이글루스는 상용 로그 분석기에 비해 크게 손색없는 로그 분석 기능을 제공하기 때문에, 가끔 로그 분석을 통해 제 블로그에 대한 자아반성(?)을 하곤 합니다.
그러다 언제부턴가 해외 구글 사이트의 검색 키워드를 통해 들어오는 사용자 수가 꾸준하다는 것을 알게 되었습니다. google.fr, google.nl, google.pt 등 국적이 다양한 사이트에서 들어오는 것을 보면 어떤 패턴을 추정하기도 어렵고, 제 사이트가 특별히 Global 하게 영어로 보안에 대해 다루는 블로그도 아니기 때문에 그간 의아한 부분이 많았는데, 로그를 좀더 깊이 있게 분석하면서 그 원인을 파악하게 되었습니다.
문제의 원인은 아래의 페이지 였습니다.
http://swbae.egloos.com/1228280
해외 구글 검색 엔진에서 몇몇 해킹툴에 대한 키워드를 검색해보면 재미있게도 위의 페이지가 가장 상위에 올라가 있습니다. 물론 구글에서 검색을 수행하는 제 위치와 컨텐츠가 올라간 사이트의 위치를 파악해서 한국 사이트가 상위로 랭크되도록 조정한 것일 수도 있겠습니다만, 프랑스나 포르투칼 등에서도 꾸준히 들어오는 것을 보면 그쪽에서도 검색을 하면 첫 페이지나 두번째 페이지 내에는 들어가 있는게 아닌가 하는 생각이 듭니다.
여기서 재미있는 생각이 들었는데,
1. 먼저 웹 서버를 1대 구축해둡니다.
2. 해당 웹 서버에 해킹 도구를 다운받을 수 있도록 올려둡니다.
3. 위의 페이지를 수정하여 해킹 도구를 다운받을 수 있도록 링크를 추가합니다.
4. 해킹 도구 다운로드 시 접속자의 IP 가 웹 서버 로그에 기록됩니다.
5. 간단한 프로그램을 제작해 방화벽에서 위의 IP 를 차단합니다.
이런 프로그램을 만든다면 재미있을 것 같습니다.
물론 위의 페이지를 통해 툴을 다운받는 사람들은 고도의 숙련된 해커일 확률은 낮을 것입니다. 숙련된 해커는 이미 자신이 사용하는 Tool Box 를 Live CD-ROM 형태로 갖고 있거나, 툴 제작자의 Original 페이지를 알고 있기 때문에 그쪽으로 찾아가겠죠. 그러나 공격의 양적인 측면에서 결코 무시할 수 없는 스크립트 키디나 중급 해커들의 공격을 '실제 공격이 발생하기 이전에 사전 차단'을 할 수 있다는 점에서는 효과가 있을 듯 합니다.
이 시스템의 side effect 로는
1. Proxy 서버 이용 시 해커와 관련없는 Proxy IP를 차단하는 문제
2. 만일 이런 시스템이 돌아가고 있다는 것을 누군가 아는 경우 Source IP Spoofing 을 통해 서비스 방해 공격(DoS)이 가능하다는 문제
가 있습니다.
Security by Obscurity 는 보안 수준이 높지 않기 때문에 좋지 않은 방법입니다. 어차피 들통 나게 되어 있거든요. 그러나 한시적으로는 높은 효과를 볼 수 있고, 재미라는 측면에서 즐거운 놀이가 될 것으로 생각됩니다.
여러분들 생각은 어떠세요?
그러다 언제부턴가 해외 구글 사이트의 검색 키워드를 통해 들어오는 사용자 수가 꾸준하다는 것을 알게 되었습니다. google.fr, google.nl, google.pt 등 국적이 다양한 사이트에서 들어오는 것을 보면 어떤 패턴을 추정하기도 어렵고, 제 사이트가 특별히 Global 하게 영어로 보안에 대해 다루는 블로그도 아니기 때문에 그간 의아한 부분이 많았는데, 로그를 좀더 깊이 있게 분석하면서 그 원인을 파악하게 되었습니다.
문제의 원인은 아래의 페이지 였습니다.
http://swbae.egloos.com/1228280
해외 구글 검색 엔진에서 몇몇 해킹툴에 대한 키워드를 검색해보면 재미있게도 위의 페이지가 가장 상위에 올라가 있습니다. 물론 구글에서 검색을 수행하는 제 위치와 컨텐츠가 올라간 사이트의 위치를 파악해서 한국 사이트가 상위로 랭크되도록 조정한 것일 수도 있겠습니다만, 프랑스나 포르투칼 등에서도 꾸준히 들어오는 것을 보면 그쪽에서도 검색을 하면 첫 페이지나 두번째 페이지 내에는 들어가 있는게 아닌가 하는 생각이 듭니다.
여기서 재미있는 생각이 들었는데,
1. 먼저 웹 서버를 1대 구축해둡니다.
2. 해당 웹 서버에 해킹 도구를 다운받을 수 있도록 올려둡니다.
3. 위의 페이지를 수정하여 해킹 도구를 다운받을 수 있도록 링크를 추가합니다.
4. 해킹 도구 다운로드 시 접속자의 IP 가 웹 서버 로그에 기록됩니다.
5. 간단한 프로그램을 제작해 방화벽에서 위의 IP 를 차단합니다.
이런 프로그램을 만든다면 재미있을 것 같습니다.
물론 위의 페이지를 통해 툴을 다운받는 사람들은 고도의 숙련된 해커일 확률은 낮을 것입니다. 숙련된 해커는 이미 자신이 사용하는 Tool Box 를 Live CD-ROM 형태로 갖고 있거나, 툴 제작자의 Original 페이지를 알고 있기 때문에 그쪽으로 찾아가겠죠. 그러나 공격의 양적인 측면에서 결코 무시할 수 없는 스크립트 키디나 중급 해커들의 공격을 '실제 공격이 발생하기 이전에 사전 차단'을 할 수 있다는 점에서는 효과가 있을 듯 합니다.
이 시스템의 side effect 로는
1. Proxy 서버 이용 시 해커와 관련없는 Proxy IP를 차단하는 문제
2. 만일 이런 시스템이 돌아가고 있다는 것을 누군가 아는 경우 Source IP Spoofing 을 통해 서비스 방해 공격(DoS)이 가능하다는 문제
가 있습니다.
Security by Obscurity 는 보안 수준이 높지 않기 때문에 좋지 않은 방법입니다. 어차피 들통 나게 되어 있거든요. 그러나 한시적으로는 높은 효과를 볼 수 있고, 재미라는 측면에서 즐거운 놀이가 될 것으로 생각됩니다.
여러분들 생각은 어떠세요?
덧글
unanimous 2006/09/27 00:10 # 삭제 답글
상당히 재밌는 아이디어네요. 마치 마이너리티 리포트에 나오는프리 크라임 시스템처럼. 한번 해봄직도 한데요. 언제 리눅스 몇대 깔아놓고
직접 실험해보면 재밌겠네요. 근데 구글 랭킹 1위로 올리기 부터 해야겠네요.
xeraph 2006/09/27 00:56 # 답글
SEO 작업부터 들어가는건가요 :)