이 워드프레스 블로그에 대한 디도스(DDoS) 공격이 지난 8월 23일부터 지속적으로 발생하고 있습니다. 클라우드웨이즈(Cloudways)의 도움을 받아서 이제는 디도스 공격에 어느 정도 대응할 있게 되었습니다.
아래는 지난 1개월 동안의 유효 CPU (Idle CPU) 모니터링 화면을 캡처한 것입니다. CPU 사용량이 급증하는 시점이 디도스 공격이 발생한 시기입니다.
주말 동안 디도스 공격 발생
디도스(DDoS, Distributed Denial of Service, 분산 서비스 거부 공격)는 여러 컴퓨터를 이용하여 한 서버나 네트워크에 많은 트래픽을 일으켜 정상적인 서비스 이용을 방해하는 공격입니다. 이 방식은 서버의 자원을 고갈시켜 일시적으로 서비스를 마비시키는 것을 목적으로 합니다.
이 블로그는 지난달 이후 총 7차례 디도스 공격을 받았습니다.
상기 그래프에서 골이 깊은 시기에는 서버가 다운되거나 매우 느려진 시점에 해당합니다. 8월 27일 화요일 공격(5차 공격) 이후에 한동안 잠잠하여 포기한 줄 알았지만, 지난 주말에 다시 공격이 재개되었습니다.
이전에는 주로 낮시간대에 공격이 이루어졌지만, 지난 주말에는 심야 시간에 공격이 발생했습니다.
이 때문에 지난 토요일 자정부터 일요일 오전 4시 사이에 발생한 공격 때에는 아무런 대응을 하지 못하여 서버가 다운되었습니다.
어제 일요일에는 밤 9시부터 디도스 공격이 발생하여 오늘 새벽 1:30경에 중단되었습니다. 어제는 공격을 감지하여 클라우드플레어(Cloudflare)에서 Under Attack 모드를 설정하고 공격 IP들을 차단했습니다. 다행히 사이트가 다운되거나 느려지는 현상은 발생하지 않았습니다.
디도스 공격이 발생하면 다음과 같은 조치를 취하여 대응할 수 있습니다.
- Cloudflare에 도메인을 연결하고 디도스 공격이 발생하면 Under Attack 모드 활성화
- 호스팅 업체에 연락하여 공격에 사용되는 IP 차단
- 서버 사양 업그레이드
저는 지난주부터 발생한 디도스에 대응하기 위해 Cloudflare에 도메인을 연결하였고 서버 사이즈도 업그레이드했습니다.
모두가 잠 자는 심야 시간대나 외부에 있는 동안 공격이 발생하면 제대로 대응하지 못할 수 있습니다.
심야 시간대에는 Under Attack을 상시 활성화거나 우리나라와 미국, 일본만 제외하고 모든 국가의 접속을 차단하는 조치를 생각하고 있습니다.
평소에는 해외에서 이 블로그에 접속이 가능하지만 디도스 공격을 받고 있거나 심야 시간대에는 일부 국가를 제외한 대부분의 국가에서 이 사이트에 접속하는 것이 차단될 수 있습니다.
해외에 거주 중이시고 심야 시간대나 디도스 공격 발생 시 이 사이트에 대한 접속이 차단되는 경우 이 글을 참고하여 IP 허용을 카톡 일대일 비밀 대화방을 통해 요청할 수 있습니다.
7차 디도스 공격 요약
9월 1일 밤 9시부터 9월 2일 오전 1:30분 사이에 발생한 7차 디도스 공격의 규모는 가장 피크를 이루었던 4차와 5차 공격(9,000만 회 ~ 1억 회 이상의 HTTP 요청)에 비해 절반 정도 수준 같습니다.
4차 공격은 오전부터 저녁까지 지속되어 공격 시간이 길었기 때문에 HTTP 요청수가 특히 많았습니다. 7차 공격은 지속 시간이 4차에 비해 짧은 점을 감안하면 공격의 강도는 비슷한 것 같습니다.
디도스 공격은 이 블로그뿐만 아니라 다른 분들이 운영하는 워드프레스 사이트 몇 개에 대하여 거의 동시에 이루어졌습니다. 공격에 사용된 IP 주소도 동일한지는 확인하지 못했지만, 아마 비슷하지 않을까 생각됩니다.
심야 시간대에는 제가 잠을 안 자고 모니터링을 할 수 없으므로 당분간 심야 시간대에는 Under Attack 모드를 활성화하고, 공격이 잦아들면 심야 시간대에 일부 국가만 접속이 되도록 허용하고 다른 국가는 접속하지 못하도록 차단하는 조치를 취할 생각입니다.
본의 아니게 불편을 드려 죄송합니다.
공격자의 의도가 무엇인지 알 수가 없어 답답하지만, 아마 이 블로그를 폐쇄시키는 것을 목적으로 하지 않나 생각됩니다. 이 블로그는 수익형 블로그가 아니기 때문에 이 사이트 운영으로 인해 제가 얻는 수익은 별로 없습니다. 이런 개인 블로그를 타겟으로 하여 집요하게 공격하는 이유를 모르겠습니다.
이 블로그의 운영은 구글 AdSense 광고 수익에 의존하지만, 애드센스 수익이 지난해부터 급감하여 운영이 쉽지 않은 편입니다.
이 사이트나 네이버 카페에 배너 광고 또는 제휴 포스팅 등의 방법으로 운영을 지원하실 수 있습니다.
후원을 원하시는 분은 문의 페이지를 통해 연락주실 수 있습니다. 후원 페이지를 운영했지만 사실상 유명무실하여 내린 상태입니다😥
추가: 8차 디도스 공격 (2024년 9월 2일 월요일)
다시 매일 공격이 들어오고 있습니다. 9월 2일 월요일의 경우 4시 30분경에 시작되어 4시간 정도 지속되었습니다.
8차 공격 때에는 Cloudways의 Under Attack 모드를 활성화하고, 공격에 사용된 IP 주소를 차단하는 한편, 우리나라와 미국, 일본, 호주, 캐나다 등의 국가를 제외한 모든 국가의 트래픽을 차단하는 조치를 했습니다.
대부분의 국가의 유입을 차단한 덕분인지 위의 그래프상에서 볼 수 있듯이 이때까지의 공격 중에서 가장 적은 영향을 받았습니다.
클라우드플레어 통계 기준으로 총 HTTP 요청수는 6,000만 회 정도였습니다. 이는 지난 토요일과 일요일에 비해서는 높은 편이고, 피크 때에 비해서는 낮은 편입니다.
이제는 공격하는 시간을 바꾸는 전략을 사용하여 공격을 들어오는 것 같습니다. 하지만 전체적인 패턴은 비슷합니다. 4시간 정도 공격이 지속되고, 홈페이지(/)나 없는 URL(예: /u, /d, /l ...)에 대규모 접속을 시도하는 형식입니다.
가급적 매번 공격에 대하여 기록을 남기는 이유는 언제까지 공격이 이루어질 것인지가 궁금하기도 하고, 어떤 식으로 공격에 대응하는 것이 효과적인지에 대해서도 고민해보기 위한 것도 있습니다.
마치며
디도스 공격은 공격자가 누구인지를 알 수 없다는 점에서 특히 비열한 행위 같습니다. 이 블로그를 무슨 이유로 공격하는지를 알 수는 없지만 디도스 공격은 엄연한 사이버 범죄입니다. 이 블로그가 사라짐으로써 어떤 이득을 얻는지는 모르겠지만 디도스 공격을 위해서도 비용이 들 수밖에 없습니다. 이런 개인 블로그를 공격하여 얻는 이점에 비해 DDoS 공격을 위해 투입하는 비용이 더 높지 않을까 생각됩니다.
댓글 남기기