맨위로가기

핑백

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

핑백(Pingback)은 2002년 스튜어트 랭그릿지, 사이먼 윌리슨, 이언 힉슨에 의해 개발된 기술이다. 핑백은 블로그와 웹사이트에서 사용되었으나, 취약점을 통해 DDoS 공격에 악용될 수 있다는 문제점이 제기되었다. 2014년 아카마이는 워드프레스 사이트를 대상으로 하는 핑백 관련 익스플로잇 보고서를 발표했으며, 핑백 공격은 반사 및 증폭을 통해 대상 서버에 과부하를 일으킨다. 워드프레스는 핑백 기능 작동 방식을 변경하여 취약점을 완화했지만, 핑백 공격은 2016년에도 지속되었으며, 다른 사이트 공격을 방지하기 위해 핑백을 비활성화하는 것이 권장된다.

더 읽어볼만한 페이지

  • 블로그 - 스핑
  • 블로그 - 모블로그
    모블로그는 휴대폰이나 스마트폰으로 블로그를 관리, 편집, 작성하는 기술을 의미하며, 1995년 시작되어 스마트폰 기능을 활용한 멀티미디어 제작을 지원하고 교육 및 관광 분야에서 활용되지만, 모바일 기기 및 인터넷 접근성, 데이터 비용과 같은 과제도 안고 있다.
  • 워드프레스 - 워드프레스닷컴
    워드프레스닷컴은 오토매틱에서 2005년 출시한 블로그 호스팅 서비스로, 무료 및 유료 요금제를 제공하며 블로그 운영을 위한 가입이 필요하지만 2024년 사용자 데이터 판매 논란이 있었다.
  • 워드프레스 - 그라바타
    그라바타는 이메일 주소를 기반으로 사용자의 아바타를 웹 상에서 표시하는 서비스로, 다양한 플랫폼에서 지원되며 여러 메타데이터 표준을 통해 프로필 데이터를 제공한다.
핑백

2. 역사

스튜어트 랭그릿지, 사이먼 윌리슨, 이언 힉슨이 2002년에 핑백 사양을 개발하였다.[1][2][3][4][5]

3. 문제점 및 악용 사례

핑백은 스팸 및 DDoS 공격에 악용될 수 있다는 문제점이 있다.

3. 1. DDoS 공격 악용

아카마이는 2014년 3월, 취약한 워드프레스 사이트를 대상으로 하는 핑백 관련 익스플로잇에 대한 보고서를 발표했다.[6] 이 익스플로잇은 합법적인 블로그와 웹사이트를 대규모로 악용하여 DDoS 공격에 가담하게 만들었다.[7] 이 취약점에 대한 세부 정보는 2012년부터 공개되었으며,[8] 아키스멧은 2013년에 "트랙백과 핑백의 거의 100%가 스팸"이라고 보고했다.[9]

핑백 공격은 "반사"와 "증폭"으로 구성된다. 공격자는 합법적인 블로그 A에 핑백을 보내지만, 실제로는 합법적인 블로그 B의 정보를 제공하는 것처럼 가장한다.[10] 그러면 블로그 A는 핑백 프로토콜에 따라 블로그 B에 해당 링크가 있는지 확인해야 하므로, 블로그 B 서버에서 페이지를 다운로드하여 '반사'를 일으킨다.[10] 대상 페이지가 크면 블로그 A로 전송된 작은 요청이 블로그 B에 대한 큰 요청을 유발하므로 이 공격이 '증폭'된다.[10] 이로 인해 10배, 20배, 심지어 더 큰 증폭(DoS)이 발생할 수 있다.[10] 여러 반사기를 사용하여 각 반사기가 소모되는 것을 방지하고, 각 반사기의 결합된 증폭력을 사용하여 대상 블로그 B를 소모시키는 것(대역폭 또는 서버 CPU 과부하 (DDoS))이 가능하다.[10]

워드프레스는 이러한 취약점을 완화하기 위해 핑백 기능 작동 방식을 변경했다. 핑백을 시작한 IP 주소(공격자 주소)를 기록하여 로그에 표시하도록 변경했다.[12] 그러나 2016년에도 핑백 공격은 계속 존재했는데, 이는 웹사이트 소유자가 사용자 에이전트 로그에서 실제 IP 주소를 확인하지 않기 때문으로 추정된다.[12][10] 공격자가 스크립트 키디 이상이라면 다른 컴퓨터나 사이트에서 요청을 보내 IP 주소가 기록되지 않도록 하는 방법을 알고 있을 것이고, 그러면 해당 컴퓨터나 사이트의 IP 주소가 대신 기록되어 IP 로깅의 가치가 떨어진다.[11] 따라서 다른 사이트를 공격하는 것을 막기 위해 핑백을 비활성화하는 것이 권장된다.[12]

참조

[1] 웹사이트 Making TrackBack happen automatically http://www.kryogenix[...] 2022-05-31
[2] 웹사이트 Pingback implemented http://simonwillison[...] 2022-05-31
[3] 웹사이트 Hixie's Natural Log: Pingback 1.0 http://ln.hixie.ch/?[...] 2022-05-31
[4] 웹사이트 Pingback 1.0 http://simonwillison[...] 2022-05-31
[5] 웹사이트 Pingback 1.0 http://www.hixie.ch/[...] 2022-05-31
[6] 웹사이트 Anatomy of Wordpress XML-RPC Pingback Attacks https://blogs.akamai[...] 2014-07-07
[7] 웹사이트 More Than 162,000 WordPress Sites Used for Distributed Denial of Service Attack http://blog.sucuri.n[...] 2014-07-07
[8] 웹사이트 WordPress Pingback Vulnerability http://www.acunetix.[...] 2014-07-07
[9] 웹사이트 Spammers use trackbacks, pingbacks, and reblogs https://piedtype.com[...] 2022-05-31
[10] 웹사이트 WordPress pingback attack https://www.a10netwo[...] 2017-02-02
[11] 웹사이트 Analysis of a WordPress Pingback DDOS Attack https://www.conetix.[...] 2017-02-02
[12] 웹사이트 WordPress Sites Leveraged in Layer 7 DDoS Campaigns https://blog.sucuri.[...] 2017-02-02


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com