

60.253.48.2

183.105.225.206

121.154.15.209

203.251.126.181

122.43.5.40

218.238.211.43

121.136.84.252

60.253.46.251

125.187.168.64

110.11.98.138

121.88.198.115

175.215.23.65

124.5.16.244

211.213.74.50

1.176.70.193


3.3. 로그[편집]

파일:스크린샷 2016-02-06 18.06.55.png


해당 시간대의 웹서버 로그. 최근 변경 페이지를 공격한 것을 알 수 있다. 유저 에이전트를 보면 Windows 8.1 64비트에 구동중인 크롬 44.0.2403.157 버전으로 위장해서 공격한 것으로 보인다.

상식적으로 저 아이피 전부가 브라우저, OS 등을 포함한 환경이 완전히 똑같을리는 만무하니 DDoS 공격 프로그램에 고정값으로 하드 코딩[1]된 것으로 보인다.

게다가, 브라우저에서 현 주소 대신 다른 주소로 접근하라는 HTTP 응답코드 HTTP 302를 보냈음에도 받은 주소로 재접속을 시도하는 다른 정상적인 브라우저들과는 달리 계속해서 동일 주소로 접근을 시도하고 있는 모습이나, 해당 페이지 외의 CSS나 JS 파일은 일체 불러오지 않는 모습을 봐서 쉽게 정상적인 접근이 아님을 알 수 있다.

4. 대응[편집]

나무위키의 현 노선을 바꾸지 않는 한 사실상 불가능하다.

공격 후 서버를 복구한 뒤에 클라우드플레어DDoS 방어 루틴이 적용되었지만, 이는 임시방편일 뿐이며 추후 같은 규모 혹은 이보다도 더 큰 규모의 공격이 일어났을 때의 대비는 돈을 투자하지 않는 이상 거의 불가능하다.

나무위키는 앞으로 이와 같은 규모, 혹은 더 큰 규모의 DDoS 공격을 받을 수도 있다. 계속 DDoS 공격을 받으면 서버 측이 서비스를 거부하거나 클라우드플레어 측이 플랜 업그레이드를 강요할 수 있기 때문에 구 엔하위키엔젤하이로처럼 계속 서버를 옮겨다니거나 유목위키, 아예 망해버려서 흑역사가 될 수 있지 않느냐는 우려가 나오고 있다.겨우 리그베다 위키 에서 갈라져 나왔는데... 하지만 클라우드플레어는 이보다 훨씬 더 큰 규모인 500Gbps에 달하는 공격도 방어한 전적이 있고, 나무위키도 DDoS 방어 옵션이 들어간 유료 플랜을 사용중이기에 잘만 대처한다면 큰 문제는 없을 가능성이 크다. 오히려 걱정해야 할 것은 취약점을 이용한 해킹. 위와는 달리 쉽게 막을 방법이 없기 때문이다.

5. 부산물 : CloudflareDDoS 방어 솔루션[편집]

이 사건 이후로, IP 변경시 나무위키에 접속할 때 마다 Checking your Page...라는 문구에 하얀 화면과 함께 약 5초 뒤 문서로 넘어가는 현상을 겪는데 이것은 이 사태의 잔재로 적용된 Cloudflare DDoS 차단 루틴으로, Cloudflare에서 자동으로 이 접속이 DDoS 공격을 위한 악의적인 접속인지 아닌지 판별해주는 것이니 위키러들은 자신의 컴퓨터 혹은 스마트폰에 이상이 있는지 아닌지에 대해 너무 놀라지 않아도 된다.
파일:디도스 차단 루틴.png


[1] 풀어서 말하면 공격 프로그램에 미리 각 IP마다의 환경들이 짜여진 것.

관련 문서