출처: http://gagailbe.blogspot.kr/2013/02/ddos.html
일단 앞서 말하는데 글 퍼가시는건 좋습니다. 다만 링크 꼭 남겨주세요~
EhostIDC NOC 보안이 강화되어 실제 확인할 수 없는 상황이지만 IDC 에서 몇년 근무해본 토대로 작성해봅니다.
+ 저는 일베 IT 게시판에서 가끔 활동하는 서울의 어느 한 IDC 의 직원입니다, 일베라는 신분으로 다 동일취급하지 말아주세요.
오유에 EhostIDC 에 전화해서 물어봤다는 분은 솔직히 말이 안되구요. NOC로 바로 통화연결하기 어려울 뿐더러 다른사람 서버에 대한 사실은 원래 절대 비공개입니다. 전화로 관계자 또는 OP/서버 주인이 아니면 그런부분 확인 절대 못합니다.
- DDoS 가정 -
1. (일베 운영자 자칭)디도스 당시 이호스트IDC 내 시스코 6509 L3 백본 스위치에서 널라우팅(참고1 참고2) 시킨 상태였습니다
2. 널라우팅이 풀린 후 일부 로드밸런싱용 서버로 접속이 가능하였으며 해당 서버에 관해서는 (참고) 를 확인해주시기 바랍니다
3. 다만 일베의 원래 IP 주소인 61.97.249.28 로 계속 공격이 들어왔기 때문에 대부분의 서버들은 아예 뻗은 상태였으며, 이에 따라 www.ilbe.com / ilbe.com 도메인의 IP A 레코드 주소를 175.124.226.144 로 변경하였습니다. (이호스트IDC 할당 IP)
이 이후는 좀 많이 복잡해서 생략합니다.
CDN 아이피니 뭐니 하는 소리가 있지만 확실하지 않기 때문에 생략합니다.
- 실제 상황 (99% 확신) -
1. EhostIDC 에 서버가 있다는 사실과 서버 라벨 관련 자료 등이 누출되자 SK IDC 로 새롭게 계약합니다.
2. 이전 날짜를 2013-02-20 로 잡고, 디도스라고 구라를 칩니다
3. 서버를 이전합니다. 실제 IDC 서버 이전에는 꽤나 긴 시간이 소요되며 스위치 장비의 재설정 작업 및 도메인 DNS 변경 작업까지 하면 실제 일베 서버가 (일베 운영자 자칭)DDoS 를 맞은 시간만큼이 계산됩니다.
그리고 신기하게 일베 IP 와 일베 네임서버 모두 바뀌어 있는 상태입니다?
그렇습니다.
일베 도메인 등록은 해외에서 등록되어있었으며, 네임서버를 바꾸면 당연히 국내 보다 해외쪽에 먼저 적용이 되게 됩니다. 따라서 Google DNS 를 이용하거나 하면 해외 DNS 서버에서 DNS Lookup 요청을 하기 때문에 변경된 네임서버에서 최종적인 새로운 일베 IP 인 175.124.226.144 로 연결되게 됩니다.
생각해보세요, 당시 한국DNS 에서만 예전 일베IP 를 보내줬고 해외DNS 에서는 새로운 일베IP 를 보내줬는데 네임서버가 해외에있고 서버를 이전하였으니 당연히 해외쪽에서 먼저 접속이 가능해지는거죠
즉, 디도스는 다 개구라 개뻥이고 실제론 일베 서버 이전작업 및 다른 말로는 자신의 신분을 감추기 위한 작업을 하였다고 보면 되겠네요.
그리고 kmle, ilbe, gagalive 이제 모두 다른 아이피로 연결이 되어있습니다.
s1.ilbe.com 을 포함한 모든 일베 로드밸런싱용 아이피도 175.124.226.144 로 연결되어 있으며, Whois 조회 결과..
원래 서버 위치는 서울시 금천구 가산동 LG KIDC 4층 EhostIDC 문열고 들어가서 왼쪽으로 가면 나오는 장소였는데요?
확실한건 서버가 이전되었다는 사실.
아 그런데 SK IDC 라면? 좋은 정보 감사합니다, 일베 관리자님.
IDC 인프라는 생각보다 좁거든요 ㅎㅎ.
아 하나 중요한 사실 알려드리자면 라벨이 붙어있는 일베서버 사진은 일베표 디도스 3일 전날 방문해서 이미 다 확보해뒀습니다. 아이폰5 화질이 생각보다 좋네요. 이 사진은 Dropbox , Bitcasa , 저의 Private Twitter Account 등 여러 공간에 이미 싹다 업로드해둔 상태이고 이건 최후의 순간에 사용할 예정입니다. 아마 제가 IDC 를 떠나는 날? NOC 에서 떠나는 날?
일베표 DDoS 기억하겠습니다.
글쓰기