어제 오후 7시부터 서너 시간 동안 디도스(DDoS) 공격을 받았습니다. 이 때문에 사이트 속도가 느려지는 현상이 발생했습니다. 다행히 클라우드웨이즈(Cloudways)에 연락하여 상담하면서 대응하여 문제를 해결할 수 있었습니다.
디도스 공격이 의심되면 웹호스팅 업체에 연락하여 원인을 파악한 후에 대응할 수 있을 것입니다.
디도스(DDoS) 공격과 대응
디도스 공격 포착
워드프레스 블로그를 9년 이상 운영하면서 디도스 공격을 처음으로 받았습니다. 다행히 호스팅 업체와 연락하여 문제의 원인을 찾아서 대응하여 피해를 줄일 수 있었습니다.
살펴보니 어제 오후 7시부터 디도스 공격이 시작되었고 11시경에 정상화되었네요.
디도스 공격 1시간 정도 후에 사이트에 문제가 있는 것을 인식했습니다. 워드프레스 사이트 속도가 느리고 관리자 페이지에서 댓글에 답변을 다는 데 시간이 너무 걸리는 현상을 발견되었습니다.
서버의 모니터링(Monitoring) 페이지를 체크해보니 RAM 사용량이 매우 높고 CPU 사용량은 100%를 찍고 있었습니다.
다행히 과도한 공격은 아닌지 사이트가 다운되지는 않았습니다.
클라우드웨이즈에 연락하여 원인을 파악하다
Cloudways에 라이브 채팅으로 연락하여 CPU 사용량이 급증한 원인에 대하여 문의해보았습니다.
상담원은 Cron 작업, 봇 트래픽, 느린 PHP 페이지, 느린 MySQL 쿼리 등에 대하여 체크해보았고 몇 개의 IP가 서버에 스트레스(부하)를 초래하기 때문에 해당 IP들을 .htaccess 파일을 통해 차단해도 되는지 물어왔습니다.
상담원은 위의 그림과 같이 IP 요청 카운트가 과도한 IP들을 알려주었고, 저는 그냥 차단해 줄 것을 요청했습니다.
하지만 특정 IP 주소 몇 개를 차단했지만 동접자 수가 많아서 서버 다운타임(downtime)을 초래한다면서 서버에 대한 DDoS 공격 징후처럼 보인다고 합니다.
어떻게 하면 디도스 공격에 대응할 수 있는지, Wordfence나 워드프레스 방화벽 플러그인을 설치하면 완화가 가능한지 물어보니 제가 짐작했던 답변을 해주었습니다. Cloudflare Enterprise의 Under Attack Mode를 활성화할 것을 권장했습니다.
Cloudflare Enterprise is an addon that seamlessly integrates Cloudflare's CDN with our platform, enhancing the security and performance of your applications. It does this by providing the following features:
1.Enterprise DDOS Protection
2.Enterprise Global Content Delivery Network
3.Managed Web Application Firewall (WAF)
4.Image Optimization
5.Automatic Mobile Page Speed Optimization
6.Argo Tiered Caching
7.HTTP3 Support
8.Reserved IPs for Cloudways Customers
9.Brotli Compression
10.PCI DSS Compliance
IP를 차단하는 것으로 해결이 안 되면 클라우드플레어 서비스를 이용하는 것도 고려할 수 있을 것입니다.
클라우드웨이즈에서 Cloudflare Enterprise 애드온을 활성화하여 디도스 공격을 방어할 수 있습니다.
클라우드웨이즈에서 Cloudflare Enterprise 애드온을 이용할 경우 4개 이하의 도메인에 대하여 도메인당 월 4.99달러가 청구되고 도메인 개수가 늘어나면 비용은 저렴해집니다.
Cloudflare에서 직접 이용할 경우에는 비용이 제법 부담이 되는 것 같습니다.
저는 우선 IP 차단 후 추이를 지켜보기로 했습니다.
디도스 공격 문제 해결
디도스 공격이 의심되는 IP 주소들을 차단하였지만 CPU 사용량은 여전히 100%를 기록하고 있었습니다.
IP 주소 차단 후에 해당 IP 주소들로부터의 IP 요청이 줄어들었지만, 어느 순간부터는 2개의 IP 주소의 요청이 다시 늘어나기 시작했습니다.
이 때문에 다시 클라우드웨이즈에 연락했고, 고객센터 직원이 해당 IP 주소들을 Nginx에서 차단하는 조치를 해주었습니다.
상담원이 특정 IP 주소들을 Nginx에서 차단한 후에 램과 CPU 사용률이 정상화되기 시작하였고 사이트 속도도 다시 빠르게 나오기 시작했습니다. 담당자는 정상화되는 데 시간이 좀 걸릴 것이라고 하였지만 다행히 사이트가 곧바로 정상화되었습니다.
요약
처음 DDoS 공격을 당하는 것이라 당황스러웠지만 다행히 웹호스팅 업체의 도움을 받아 문제를 잘 해결할 수 있었습니다. 최근 들어 디도스 공격 단가가 저렴해져서 디도스 공격이 늘어났다는 소문이 있습니다. 어제 밤에 특히 디도스 공격을 받은 사이트가 많다고 합니다. 아무리 그래도 남의 사이트를 공격하는 행위는 자제했으면 좋겠습니다.
클라우드웨이즈를 이용하는 경우 라이브챗으로 고객센터에 연락하여 도움을 요청하면 공격에 이용되는 IP 주소들을 차단해줄 것입니다. 그래도 해결이 안 되면 차단했지만 여전히 IP 요청이 많은 IP들을 확인하여 차단했지만 IP 요청이 증가하니 완전히 차단할 수 있는 방법이 없는지 문의하면 추가적인 조치를 취해 줄 것입니다.
제 경우는 7개 IP를 차단 조치했고, 그 중 특히 4개의 IP 요청이 과도하게 많았습니다. 다행히 조금 빠르게 디도스 공격을 인식하여 대응한 것이 피해를 줄이는 데 도움이 되었던 것 같습니다. (클라우드웨이즈는 서버와 각 애플리케이션의 모니터링 페이지에서 트래픽 등을 모니터링할 수 있습니다.)
공유호스팅을 이용했다면 사이트가 감당하지 못하여 다운되었을 것으로 생각됩니다. 다행히 디도스 공격 규모가 작아서 그런지 서버가 잘 견뎌주었습니다.😄
클라우드웨이즈는 속도가 중요하거나 방문자 수가 많은 사이트, 여러 개의 사이트를 운영하는 경우에 괜찮은 선택 같습니다. 아래의 글에 있는 링크를 클릭하여 클라우드웨이즈에 가입하시면 할인 혜택을 받을 수 있고 이 블로그 운영에 도움을 주실 수 있습니다.
📍 클라우드웨이즈 가입 방법 (+ Cloudways 할인 쿠폰 & 프로모션 코드)
2024년 8월 24일 추가: 추가 디도스 공격
8월 23일 저녁에 디도스 공격이 있었지만 운이 좋게도 잘 차단했지만, 8월 24일 토요일 오후 3시경에 이전보다 더 큰 규모로 디도스 공격이 관찰되었습니다. 이번에는 외부에 있어서 제가 손을 쓰지 못하여 대응이 늦어졌고 사이트가 한 때 다운되었습니다. IP들을 차단한 이후에도 정상화되는 데 2~3시간 정도 걸렸습니다.😥
한 두 번의 공격으로 멈출 것 같지 않아서 클라우드플레어 무료 플랜에 가입하여 Under Attack 모드를 활성화했습니다. 며칠 간 모니터링이 필요할 것 같습니다.
2024년 8월 27일 추가: 5차 디도스 공격
지난 8월 23일부터 8월 27일까지 5일 연속 디도스 공격이 이루어지고 있습니다. 몇 가지 방법으로 대응하고 있습니다.
안녕하세요 선생님 수고하셨습니다. 이제 10월 끝났는데 요즘은 좀 나아지셨나요? 전 최근에 심해져서 선생님 글 보고 여러 시도를 좀 많이했습니다. 도움 많이 됐습니다.
안녕하세요, 욱욱님. 한 달 정도 지속적으로 디도스 공격을 받았습니다. 다행히 지난 달 말부터 잠잠하여 1개월 이상 조용하네요. 아마 공격을 포기한 것 같습니다.😄
클라우드플레어에서 디도스 공격 알림 메일을 보내도록 설정하면 디도스 공격 시 대응하기 쉬워질 것입니다.
https://www.thewordcracker.com/basic/%EB%94%94%EB%8F%84%EC%8A%A4-%EA%B3%B5%EA%B2%A9-%EA%B0%90%EC%A7%80-%EC%95%8C%EB%A6%BC-%EC%84%A4%EC%A0%95-%EB%B0%A9%EB%B2%95/
디도스 공격을 당하면 스트레스가 심해지는 것 같습니다. 디도스 공격 문제가 잘 해결되기를 바랍니다.
수고하셨습니다. 왜 디도스 공격을 하는지... 참 할 일 없는 사람들이네요.
디도스 공격이 계속 될 것 같아서 클플에 가입하여 Under Attack 모드를 활성화했습니다.😄
며칠 지켜보면서 공격이 계속되는지 모니터링할 생각입니다.