DNS 캐시 중독이란 무엇입니까?
DNS 스푸핑이라고도하는 DNS 캐시 중독은 DNS (Domain Name System)의 취약성을 악용하여 합법적 인 서버에서 가짜 서버로 인터넷 트래픽을 전환시키는 공격 유형입니다.
DNS 중독이 너무 위험한 이유 중 하나는 DNS 서버에서 DNS 서버로 확산 될 수 있기 때문입니다. 2010 년에 DNS 중독 사건으로 인해 중국의 Great Firewall이 일시적으로 중국의 국경을 벗어나 문제가 해결 될 때까지 미국에서 인터넷을 검열했습니다.
DNS 작동 원리
컴퓨터가 "google.com"과 같은 도메인 이름에 접속할 때마다 먼저 DNS 서버에 접속해야합니다. DNS 서버는 컴퓨터가 google.com에 연결할 수있는 하나 이상의 IP 주소로 응답합니다. 그런 다음 컴퓨터는 해당 숫자의 IP 주소에 직접 연결합니다. DNS는 "google.com"과 같이 사람이 읽을 수있는 주소를 "173.194.67.102"와 같은 컴퓨터에서 읽을 수있는 IP 주소로 변환합니다..
- 더 읽기 : HTG 설명 : DNS 란 무엇입니까??
DNS 캐싱
매우 비효율적 인 인터넷은 단 하나의 DNS 서버를 가지고 있지 않습니다. 인터넷 서비스 공급자는 다른 DNS 서버의 정보를 캐시하는 자체 DNS 서버를 실행합니다. 홈 라우터는 ISP의 DNS 서버에서 정보를 캐시하는 DNS 서버의 기능을합니다. 컴퓨터에 로컬 DNS 캐시가있어 DNS 조회를 반복해서 수행하는 대신 이미 수행 된 DNS 조회를 빠르게 참조 할 수 있습니다.
DNS 캐시 중독
DNS 캐시가 잘못된 항목을 포함하면 중독 될 수 있습니다. 예를 들어 공격자가 DNS 서버를 제어하고 DNS 서버의 일부 정보를 변경하는 경우 (예 : google.com은 실제로 공격자가 소유 한 IP 주소를 가리키고 있음) DNS 서버가 사용자에게 잘못된 주소로 Google.com을 방문하십시오. 공격자의 주소에는 일종의 악성 피싱 웹 사이트가있을 수 있습니다
이와 같은 DNS 중독도 확산 될 수 있습니다. 예를 들어 다양한 인터넷 서비스 공급자가 손상된 서버에서 DNS 정보를 가져 오는 경우 감염된 DNS 항목이 인터넷 서비스 공급자에게 전파되어 그곳에 캐시됩니다. 그런 다음 DNS 항목을 조회하고 잘못된 응답을 수신 한 다음 저장하여 홈 라우터와 컴퓨터의 DNS 캐시로 확산됩니다.
중국의 위대한 방호책이 미국에 퍼졌습니다.
이것은 단지 이론적 인 문제가 아닙니다. 현실 세계에서 대규모로 발생했습니다. 중국의 위대한 방화벽이 작동하는 방법 중 하나는 DNS 수준에서 차단하는 것입니다. 예를 들어 twitter.com과 같이 중국에서 차단 된 웹 사이트의 DNS 레코드가 중국의 DNS 서버에있는 잘못된 주소를 가리킬 수 있습니다. 이로 인해 트위터가 정상적인 방법으로 접근 할 수 없게됩니다. 이것을 중국이 의도적으로 자체 DNS 서버 캐시에 중독시키는 것으로 생각하십시오..
2010 년 중국 이외의 인터넷 서비스 제공 업체는 중국의 DNS 서버에서 정보를 가져 오기 위해 실수로 DNS 서버를 구성했습니다. 그것은 잘못된 DNS 레코드를 중국에서 가져 와서 자체 DNS 서버에 캐싱합니다. 다른 인터넷 서비스 공급자는 해당 인터넷 서비스 공급자로부터 DNS 정보를 가져 와서 DNS 서버에서 사용했습니다. 미국의 일부 사람들이 미국 인터넷 서비스 제공 업체의 트위터, 페이스 북 및 유튜브에 접속하지 못하게 될 때까지 독살 된 DNS 항목이 계속 퍼졌습니다. 중국의 대 방벽 (Great Firewall of China)은 국경 밖에서 "누출"되어 세계 곳곳의 사람들이이 웹 사이트에 액세스하지 못하도록 막았습니다. 이것은 본질적으로 대규모 DNS 중독 공격으로 기능했습니다. (출처.)
해결책
DNS 캐시 중독과 같은 실제적인 이유는 DNS 응답이 실제로 합법적인지 또는 조작되었는지 여부를 판단 할 실제 방법이 없기 때문입니다.
DNS 캐시 중독에 대한 장기적인 해결책은 DNSSEC입니다. DNSSEC을 사용하면 조직에서 공개 키 암호화를 사용하여 DNS 레코드에 서명 할 수 있으므로 컴퓨터가 DNS 레코드를 신뢰할 수 있는지 여부 또는 그것이 중독되어 잘못된 위치로 리디렉션되는지 여부를 알 수 있습니다.
- 자세히보기 : DNSSEC가 인터넷을 보호하는 방법과 SOPA가 거의 불법으로 만든 방법
이미지 신용 : Andrew Kuznetsov, Flickr, Jemimus, Flickr, NASA