•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
r25 vs r26
11
[include(틀:회원수정)]
22
* 관련 문서: [[나무위키/서버 다운]]
33
44
[include(틀:사건사고)]
55
[목차]
66
== 개요 ==
77
2016년 2월 6일 오후 4시 46분경 나무위키가 [[DDoS]] 공격을 받아 일시적으로 접속이 불가능해진 사건.
88
99
나무위키의 서버가 잠시 느려지거나 끊기는 일은 [[나무위키/서버 다운]] 문서에 기록된 바, 여태까지 많았지만 [[DDoS]] 공격을 통해 서버가 잠시라도 마비된건 처음이다.
1010
== 공격 ==
1111
[[나무파일:내부서버접속실패.png|width=600]]
1212
* 2016년 2월 6일 오후 4시 46분 02초경, 공격이 시작되어 서버가 곧 다운되었다.
1313
1414
* 오후 5시 1분경에 서버가 복구되었다.
1515
1616
[[나무파일:namuDDoS.png]]
1717
* 복구와 함께 즉시 [[Cloudflare|클라우드플레어]]의 DDoS 차단 루틴이 적용되고, DDoS 공지가 올라갔다.
1818
1919
[[나무파일:디도스점검.jpg]]
2020
* 오후 5시 20분경에 점검이 시작되었다.
2121
2222
* 오후 5시 30분에 완료된다고 했으나 2월 6일 오후 5시 26분에 들어 서버는 다시 접속이 가능한 상황이고 [[DDoS]] 공격을 받았다는 메세지도 사라졌다.
2323
2424
* ~~[[DDoS]] 차단 루틴이 적용된 후, [[나무위키 뷰어#s-2.3]]에서의 접속 시도시 503 에러가 뜨며 접속이 불가능하다. 해당 뷰어의 동작 구조 상 Cloudflare의 DDoS 차단 루틴 처리를 하지 못한다.[[:파일:Screenshot_2016-02-06-22-57-49.png|{{{#green 스크린샷}}}]]~~ 2월 7일 임시 대응 후 업데이트를 배포하고 있다.
2525
[[나무파일:링크실패.png]]
2626
2727
* [[Cloudflare|클라우드플레어]]의 DDoS 차단 루틴으로 인해 외부 사이트에 나무위키 링크가 걸리지 않게 되었다.
2828
== 분석 ==
2929
아래 스크린샷들은 [[namu]]가 공개한 것이다.
3030
3131
=== 트래픽 그래프 ===
3232
[[나무파일:스크린샷 2016-02-06 17.31.45.png]]
3333
위 그래프를 보면 DDoS 공격으로 인해 나무위키의 트래픽이 갑자기 폭발적으로 증가하였다는 것을 알 수 있다.
3434
=== [[IP]] ===
3535
>39.117.106.68
3636
>115.139.66.56
3737
>119.204.82.232
3838
>14.44.43.60
3939
>221.152.198.33
4040
>121.169.15.19
4141
>121.188.182.111
4242
>221.143.54.35
4343
>211.205.229.194
4444
>112.150.30.17
4545
>118.39.78.75
4646
>1.244.213.203
4747
>175.213.17.34
4848
>211.116.121.98
4949
>121.152.112.77
5050
>58.237.43.106
5151
>175.124.74.220
5252
>60.253.48.2
5353
>183.105.225.206
5454
>121.154.15.209
5555
>203.251.126.181
5656
>122.43.5.40
5757
>218.238.211.43
5858
>121.136.84.252
5959
>60.253.46.251
6060
>125.187.168.64
6161
>110.11.98.138
6262
>121.88.198.115
6363
>175.215.23.65
6464
>124.5.16.244
6565
>211.213.74.50
6666
>1.176.70.193
6767
=== [[로그#s-1.3]] ===
6868
[[나무파일:스크린샷 2016-02-06 18.06.55.png]]
6969
7070
7171
해당 시간대의 웹서버 로그. 최근 변경 페이지를 공격한 것을 알 수 있다. [[유저 에이전트]]를 보면 [[Windows 8.1]] 64비트에 구동중인 [[크롬(웹 브라우저)|크롬]] 44.0.2403.157 버전으로 위장해서 공격한 것으로 보인다.
7272
7373
상식적으로 저 아이피 전부가 브라우저, OS 등을 포함한 환경이 완전히 똑같을리는 만무하니 DDoS 공격 프로그램에 고정값으로 하드 코딩[* 풀어서 말하면 공격 프로그램에 미리 각 IP마다의 환경들이 짜여진 것.]된 것으로 보인다.
7474
7575
게다가, 브라우저에서 현 주소 대신 다른 주소로 접근하라는 HTTP 응답코드 HTTP 302를 보냈음에도 받은 주소로 재접속을 시도하는 다른 정상적인 브라우저들과는 달리 계속해서 동일 주소로 접근을 시도하고 있는 모습이나, 해당 페이지 외의 CSS나 JS 파일은 일체 불러오지 않는 모습을 봐서 쉽게 정상적인 접근이 아님을 알 수 있다.
7676
== 대응 ==
7777
'''나무위키의 현 노선을 바꾸지 않는 한 사실상 불가능하다.'''
7878
7979
공격 후 서버를 복구한 뒤에 [[Cloudflare|클라우드플레어]]의 [[분산 서비스 거부 공격|DDoS]] 방어 루틴이 적용되었지만, 이는 임시방편일 뿐이며 추후 같은 규모 혹은 이보다도 더 큰 규모의 공격이 일어났을 때의 대비는 돈을 투자하지 않는 이상 거의 불가능하다.
8080
8181
나무위키는 앞으로 이와 같은 규모, 혹은 더 큰 규모의 DDoS 공격을 받을 수도 있다. 계속 DDoS 공격을 받으면 서버 측이 서비스를 거부하거나 [[Cloudflare|클라우드플레어]] 측이 플랜 업그레이드를 강요할 수 있기 때문에 구 [[리그베다 위키/역사#s-10|엔하위키]]와 [[엔젤하이로#s-2.4]]처럼 계속 서버를 옮겨다니거나 ~~[[유목민|유목위키]]~~, 아예 망해버려서 [[흑역사]]가 될 수 있지 않느냐는 우려가 나오고 있다.--겨우 [[리그베다 위키]] 에서 갈라져 나왔는데...-- 하지만 클라우드플레어는 이보다 훨씬 더 큰 규모인 [[https://support.cloudflare.com/hc/en-us/articles/200170216-How-large-of-a-DDoS-attack-can-CloudFlare-handle-|500Gbps]]에 달하는 공격도 방어한 전적이 있고, 나무위키도 DDoS 방어 옵션이 들어간 유료 플랜을 사용중이기에 잘만 대처한다면 큰 문제는 없을 가능성이 크다. 오히려 걱정해야 할 것은 취약점을 이용한 해킹. 위와는 달리 쉽게 막을 방법이 없기 때문이다.
8282
== 부산물 : [[Cloudflare]]의 [[분산 서비스 거부 공격|DDoS]] 방어 솔루션 ==
8383
이 사건 이후로, [[IP]] 변경시 [[나무위키]]에 접속할 때 마다 Checking your Page...라는 문구에 하얀 화면과 함께 약 5초 뒤 문서로 넘어가는 현상을 겪는데 이것은 이 사태의 잔재로 적용된 [[Cloudflare]] [[분산 서비스 거부 공격|DDoS]] 차단 루틴으로, [[Cloudflare]]에서 자동으로 이 접속이 [[분산 서비스 거부 공격|DDoS]] 공격을 위한 악의적인 접속인지 아닌지 판별해주는 것이니 위키러들은 자신의 컴퓨터 혹은 스마트폰에 이상이 있는지 아닌지에 대해 너무 놀라지 않아도 된다.
8484
[[나무파일:디도스 차단 루틴.png]]
8585
8686
[[분류:나무위키에서 일어난 사건]]