게시판 즐겨찾기
편집
드래그 앤 드롭으로
즐겨찾기 아이콘 위치 수정이 가능합니다.
[분석] 일베 DDoS 에 관련된 최종 정리 "디도스는 구라다"
게시물ID : humorbest_633391짧은주소 복사하기
작성자 : Barcelona
추천 : 44
조회수 : 2988회
댓글수 : 3개
베스트 등록시간 : 2013/02/21 03:50:36
원본글 작성시간 : 2013/02/21 02:34:42

[블로그 화제의글] 일베 디도스 공격은 구라다!

[출처] http://gagailbe.blogspot.kr/ , http://todayhumor.com/?sisa_364154


글이 어렵고 어지러운 관계로 이해가 안되시는 분들이 생길것 같아서 요약을 해두겠습니다.

아래의 1~5번만 읽어도 상황이 이해가 되실겁니다. 그리고 추가적인 정황을 알고 싶으신 분들은

요약본 아래의 원문을 읽어주시길 바랍니다.


1. 일베는 디도스 공격당시 메인 서버를 네트워크에서 분리해둔 상태였고 대신 트레픽분산용 

  (서버하나가 부하를 관리 못하니 분산서버가 있음)서버로는 접속이 가능했다.

2. 그밖에도 일베는 SK IDC와 실제로 서버계약을 했으며, 그 이유는 운영자의 정체가 드러나자  

  추적이 어렵도록 서버를 옮기기 위한 계약을 진행한것으로 추정된다.

3. 서버이전날짜를 2월 20일로하고 19일부터 서버이전을 시작하였다. 그리고 밖으로는 

  디도스 공격을 받았다고 거짓 연막.

4. 여러가지 정황자료들을 통해 이러한 추정이 실제 사실에 99% 가깝다고 확신한다. 

  따라서 이러한 작업은 자신의 정체가 드러난것을 추적이 어렵게 하기위한 위장작전이다.

5. 결론은 디도스 공격은 실제로 없었으며, 그냥 쌩 구라다.



- DDoS 가정 - 


1. (일베 운영자 자칭)디도스 당시 이호스트IDC 내 시스코 6509 L3 백본 스위치에서 

널라우팅(참고1 참고2) 시킨 상태였습니다


2. 널라우팅이 풀린 후 일부 로드밸런싱용 서버로 접속이 가능하였으며 해당 서버에 관해서는 

(참고) 를 확인해주시기 바랍니다


3. 다만 일베의 원래 IP 주소인 61.97.249.28 로 계속 공격이 들어왔기 때문에 대부분의 

서버들은 아예 뻗은 상태였으며, 이에 따라 www.ilbe.com / ilbe.com 도메인의 

IP A 레코드 주소를 175.124.226.144 로 변경하였습니다. (이호스트IDC 할당 IP)


이 이후는 좀 많이 복잡해서 생략합니다.
CDN 아이피니 뭐니 하는 소리가 있지만 확실하지 않기 때문에 생략합니다. 


- 실제 상황 (99% 확신) -


1. EhostIDC 에 서버가 있다는 사실과 서버 라벨 관련 자료 등이 누출되자 SK IDC 로 새롭게 계약합니다.

2. 이전 날짜를 2013-02-20 로 잡고, 디도스라고 구라를 칩니다 

3. 서버를 이전합니다. 

실제 IDC 서버 이전에는 꽤나 긴 시간이 소요되며 스위치 장비의 재설정 작업 및 도메인 DNS 변경 

작업까지 하면 실제 일베 서버가 (일베 운영자 자칭)DDoS 를 맞은 시간만큼이 계산됩니다.



그리고 신기하게 일베 IP 와 일베 네임서버 모두 바뀌어 있는 상태입니다?




그렇습니다.
일베 도메인 등록은 해외에서 등록되어있었으며, 네임서버를 바꾸면 당연히 국내 보다 

해외쪽에 먼저 적용이 되게 됩니다. 따라서 Google DNS 를 이용하거나 하면 해외 DNS 서버에서 

DNS Lookup 요청을 하기 때문에 변경된 네임서버에서 최종적인 새로운 일베 IP 인 175.124.226.144 로 

연결되게 됩니다.


생각해보세요, 당시 한국DNS 에서만 예전 일베IP 를 보내줬고 해외DNS 에서는 새로운 일베IP 를 

보내줬는데 네임서버가 해외에있고 서버를 이전하였으니 당연히 해외쪽에서 먼저 접속이 가능해지는거죠 


즉, 디도스는 다 개구라 개뻥이고 

실제론 일베 서버 이전작업 및 다른 말로는 

자신의 신분을 감추기 위한 작업을 하였다고 

보면 되겠네요.


그리고 kmle, ilbe, gagalive 이제 모두 다른 아이피로 연결이 되어있습니다.
s1.ilbe.com 을 포함한 모든 일베 로드밸런싱용 아이피도 175.124.226.144 로 연결되어 있으며, 

Whois 조회 결과..



음? SK?
원래 서버 위치는 서울시 금천구 가산동 LG KIDC 4층 EhostIDC 문열고 들어가서 

왼쪽으로 가면 나오는 장소였는데요?

확실한건 서버가 이전되었다는 사실.
아 그런데 SK IDC 라면? 좋은 정보 감사합니다, 일베 관리자님.
IDC 인프라는 생각보다 좁거든요 ㅎㅎ.

아 하나 중요한 사실 알려드리자면 라벨이 붙어있는 일베서버 사진은 일베표 디도스 3일 전날 방문해서 

이미 다 확보해뒀습니다. 아이폰5 화질이 생각보다 좋네요. 이 사진은 Dropbox , Bitcasa , 

저의 Private Twitter Account 등 여러 공간에 이미 싹다 업로드해둔 상태이고 이건 최후의 순간에 

사용할 예정입니다. 아마 제가 IDC 를 떠나는 날? NOC 에서 떠나는 날?


일베표 DDoS 기억하겠습니다.

꼬릿말 보기
전체 추천리스트 보기
새로운 댓글이 없습니다.
새로운 댓글 확인하기
◀뒤로가기
PC버전
맨위로▲
공지 운영 자료창고 청소년보호