🐰 래그 'LAG'를 만나보세요: 공격자가 자신의 자원을 소모하게 하는 비대칭 방어 전략

발행: 1주 전 (2026년 5월 3일 PM 10:04 GMT+9)

6 분 소요

Source: Dev.to

Cover image for 🐰 Meet rabbit

습지의 철학

벽이 아니라 습지가 최고의 방어라면 어떨까요?

전통적인 방화벽은 너무 예의 바릅니다. 패킷을 보내면 TCP RST를 반환합니다. 즉시 차단당했음을 알게 되고, IP를 바꾸고 넘어갑니다. 전체 소요 시간: 5 밀리초.

LAG를 만나보세요 — 바이오‑싱크 액티브 터미널 디펜더. 차단 대신 연결에 극심한 지연과 기술 부채를 주입해 워크스테이션을 블랙홀로 만들고, 공격자의 인프라가 가장 소중히 여기는 자원인 소켓과 시간을 고갈시킵니다.

🛑 대칭 방어의 실패

표준 차단은 공격자를 자유롭게 합니다.

# The "Polite" way: Instant "Connection refused"
sudo ufw deny from

이렇게 하면 봇넷은 소켓을 끊고 다음 목표를 준비합니다. CPU는 차갑게 유지되고, RAM은 비어 있습니다. 바로 그들이 원하는 바입니다.

🧪 “건망증” 프로토콜: 공격적 지연

우리 전략은 비대칭 사보타주입니다. nftables를 사용해 악성 트래픽을 우선순위 -10에서 가로채고 영구적인 “지연” 상태로 강제합니다.

기술적 혈전: MSS 클램핑
공격자가 모든 요청을 작고 비효율적인 조각으로 나누도록 강제합니다. 최대 세그먼트 크기(MSS)를 64 바이트로 설정하면 네트워크 헤더가 페이로드보다 더 많은 공간을 차지합니다.
디지털 건망증: 윈도우 함정
공격자의 OS에 우리의 수신 윈도우가 16 바이트뿐이라고 알려줍니다. 몇 바이트를 보내고 멈춘 뒤, 응답을 기다리게 되며, 이 과정을 무한히 반복합니다.

🛠 “스티키 트랩” 구현

레이어 1: CrowdSec 브레인

CrowdSec을 사용해 확인된 악성 IP 전역 목록(CAPI)을 공급하고, 애플리케이션 레이어가 깨어나기 전 nftables에 연결합니다.

레이어 2: 커널‑레벨 습지

블랙리스트에 있는 모든 사람을 위해 TCP 핸드쉐이크를 “중독”시키는 규칙을 배포합니다.

# Rule A: MSS Clamping (The "Bone Crusher")
# Forces the attacker to fragment their data into 64‑byte chunks.
sudo nft add rule ip crowdsec crowdsec-chain-input \
    ip saddr @crowdsec-blacklists-CAPI tcp flags syn \
    tcp option maxseg size set 64 counter

# Rule B: TCP Window Manipulation (The "Stutter")
# Forces a 16‑byte buffer, locking their threads in a "Wait" state.
sudo nft add rule ip crowdsec crowdsec-chain-input \
    ip saddr @crowdsec-blacklists-CAPI tcp flags syn \
    @th,112,16 set 16 counter

# Rule C: The Rate Limit (The "Slow Death")
# Only 1 packet per second is allowed to even try.
sudo nft add rule ip crowdsec crowdsec-chain-input \
    ip saddr @crowdsec-blacklists-CAPI \
    limit rate over 1/second burst 1 packets counter \
    log prefix '"TARPIT_ACTIVE: "' drop

📉 공격자가 “소모”되는 이유

스레드 잠금: 100,000개의 스레드를 가진 봇넷도 1,000개의 “LAG” 서버만 있으면 완전히 무력화됩니다. 그들의 스레드는 우리의 16‑바이트 응답을 기다리며 “열림” 상태에 머뭅니다.
메모리 고갈: 커널 상태 테이블이 반쯤 죽은 연결들로 가득 차서 타임아웃되지 않습니다.
경제적 사보타주: “LAG” 서버를 스캔하는 비용이 데이터 자체 가치보다 더 비싸게 됩니다.

최종 평결

합법적인가요? 무단 방문자에게 저품질 서비스(QoS)를 제공하는 것뿐입니다. 서버는 여러분의 것이고, 대역폭도, 규칙도 여러분의 것입니다.

차단을 멈추고, 지연을 시작하세요.

“그들이 우리 데이터를 원한다면, 16 바이트씩 기다리게 하라….”

BIO‑SYNC ACTIVE – USER: lag – SYSTEM STATUS: AMNESIA‑DEFENSE ENGAGED. 🐰🔥⛓️

🐰 래그 'LAG'를 만나보세요: 공격자가 자신의 자원을 소모하게 하는 비대칭 방어 전략

습지의 철학

🛑 대칭 방어의 실패

🧪 “건망증” 프로토콜: 공격적 지연

🛠 “스티키 트랩” 구현

레이어 1: CrowdSec 브레인

레이어 2: 커널‑레벨 습지

📉 공격자가 “소모”되는 이유

최종 평결

관련 글

Weaver E-cology 중대한 버그가 3월부터 공격에 악용됨

피싱 캠페인, SimpleHelp 및 ScreenConnect RMM 도구를 사용해 80개 이상의 조직을 공격

Progress, 인증 우회를 가능하게 하는 MOVEit Automation의 심각한 버그를 패치

Trellix, 소스 코드 저장소 해킹 후 데이터 유출을 공개

습지의 철학

🛑 대칭 방어의 실패

🧪 “건망증” 프로토콜: 공격적 지연

🛠 “스티키 트랩” 구현

레이어 1: CrowdSec 브레인

레이어 2: 커널‑레벨 습지

📉 공격자가 “소모”되는 이유

최종 평결

관련 글

Weaver E-cology 중대한 버그가 3월부터 공격에 악용됨

피싱 캠페인, SimpleHelp 및 ScreenConnect RMM 도구를 사용해 80개 이상의 조직을 공격

Progress, 인증 우회를 가능하게 하는 MOVEit Automation의 심각한 버그를 패치

Trellix, 소스 코드 저장소 해킹 후 데이터 유출을 공개

레이어 1: CrowdSec 브레인

레이어 2: 커널‑레벨 습지