I. 생사의 갈림길 30분 전: 어떤 감시 패널도 믿지 마세요.
1. 육안 검사(문제를 정확히 파악하는 데 3분 소요)
증상 1웹 사이트가 느리게 열리지만 서버 CPU에 <30%가 표시됩니다.
수행 ss-s-s. TCP 연결 수 확인(일반적으로 공격 중 100,000개 이상)
사례(법률)새로운 사이트를 공격하는 동안 ESTAB 연결이 32만 건에 달했습니다.
증상 2특정 문서 요청 급증
실시간 로그를 통한 추적:tail -f access.log | grep -E 'wp-login|api/v1'
실제 발견: 공격자들이 가장 선호하는 위조 방법 /contact.php 요청
증상 3: 80%를 초과하는 해외 IP 점유율 급증
빠른 통계 명령:awk '{print $1}' access.log | sort | uniq -c | sort -nr | head -20
2. 공격 유형 판단 표(시그니처 로그 샘플 포함)
| 공격 유형 | 특성 식별 | 샘플 로그 |
|---|---|---|
| CC 공격 | 사용자 에이전트 반복 방문 수정 | Mozilla/5.0(Windows NT 6.1, rv:60.0) |
| DNS 반영 | 포트 53에서 많은 수의 UDP 패킷 발생 | src_port=53 && protocol=UDP |
| 슬로우로리스 | 연결을 30초 이상 반쯤 열어 두세요. | [28/Aug/2023:14:22:15] "POST |
생명을 구하기 위한 네 가지 축(우선순위에 따라 구현)
1. 엔터프라이즈급 CDN 클렌징(5분 효과)
Cloudflare 엔터프라이즈 에디션 구성 세부 정보:
# 사용자 지정 WAF 규칙(CC 공격에 대한 대응) http.request.uri 포함 "/wp-admin" && cf.threat_score > 2 && ip.geoip.asnum에 없음 {1234 5678} -> 차단
참고: 협동조합 운영자 번호로 asnum을 미리 입력해야 합니다.
2. 임시 IP 전환(미리 준비해야 함)
콜드 IP 활성화 단계::
-
- DNS TTL을 60초로 수정(원본 레코드는 그대로 유지)
- 새 서버는 차별화된 산업용 제어 매개변수로 구성됩니다:
# MaxKeepAliveRequests를 50으로 수정합니다. # mod_negotiation 모듈 비활성화
- IP 블랙리스트 동기화를 사용 설정합니다:
rsync -avz /etc/iptables root@newIP:/etc/
3. 검색 엔진 수명 보존 설정
Google 집중 관리 액세스::
-
- Search 콘솔에서 긴급 알림 제출
- 를 배치합니다.
google_verify.html캘리브레이션 파일 - 이 메타 태그 선언을 사용합니다:
<메타 이름="구글봇" 콘텐츠="unavailable_after: 2023-09-01T12:00:00+08:00">
셋째, 높은 수준의 대결 기술(해커가 알려주지 않는 세부 사항)
1. 가짜 봇넷 미끼
비업무용 포트(예: 8080)에 허니팟 시스템 배포
가짜 API 응답 이식하기:
{ "status": "오류", "code": "invalid_attack_signature" }
사례: 게임 플랫폼은 이 방법을 사용하여 공격자가 지속적으로 리소스를 소비하도록 유도합니다.
2. SEO 트래픽 우회 기법
동적으로 생성된 지역 차단 페이지(무게 보존을 위해):
<?php
만약 ($_SERVER['http_cf_ipcountry'] == 'RU') {
헤더("HTTP/1.1 503 서비스를 일시적으로 사용할 수 없음");
포함('rus_attack.html');
exit;
}
? >
3. 검색 엔진 스파이더 화이트리스팅
Nginx 구성 예제:
만약 ($http_사용자_에이전트 ~* (구글봇|빙봇)) { set $리얼립 $remote_addr; 액세스_바이_루아_파일 /path/to/whitelist.lua; }
IV. 재해 후 재건(방어보다 더 중요)
1. 로그 포렌식 분석
공격 매핑은 ELK 스택을 사용하여 생성됩니다:
# 추출 공격 특성 cat access.log | grep ' 500 ' | awk '{print $7}' | 정렬 | 유니크 -c | 정렬 -nr > attack_pattern.txt
2. 체중 회복의 세 가지 원칙
- 301 리디렉션 그라데이션 마이그레이션::
이전 URL → 임시 URL → 새 URL(3개월 이상 전환)
- CDN 액세스::
테라스 노화(야금) 연락 CDN5 3시간 www.cdn5.com StoneCDN 임박한 stonecdn.com
3. 백체인 오염 제거
Ahrefs를 사용하여 스팸성 아웃바운드 링크를 대량으로 내보냅니다:
# 자동 필터링 스크립트(예시) 만약 'viagra' in 앵커 텍스트 또는 DR<20: 제출_거부()
V. 다크넷 모니터링(2차 공격 방지)
1. 공격자 프로필 구성
쇼단을 통해 노출된 디바이스를 검색하세요:
조직: "차이나 텔레콤" 제품: "아파치 httpd" 포트: "80"
텔레그램에서 그룹 키워드를 검색합니다:
site:t.me "DDoS 주문 접수" 또는 "스트레스 테스트"
2. 방어 원가 계산 시트
| 공격 규모 | 추천 프로그램 | 월별 비용 | SEO 영향 주기 |
|---|---|---|---|
| <150Gbps | jqcdn.com | $500 | 30일 |
| 50-200Gbps | jqcdn.com | $2000 | 30일 |
| >200Gbps | 자체 구축된 청소 센터 | $15k+ | 30일 이상 |
피와 눈물을 통해 얻은 교훈2021 잘못 구성된 CDN 캐싱 규칙으로 인해 금융 사이트의 복구 기간이 3배 연장되었습니다. 기억하세요: 공격 중에는 모든 페이지 캐싱을 비활성화하세요!
참고: 이 문서에 포함된 기술적 수단은 법이 허용하는 범위 내에서 사용되어야 하며, 일부 데이터는 민감도가 낮게 처리되었습니다. 방어 전략은 2025년 2월에 업데이트되었으므로 최신 공격 패턴에 따라 조정하시기 바랍니다.
[공격 트래픽 분석 매핑]
→ 1단계: TCP SYN 폭주(18분 지속)
→ 2단계: HTTP 느린 공격(지속 시간 2시간)
→ 3단계: 하이브리드 CC 공격(IP당 초당 150회 공격)
DDoS 공격 긴급 5 영혼 고문(실제 사건을 밟는 것)
Q1: 웹사이트가 다운되면 서버를 그냥 종료할 수 있나요?
피트 케이스2022년 이커머스 스테이션 O&M 직접 정전으로 인해 바이두 지수 72% 급락
✅ 올바른 작동:
- 서버는 계속 실행하되 대역폭을 제한합니다(
TC Q디스크(전류 제한) - 503 유지 관리 페이지로 글로벌 교체(SEO 가중치 유지)
- Google 검색 콘솔에서 '일시적으로 닫힘'을 표시합니다.
Q2: 무료 CDN으로 공격을 수행할 수 있나요?
데이터의 진실: jqcdn 무료 버전 실제 클리닝 용량 ≤ 50Gbps
✅ 채점 프로그램:
소규모 트래픽 공격(30Gbps 미만): '5초 쉴드' + 사람 인증 사용
중간에서 높은 트래픽 공격: jqcdn 규칙 엔진을 설치해야 합니다(비정상적인 HTTP 헤더 필터링).
⚠️ 참고: CC 공격에 대한 무료 보호
Q3: 경쟁업체가 나를 괴롭히는지 어떻게 확인할 수 있나요?
포렌식의 세 가지 요소::
- 공격 시간 동안 프로모션의 정확한 매칭(±2시간)
- 가중치가 낮은 페이지(예: /about.html)에 대한 지속적인 공격
- 대량의 스팸 아웃바운드 공격이 동반됨(Ahrefs로 모니터링)
✉️ 포렌식 템플릿:netstat -tn | awk '{print $5}' | cut -d: -f1 | sort | uniq -c
Q4: 공격을 받은 후 IP를 변경해야 하나요?
2025년을 위한 새로운 대응::
단기: 애니캐스트 IP 풀로 교체(DNSMadeEasy 권장)
장기: BGP 방어 구축(월 $800부터 비용)
치명적인 오류: 백도어 프로그램을 치료하지 않고 IP 변경 → 다시 감염될 확률 72%
Q5: 공격은 보통 얼마나 오래 지속되나요?
암시장 조건::
데모형 공격: 15~30분(시간당 $50)
상업적 파업: 6-72시간(하루 $1200)
✅ 대응 전략:
시간 1: 흐름 청소 시작
3시간: 보조 데이터 센터 활성화
12시간: ISP에 트래픽 견인 요청하기
피와 눈물을 통해 얻은 경험한 웹마스터가 공격 로그 분석을 소홀히 하여 동일한 공격자가 3개월 동안 9회 연속으로 공격을 받은 사례가 있습니다. 기억하세요: 각 공격 후에는 반드시tcpdump원본 패킷을 저장하세요!