원치 않은 SYN flooding 공격

작성자: -
서버를 운영하다보면 별의 별 일이 다 생기는데, 공격이 아닌데 공격처럼 보이는 경우가 가끔씩 있다. TCP 접속은 3-way hand shaking 순서로 이뤄지는데, 이때 네트워크가 쀍스럽게 느릴 때, 원치 않는 공격이 발생할 수 있다.





clientserver
--- SYN --->
<--- ACK/SYN ---
--- ACK --->


뭐 이런건데, 최초 SYN을 보낼 때, 클라이언트 OS는 타이머를 시작할 것이다. 그런데 망이 그지 같아서 SYN이 겁놔 느리게 서버에 도착했을 경우(간신히 TTL은 넘지 않은 상태에서) 서버는 ACK/SYN을 보낼테지만, 역시나 너무 느려서 클라이언트 OS 타이머는 타임아웃을 보낼꺼고 connect 실패를 반환할 것이다. 여기까지는 별 문제 없지만, 일반적인 어플리캐이션은 보통 3번 정도 retry를 하며 그만큼 SYN을 날리고 실패할 것이다. 이때 이런 것을 해당 지역에 수많은 클라이언트들이 동시에 한다면 원치 않는 DDoS가 될 수 있다.

댓글

댓글 쓰기

이 블로그의 인기 게시물

SQLite에서 파일 크기 줄이기

작성자: -
간단한 개인 프로젝트를 하고 있는데, SQLite DB파일 크기가 매우 커져서 테이블에 필요 없는 레코드를 날렸다. 그런데 날리고도 파일크기가 그대로라서 여기저기 뒤져보니 VACUUM 커맨드를 사용하란다.

사용법은 매우 간단하다. 그저 "VACUUM;"이라고 날려주면 동작한다.
(참조: http://sqlite.org/lang_vacuum.html )

다만, 동작이 매우 느려서 자주 쓸만한 것은 아니다. 실제로 100MB짜리 파일을 7KB로 줄이는데 수 분이 걸렸다. 소스를 봐야겠지만, DB를 EXPORT한 뒤에, 파일을 지우고 다시 IMPORT하는게 아닐까 하는 의구심이 든다.

매번 하기 귀찮으면 "PRAGMA auto_vacuum=1;"를 하면, 새로운 빈 페이지(DELETE나 DROP TABLE 같은...)가 생길 때마다, VACUUM을 실행한다. 다만, SQLite구조 문제로 테이블을 생성하기 전에 미리 날려야하는 안타까움이 있다.
(참조: http://sqlite.org/pragma.html#pragma_auto_vacuum )
자세한 내용 보기

OpenSSL supports Multi-threading

작성자: -
내가 스레드를 별로 좋아하지 않는데, 별 수 없이 써야할 경우가 종종 있다. 그와 별개로 OpenSSL 쓰기를 좋아하는데, OpenSSL을 멀티 스레딩 환경에서 쓰면 자칫 알 수 없는 이유로 죽곤한다. 이유는 OpenSSL 각종 알고리즘엔진이 멀티 스레딩 환경을 고려하지 않은 엔진이라, 경합이 발생하여 충돌이 발생하기 때문이다.

참조: https://www.openssl.org/docs/crypto/threads.html

멀티 스레딩 지원은 0.9.5b-dev부터 지원하였으니, 이하 버전은 포기하자. (응?)
(사실 그 전에도 약간은 지원했으나, CentOS5 기준 0.9.8이니, 이전 버전은 포기하는게 정답이다)

맨페이지를 보면 "crypto/threads/mttest.c 파일에 예제가 있어요 뿌잉뿌잉~"이라는데 나중에 찾아보기 귀찮으니 블로그에 옮겨 놓...으려고 봤는데, 주석도 길고 모든 OS에 대한 전처리기도 있고, C++11도 나왔는데 구닥다리 코드를 쓸 생각이 없으니 내 맘대로 다시 구성했다.

#include <openssl/crypto.h> #define OPENSSL_THREAD_DEFINES #include <openssl/opensslconf.h> #if !defined(OPENSSL_THREADS) # error "OpenSSL version is not supported multi-thread" #endif // C++11 mutex support #include <mutex> // Global locks for OpenSSL static std::mutex* g_locks(nullptr); // Locking callback function for OpenSSL static void funcLock(int mode, int type, char* file, int line) { if ( mode bitand CRYPTO_LOCK ) g_locks[type].loc…
자세한 내용 보기

Google 서비스 계정 액세스토큰을 C/C++로 얻어내기

작성자: -
OAuth2에서 인증을 흔히 3단계 과정으로 얻어내는데, 이것을 "three-legged OAuth(줄여서 3LO)"라고 한다. 여기에서 반드시 사람이 OAuth를 제공하는 측 인증화면에 인증질을 하는게 보통이다. 그러나 서비스를 개발하면서 자동인증이 필요할 때가 있다. 서비스 감사 등의 부분에서 말이다. 이때 구글 OAuth2는 2LO를 지원한다. 단, 특수 계정이 필요하고, 지원 API가 한정적이다. (보안이슈 등)

참조: Using OAuth 2.0 for Server to Server Applications

위 문서에서 다른 건 필요 없고, 개발 콘솔에서 <서비스 계정>을 생성하고, P12(PKCS#12) 파일을 다운로드 받아놓는 것에 주목하자.

문서에 보면 OAuth 주소 어찌고 저찌고... 요청응답 순서는 이렇지만, 그러지 말고 구글에서 미리 만들어놓은 클라이언트 라이브러리 가져다 써라 어쩌라 되어 있다. 좋다. 구글은 미리 예쁘게 Java, Python, PHP 등으로 클라이언트 라이브러리를 짜놨다. 하지만 C/C++은 없더라.

그래서 구글이 만들어놓은 PHP 클라이언트 라이브러리 소스 뜯어 보면서 액세스 토큰을 C/C++로 얻어내보았다.

사용라이브러리는 아래와 같다.

OpenSSL >= 1.0.0 : http://openssl.orgJsonCpp: https://github.com/open-source-parsers/jsoncppcURL: http://curl.haxx.se 그러나 예제 소스에는 거의 의사코드 수준으로만... ㅋㅋㅋ
Google OAuth2에 서비스 계정을 만드려면, JWT(Json Web Token, 발음 주의: 좃)이라는 포맷으로 요청을 해야한다.
JWT
참조: http://jwt.io/ (여기에서도 C/C++ 라이브러리는 찾아 볼 수가 없다)
영어 다시 해석하려면 어려우니까 미리 말을 남겨놔야겠다. ㅋㅋ JWT는 3개 구간이 있다.
Header - 사용 알고리즘 정의Claim - OAuth에 …
자세한 내용 보기