지난 6일 발생한 루트 DNS 서버에 대한 해킹 시도를 ISC 에서 분석한 자료가 나왔습니다. ISC 가 담당하고 있는 F 루트 서버에 대한 통계를 기반으로 분석한 자료입니다.
아래 그림을 보면 서울에서 초당 1기가비트, 베이징에서 초당 300메가비트의 빠른 속도로 비정상적인 DNS 쿼리를 시도하고 있습니다.
전체 공격 패킷의 61 %가 서울발 패킷, 18 %가 북경발 패킷입니다.
이번 공격에 사용된 패킷은 정상적인 DNS 패킷이 아니라, DNS 패킷을 비정상적으로 조작한 패킷이라고 하네요. 이런 illegal 한 패킷은 엣지 단에서 패턴 기반으로, 비정상적인 쿼리를 drop 할 수 있기 때문에 비교적 조치가 빨랐던게 아닌가 싶습니다.
1.25 인터넷 대란 때 위의 사례처럼 운영 현황 통계를 제공하는 모습을 보신 적이 있나요? 국내 주요 ISP 업체들은 이 정보를 꽁꽁 숨기고 결코 내놓지 않았죠. 덕택에 아직까지도 일반인들은 진짜 원인이 무엇인지 모르고, 막연히 추측할 수 밖에 없습니다. 내막을 아는 극소수를 제외하고는...
이런게 닫힌 사회와 열린 사회의 차이인가 봅니다.
참고 자료 :
ISC 분석 자료 (local) - knight.pdf
ISC 분석 자료 (원본 사이트) - http://www.nanog.org/mtg-0702/presentations/knight.pdf
아래 그림을 보면 서울에서 초당 1기가비트, 베이징에서 초당 300메가비트의 빠른 속도로 비정상적인 DNS 쿼리를 시도하고 있습니다.
전체 공격 패킷의 61 %가 서울발 패킷, 18 %가 북경발 패킷입니다.
이번 공격에 사용된 패킷은 정상적인 DNS 패킷이 아니라, DNS 패킷을 비정상적으로 조작한 패킷이라고 하네요. 이런 illegal 한 패킷은 엣지 단에서 패턴 기반으로, 비정상적인 쿼리를 drop 할 수 있기 때문에 비교적 조치가 빨랐던게 아닌가 싶습니다.
1.25 인터넷 대란 때 위의 사례처럼 운영 현황 통계를 제공하는 모습을 보신 적이 있나요? 국내 주요 ISP 업체들은 이 정보를 꽁꽁 숨기고 결코 내놓지 않았죠. 덕택에 아직까지도 일반인들은 진짜 원인이 무엇인지 모르고, 막연히 추측할 수 밖에 없습니다. 내막을 아는 극소수를 제외하고는...
이런게 닫힌 사회와 열린 사회의 차이인가 봅니다.
참고 자료 :
ISC 분석 자료 (local) - knight.pdf
ISC 분석 자료 (원본 사이트) - http://www.nanog.org/mtg-0702/presentations/knight.pdf
덧글
LEE 2007/02/13 09:57 # 삭제 답글
제가 듣기론 1.25 인터넷대란은 MS-SQL 슬래머 웜으로 인해 KT DNS서버가 정상작동하지 않아네임리솔브가 재대로 되질않아 그랬던 것으로 알고있는데 틀린내용인가요?
서린 2009/06/17 12:50 # 답글
루트 DNS자료 찾다가 들렀습니다.글 끝의 뉘앙스가 헐랭이님은 진짜 원인을 알고 있다는 듯이 느껴지는데 맞나요.
열린 사회 말씀하시는 걸 보면 알고 계시면서 공개 안하는 건 아닌 것 같은데. 좀 애매하네요.