DNS 보안에 대해 알아보겠습니다.

Ⅰ. DNS 정의

   DNS(Domain Name Server) 는 호스트의 도메인 이름(daum.net,naver.com)을 호스트의 네트워크 주소(xxx.xxx.xxx.xxx)로 바꾸거나 그 반대의 변환을 수행합니다. TCP/UDP 방식에 기반해 포트 번호 53번 사용합니다.

Ⅱ. 운영체제별 DNS 우선순위

   1.  Linux DNS 우선순위

      1) nscd ( Name Service Cache Daemon ) - nscd 데몬이 설치되었을 경우에만 활성화.

          : 윈도우의 dns cache 와 같음.

      2)  /etc/hosts

          : 도메인/호스트명과 IP 주소 매핑정보

      3)  /etc/resolv.conf 

      4) /etc/sysconfig/network-scipts/ifcfg-ensxx 내 DNS 설정

    2. 윈도우즈 운영 체제에서 DNS 처리 과정

     1)  DNS 캐시

         : Windows 명령 프롬프트 내 DNS 정보 확인 명령어 (ipconfig)

           ipconfig /flushdns     :  DNS 확인 프로그램 캐시를 제거합니다.
           ipconfig /registerdns :  모든 DHCP 임대를 새로 고치고 DNS 이름을 다시 등록합니다.
           ipconfig /displaydns  :DNS 확인 프로그램 캐시 내용을 표시 및 DNS 캐시 테이블에서 IP 주소 검색 

     2)  hosts.ics

          : C:\windows\system32\drivers\etc\hosts.ics 파일 검토. - hosts 파일보다 먼저 검사함

     3) C:\Windows\System32\drivers\etc\hosts에서 설정된 HOSTNAME, IP 확인

     4) 시스템 내 설정된 DNS 서버에게 IP 주소 질의

     3. DNS 질의 확인

Ⅲ. DNS 서비스 위협 요소

 (1) DNS 증폭(DNS Amplification) 공격

     1) 출발지의 주소를 공격 대상자의 주소로 설정하는 IP 스푸핑 기법을 적용해 질의하는 일 종의 플러딩 공격

     2) DNS 서버는 출발지 주소에 기반해 공격자가 질의한 요청을 공격 대상자에게 응답

    3) 질의문의 유형을 A 유형 또는 CNAME 유형 등이 아닌 Any 유형으로 설정해 응답 크기 를 증가시킴으로서

        공격 대상자에게 과부하 유발

   4) 내부 IP에서 요청한 DNS 질의에 대해서만 응답하도록 설정을 권고

(2) DNS 스푸핑(DNS Spoofing) 공격

   1) DNS 주소를 공격자가 지정한 IP로 변경

   2) 공격자가 지정한 DNS 서버 내 사용자가 자주 접근할만한 사이트의 호스트네임과 IP 를 미리 설정해놓음

   3) 위조된 사이트로 인해 피해발생

(3) 리소스 레코드 정보 노출

 

Ⅳ. 사이트 차단 정책

(1) 서버 IP 차단 방식

(2) DNS 차단 방식 ISP 업체가 제공하는 DNS 서버에서 도메인 네임에 해당하는 IP 주소를 질의하는 요청이 들어오면

     실제 해당 IP 주소 대신 차단 사이트(warning.or.kr)의 IP 주소를 알려주는 방식

(3) HTTP 헤더의 호스트 정보를 이용한 차단 방식

(4) SNI(Server Name Indication) 차단 방식

   1) 암호화가 본격적으로 개시되기 직전에 순간적으로 Extension: server_name 항목에 호스트 이름이 표시되는

       순간을 포착해 차단

    2) ESNI(Encrypted SNI) 기술을 통해 우회