Cloudflare가 archive.today를 "C&C/Botnet"으로 분류, 1.1.1.2에서 해석 불가

 (radar.cloudflare.com)
1P by GN⁺ 1시간전 | ★ favorite | 댓글 1개
  • Cloudflare DNS 서비스archive.today 도메인명령·제어(C&C) 또는 봇넷 관련 사이트로 분류함
  • 이에 따라 1.1.1.2 보안 DNS를 통해 해당 도메인이 정상적으로 해석되지 않음
  • radar.cloudflare.com 페이지 접근 시 봇 검증 절차가 자동으로 수행됨
  • 사용자는 JavaScript와 쿠키를 활성화해야 하며, “보안 확인 수행 중”이라는 메시지가 표시됨
  • 이러한 절차는 악성 봇 차단과 정상 트래픽 보호를 위한 Cloudflare의 보안 메커니즘

radar.cloudflare.com 접속 시의 보안 확인 절차

  • radar.cloudflare.com악성 봇으로부터 보호하기 위한 보안 서비스를 적용함
    • 사용자가 실제 사람인지 확인하기 위해 봇 검증 절차를 수행함
    • 이 과정에서 JavaScript와 쿠키 활성화가 필요함
  • 페이지에는 “보안 확인 수행 중”이라는 문구와 함께 사용자 확인 대기 상태가 표시됨
    • 검증이 완료되면 “확인에 성공했습니다. radar.cloudflare.com 응답을 기다리는 중”이라는 메시지가 나타남
  • 이 절차는 Cloudflare 보안 보호 체계의 일부로, 자동화된 접근을 차단하고 정상 트래픽만 허용하기 위한 것임
GN⁺ 1시간전  [-]
Hacker News 의견들

  • archive.today와 그 도메인들이 Cloudflare의 1.1.1.2 DNS에서 CIPA Filter, Command and Control & Botnet, DNS Tunneling 등으로 분류되어 있음
    예시 요청을 보면 archive.is0.0.0.0으로 응답되고 "EDE(16): Censored"라는 주석이 달림
    관련 논의로는 Archive.today가 블로그에 DDoS 공격을 가했다는 글, Wikipedia가 archive.today 링크를 제거하기 시작한 사례, 그리고 이상한 archive.today 동작을 묻는 글이 있음

    • 덕분에 DoH API를 처음 알게 되었음. CORS가 열려 있어서 자바스크립트로 바로 호출 가능함
      그래서 내가 꿈꾸던 DNS 조회 웹툴을 만들었음

  • 이 사안을 두 가지 관점에서 봐야 한다고 생각함. 하나는 블로그 공격이고, 다른 하나는 archive.today가 FBI 조사를 받고 있다는 점임
    또 어떤 단체가 허위 CSAM 혐의를 이용해 압박을 가하고 있음
    FBI 소환장 관련 기사AdGuard의 차단 설명 참고

    • gyrovague.com의 Jani Patokallio가 archive.today 운영자를 도킹(doxing) 하려는 블로그 글을 올렸음
      그는 “이렇게 널리 쓰이는 서비스의 운영자를 모르는 게 이상해서 조사했다”고 주장함
      하지만 archive.today는 무료로 제공되는 공익적 아카이브 프로젝트임. 운영자는 법적 리스크를 감수하고 서비스를 유지 중임
      DDoS보다 누군가를 실명 공개하려는 시도가 훨씬 위험하다고 생각함. 이런 행동은 단순한 팬심을 넘어선 스토킹에 가까움
    • 결국 archive.today가 불법 행위를 하고 있고, 동시에 미국 사법당국의 조사를 받고 있다는 두 가지 시각이 존재함
    • 또 다른 관점에서는 archive.today가 저작권 침해를 유발할 수 있다는 주장도 있음. 나도 종종 유료벽(paywall) 을 우회할 때 사용함

  • Cloudflare는 비밀 정보기관의 프런트 조직처럼 행동한다고 생각함. Spamhaus 같은 단체들과 함께 과도한 권력을 행사하고 있음

  • 혹시 왜 Public DNS가 사이트를 차단하는지 헷갈린다면, 1.1.1.2는 악성코드 차단용 DNS임. 일반 1.1.1.1과는 다름
    DDoS 관련 맥락은 gyrovague.com 참고

    • 참고로 1.1.1.3은 성인 콘텐츠 차단용 DNS
    • 나는 1.1.1.1/1.0.0.1도 이미 archive.today 같은 도메인을 해석하지 않는 줄 알았음

  • 예전에 Google 유럽 지사에서 일하던 누군가가 archive.today를 자주 쓰다가 운영자를 찾아보려 했던 블로그 글을 읽은 적 있음
    결국 포기하고 “맥주라도 한잔 사주고 싶다”고 마무리했는데, 그 조사 과정이 꽤 깊이 있었음

    • 아마 이 글을 말하는 듯함. 논란이 있었지만 재미있게 읽었음. 일부는 이를 도킹으로 보지만 나는 그렇지 않다고 생각함

  • archive.today의 gyrovague.com에 대한 공격은 두 달 넘게 지속 중
    핀란드 거주 IP는 무한 캡차에 걸리고, 첫 캡차를 통과하면 JS 스니펫이 사이트 검색 기능을 스팸처럼 호출함

    • 웹 개발자는 아니지만, CORS 헤더나 접근 제어로 이런 스크립트 실행을 막을 방법이 있지 않을까 궁금함
    • 남부 캘리포니아 IP로도 같은 무한 캡차를 겪고 있음. 뭔가 심각하게 잘못되었거나 악의적임
    • NoScript로 archive.today의 JavaScript를 차단하면 DDoS에 참여하지 않는 게 맞는지 궁금함
    • archive.today가 왜 gyrovague를 공격하는지 이유를 모르겠음
    • 핀란드 IP뿐 아니라 VPN에서도 접속이 막혀서 대체 서비스를 찾고 있음

  • 이 사태의 타임라인이 흥미로움
    (1) 2019년 5월, “Cloudflare DNS(1.1.1.1)에서 archive.is가 접근 불가”라는 글이 올라왔고, Cloudflare는 “우리는 어떤 도메인도 차단하지 않는다”고 밝힘
    archive.is가 EDNS subnet 정보를 전달하지 않는 1.1.1.1의 정책 때문에 잘못된 응답을 돌려준다고 설명함
    Cloudflare는 사용자 프라이버시 보호를 위해 이 정보를 전달하지 않으며, 국가 단위 감시를 막기 위한 조치라고 함
    (2) 2021년 9월, “Cloudflare 1.1.1.1이 archive.is를 차단하나?”라는 후속 논의가 있었음

    • 위에서 언급된 1.1.1.1은 Cloudflare의 기본 리졸버이고, 1.1.1.2와 1.1.1.3은 악성코드 및 콘텐츠 차단용

  • 이 스레드만 봐도 archive.today 관련 여러 페르소나가 동시에 활동 중인 것 같음. 소크퍼펫이거나 더 큰 작전의 일부로 보임

  • archive.today가 없었다면 HN 게시물의 상당수가 읽히지 않았을 것임

    • 그건 아마 archive.org과 혼동한 것 같음

  • DNS Tunneling과 C&C/botnet 분류가 이상함. 이건 단순 크롤링이 아니라 데이터 유출이나 방화벽 우회를 의미함
    어떤 트래픽 패턴이 이런 분류를 유발했는지 궁금함

    • 나도 그 점이 의문이었음. archive.today를 이용해 DNS 차단된 사이트를 우회할 수 있어서 그런가 생각했지만, web.archive.org는 그런 플래그가 없음. 다른 이유가 있을 듯함
      Cloudflare Radar에서 web.archive.org 도메인 정보
답변달기