몇일전에 막내입니다. 님의

키워드 1공격 질문에 답변을 하면서,

공격에 대한 부분을 한번 써보자 생각했습니다.

그중에서 다른것들은 눈에 명확히 보이는 것들이라 패스하고...

트래픽공격에 대하여 다루어 볼까합니다.

이미지가 없어 스압 상당합니다...

어느날 블로그에 들어가 봤더니, 평소보다 두세배가 넘는 방문자 수가 있다.
와~ 최적환가????
그다음날 평소의 방문자수로 돌아 왔다...
뭐지? 공격인가????

라고 생각이 드실겁니다.

그럼 이걸 어떻게 판단해야 할것인가....
따지기 좋아하는 저의 성격... 

한번 따져 보겠습니다.

1. 통계확인
2. 누가? 왜? 어떻게?
3. 공격형태
4. 결론

1.통계확인
먼저 네이버의 블로그 통계를 통하여, 확인을 해봅니다.

1) 특정시간에 방문자가 몰리는 경우와,

2) 특정 키워드에 몰리는 경우,

3) 전체적으로 분산된 경우,

위 3가지 유형을 들수 있습니다.

그럼 이것을 어떻게 판단해야 할것인가...를 생각해보죠...

1) 특정 시간대에 몰림.
이는 키워드 분석이 필요합니다.
어떤 경로에서 어떤 키워드로 들어 왔냐....
대부분의 [1] 키워드 공격이 이러한 형태를 띄우는데요...
일단, 나의 최신 포스트의 제목에 해당 키워드가 있는지 확인합니다.
특정 키워드가 있다고 하면, 일단 정상적 방문이라고 생각하셔야합니다.
다만, 최신 포스트중 그럴만한 글이 있냐가 우선 시되야겠지요.
시간대도, 포스트의 내용이 시간대와 연관 있을 수도 있습니다.
또한, [1]키워드 공격의 경우 대략 200방문 전후를 띄우기 때문에...
방문자수가 1000정도 차이가 나지 않는 이상 공격이라 보기 힘듭니다.
[1]키워드와 1000정도 차이에 대한건 밑에서 다시 언급하겠습니다.

2) 특정 키워드에 몰리는 경우.
1)에서 설명한것과 같이, 최신 포스트에 해당 키워드가 있냐가 중요합니다.
또한, 통검시 해당 포스트가 적당한 위치에 노출되고 있냐가 중요하겠지요.
적당한 위치에 노출되어 있다면, 당연히 유입률은 높을테니..
하지만, 딱히 유용성도 없는 글이라면???

3) 전체적 분산의 경우,
일단 최적화 사항을 체크 해보셔야 합니다.
최적화시 최근 2~3주내의 포스트들의 노출 위치가 상승합니다.
고로 노출에 의한 전반적 유입... 으로 보실수 있습니다.
다만, 최적화가 아닌 상황이라면, 달리 바라봐야 겠지요.

2. 누가? 왜? 어떻게
자 그럼 정상적인 상태 빼고,
그렇치 않은 경우는 공격이라는 측면을 두고, 

이를 분석해 봅시다.

여기서, 구체적 공격 방법을 설명 하지는 않겠습니다.
악용의 위험이 있기 때문에...

다만, 이해의 범위를 넓이기 위해 약간의 요소들을 언급하겠습니다.

나는 공격을 당했다.
누가? 왜? 어떻게? 라는 의문이 듭니다.

1) 누가?
공격이라는 측면을 두고 보면,
무언가 뚜렸한 목적이 있어야 합니다. 

특히, 블로그 운영에 있어서...
통검에서 상대방의 포스트를 내리는것....
저품질 유발을 위한 것이 일반적으로 생각해 볼수 있습니다.

그래서, 공격이 이루어졌다.. 라고 판단이들면,
경쟁업체를 먼저 떠올리는 것이구요.
당연한 말입니다.

2) 왜?
위에서 언급한것과 같이,
저품질 유발을 위해서,
트래픽을 준다... 그런데 트레픽이 왜???

먼저 네이버 블로그 팀에서는 정상적 방문자의 등락을.
7일 평균치의 +-30%로 보고 있습니다.

그 이상일경우도 정상일 수 있지만, 일반적인 상황에 말이죠.
그렇타면, 그 이상의 등락폭을 발생 시키면???
네이버측은 [어? 이상 트레픽이네?] 라는 판단을 하겠죠.
즉, 어뷰징으로 판단, 저품질에 빠질수 있습니다.

3) 어떻게
여기서, 네이버측에서도 어느정도 예상하는 시스템적 오류..가
있을 수 있기에, 일주일 평균중 하루만, 특정 시간대에 트레픽이 많다....
라고 했을때는 무심히 넘어 갈수 있습니다....

그런데.....
지지난주 평균 유입률이 100이었습니다.
지난주부터 갑자기 평균 유입률이 1000이 되었습니다.
대략 1000%의 증가치를 보입니다....
그런데 이번주에는 다시 평균 100이 되었습니다.
등락폭이 어마어마하죠...

일반적 상황이라고 보신 힘듭니다...

자 그럼, 이런 트레픽 공격...
어떻게 이루어지냐...
당연 프로그램이죠... 그에 대한 로직은.. 언급 무....

3. 공격형태

기존 저의 글을 읽어 보셨으면 아시겠지만,
네이버는 유입경로를 파악하기 위해,
HTTP 해더의 Referer를 확인합니다.

Referer는 내 블로그를 진입하기 위해,
어디선가 링크를 클릭시, 클릭한 페이지의 정보입니다.
네이버 검색을 통해서 들어왔다면 http://search.naver.com/어쩌구
다른 블로그의 링크를 통해서면 http://blog.naver.com/아이디/포스트넘버
이러한 형태로 나타나게 되는것이죠.

그런데...
위 Referer는 프로그램상으로 조작이 가능합니다.
그렇타면 유입경로가 조작될 가능이 있다는 겁니다.

공격프로그램을 만드는 프로그래머 입장이면,
당연히 이것을 조작해서, 눈치 못채게 할것이구요.

어설픈 공격이 아닌 이상, 실질적 공격이라면, 판단키 어려운 부분입니다.

1) [1][]공격에 대하여.
자... 그렇타면, [1]키워드 공격, []키워드 공격은 뭐냐????
[1]키워드 공격을, 전 공격이라 보지 않습니다.
왜? 일단 공격으로 판단하는 요소인 유입률 편차에서,
네이버측이 공격으로 판단하지 않는 요소이기 때문입니다.

그럼 왜?
많은 분들이 이미지 수집 프로그램을 사용하십니다.
왜? 매번 찍고 편집하기 힘드니, 남의 것 좀 사용하자....
글도 역시 마찮가지입니다.
창작은 힘들죠... 정말 힘듭니다. 

[고양이키우기]라는 주제의 글을 쓸때...
A라는 블로그의 [고양이키우기] 내용과
B라는 블로그의 [고양이키우기] 내용을 짬뽕하면,
유사 문서를 피하고, 힘 안들이고 문서가 완성 되겠죠.
또, 유사문서 공격을 위해 수집을 할수도 있구요. 

근데 왜 1이냐.....
내 포스트가 [1]로 검색해서, 정확도, 최신순에 1000위내에 존재하지 않는다면,
유사문서 공격을 위한 문서 수집이라고 보시면 됩니다.
여기서 [1],[]는 프로그래머의 성향??? 이라고 보시면 될것 같습니다.

위에서 Referer가 조작 가능하다고 했습니다.
A블로그의 내용을 가져다가 유사문서 공격을 할것이다...라고 했을때,
A블로그에 직접 URL을 치고 들어가면 Referer는 / 로 나옵니다.
/게 많으면, 뭔가 이상하죠....

일반적으로 이웃을 클릭해서 들어가지, URL을 치고 들어가지 않으니까요.
네이버측에서도 이상하다 생각할 수 있으니,
어딘가를 타고 들어왔다.... 라고 생각하게끔 하기 위해 Referer를 조작할것입니다.

http://search.naver.com/어쩌구&keyword=키워드
이게 검색을 통한 접근시 찍히는 유입경로인데
이러한 형태로 조작하자...라고 생각하고 프로그램을 만들었습니다.

생각하고 만들다보니 키워드 부분을 나중에 넣차 라고 생각하고 까먹었습니다.
그냥 배포... 통계에 []의 유입으로 찍힙니다.

키워드 생각하기 귀찮아... 1
그런 통계에 [1]로 찍힙니다... 

또는, 이 키워드는 알아서 넣게 끔 만들었다고 칩시다.
일반 사용자는 귀찮은거 정말 싫어 합니다.
이래나 저래나 수집되는거 그냥 엔터....
통계에 []로 찍힙니다...

아무나 입력하세요.. 라고 했을때 [asdf]라고 많이들 치는것 처럼.
귀찮으니 1... 일수 있습니다.
그런데 솔찍히 1을 누르는것 보다, 경우의 수를 따지면,
자판배열과 키보드에 올린 손을 생각하면,
asdf중 하나를 입력하는게 높습니다.
그렇타면, 프로그램 사용유저의 입력보다,
프로그래머의 고정 키워드일 가능성이 높습니다.

2) 저품질 공격
위에는 [1]공격에 대하여 알아 봤고,
저품질 트레픽 공격 

자 프로그래머 입장에서 포스트 리스트 가져오는거 일도 아닙니다.
그럼 최근 2주간의 포스트 제목을 가져와,
Referer를 제목의 어느 키워드를 넣게 하고,
날짜별 가중치를 두고, 진입케한다면....
최적화되었을때의 트레픽과 차이가 없습니다.

일반 사용자면 어떻게 할까요....
1. 통검에서 확인해본다.
2. 상업키워드로 테스트해본다.

1번의 경우가 현명합니다.
2번의 경우, 되지도 않은 최적화 블로그에,
추측만으로 상업적 키워드를 통하여, 저품질 빠지는 요인이 될수도 있기 떄문입니다.
1번의 경우로 전반적 상위노출도 아닌데,
그런 경우라면, 공격이겠지요....

4. 결론,

트래픽이 현저히 늘어 났다.. 일때, 당황하지말고 일단 통계를 봅니다.

1) 포스트의 조회수를 확인.

2) 유입경로 확인.

3) 시간대 확인

을 합니다.

1)과 2)의 조합으로 어떤 키워드로 해당 게시물에 들어 왔냐를 파악하고,

연관성과 해당키워드로의 게시물 검색시 노출 위치를 확인합니다.

둘간의 연관성이 없고, 게시물 노출위치가 별루라면, 공격 가망성 높습니다.

2)와 3)의 조합으로 시간대의 키워드를 확인합니다.

시간대의 편중 중,  일시적 편중이라면, 프로그램을 통한 수집 작업이라 보시고,

나의 게시물의 단어들로 유사문서를 확인합니다.

시간대의 편중 중, 일시적 또는 간혈적 대량이라면,

어설픈 공격성을 띄웁니다. 이건 알아낼려면 알수 있지만,

일반적이지는 않으니, 경고성 멘트 남겨둡니다.

수작업일 가망이 높으니 아마 볼겁니다.

시간대의 분포도가 넓다면,

최적화를 생각하고 통검을 통하여 검증합니다.

이것 아닐시 공격으로 판단, 신고 절차에 들어갑니다.

[1][]의 키워드 검색은 공격이 아니라,

유사문서공격 또는 내용의 2차 가공을 위한 사전 작업으로 보시면 됩니다.

이상. 트래픽 공격에 대하여 알아 봤습니다.