본문 바로가기
네임서버

DNS amplification attacks(DNS 증폭 공격)

변군이글루 2013. 6. 18. 00:29
반응형

DNS amplification attacks(DNS 증폭 공격)

출처-http://securityaffairs.co/wordpress/wp-content/uploads/2012/03/dns-amplification-attack-big.jpg

DNS 증폭 공격(DNS amplification attack)은 DDoS(분산 서비스 거부) 공격의 한 형태로서, 악의적인 공격자가 DNS 서버를 이용하여 대량의 데이터 트래픽을 목표 시스템으로 보내는 공격입니다. 이 공격은 공격자의 IP 주소를 숨기고 대량의 트래픽을 생성하기 위해 DNS 프로토콜의 특성을 이용합니다.

 

DNS 증폭 공격은 일반적으로 다음과 같은 과정으로 이루어집니다.

  1. 공격자는 여러 개의 DNS 서버로 구성된 봇넷(Botnet)을 사용합니다. 이 봇넷은 해킹된 컴퓨터 또는 좀비 컴퓨터로 구성될 수 있습니다.
  2. 공격자는 송신자 주소를 위조하여 대량의 DNS 질의(Query)를 유발하기 위해 DNS 서버들을 대상 시스템으로 설정합니다.
  3. 공격자는 DNS 서버에 DNS 질의를 보내기 전에 특정한 유형의 DNS 패킷을 작성합니다. 이 패킷은 일반적으로 대량의 응답 데이터를 생성할 수 있는 질의 형식을 이용합니다.
  4. DNS 서버는 해당 질의에 대한 응답을 생성하고, 이 응답은 공격자의 주소로 돌아갈 것으로 보입니다. 하지만 응답은 공격자가 공격하고자 하는 피해 시스템의 IP 주소로 보내집니다.
  5. 결과적으로, 피해 시스템은 DNS 서버로부터 수백 배나 더 많은 데이터를 수신하게 되어 대량의 트래픽 과부하에 시달리게 됩니다. 이로 인해 피해 시스템은 서비스 거부 상태가 될 수 있습니다.

DNS 증폭 공격은 공격자의 IP 주소를 위조하고 작은 질의를 통해 대량의 응답을 생성할 수 있는 DNS 프로토콜의 특성을 이용하기 때문에 효과적인 공격 방법 중 하나입니다. 이러한 공격을 방지하기 위해 DNS 서버는 트래픽 모니터링, 필터링, 응답 제한 등의 방어 메커니즘을 구현하여 공격을 대응할 수 있습니다.

  • http://www.ripe.net
    • RIPE NCC(Reseaux IP Europeans) : 유럽, 동부 중앙 아시아
    • 인터넷 기술지원 단체, IP, RIR, ISP 등 서비스 제공 안내
  • BIND 로그 확인
tail -f /var/named/log/queries.log
$ tail -f /var/named/log/queries.log
29-May-2013 17:12:54.394 queries: info: client 64.62.138.98#36046: query: ripe.net IN ANY +E (192.168.0.2)
29-May-2013 17:12:54.394 queries: info: client 64.62.138.98#15214: query: ripe.net IN ANY +E (192.168.0.2)
29-May-2013 17:12:54.394 queries: info: client 64.62.138.98#14818: query: ripe.net IN ANY +E (192.168.0.2)
29-May-2013 17:12:56.574 queries: info: client 75.126.17.44#53127: query: ripe.net IN ANY +E (192.168.0.2)
29-May-2013 17:12:56.574 queries: info: client 75.126.17.44#27569: query: ripe.net IN ANY +E (192.168.0.2)
29-May-2013 17:12:56.574 queries: info: client 75.126.17.44#63351: query: ripe.net IN ANY +E (192.168.0.2)
29-May-2013 17:12:56.574 queries: info: client 75.126.17.44#32577: query: ripe.net IN ANY +E (192.168.0.2)
  • 방화벽 설정
vim /etc/sysconfig/iptables
### isc.org ANY
-A INPUT -p udp -m string --hex-string "|03 69 73 63 03 6F 72 67 00 00 FF 00 01|" --algo kmp --to 53 -j DROP
### ripe.net ANY
-A INPUT -p udp -m string --hex-string "|01 04 72 69 70 65 03 6e 65 74 00|" --algo kmp --to 53 -j DROP
service iptables restart

 

728x90
반응형

'네임서버' 카테고리의 다른 글

[네임서버] bind 9.7.7 설치  (0) 2013.06.18
[BIND] NAMED 구동 스크립트  (0) 2013.06.18
[네임서버] 권한 DNS서버의 도메인 존 DNSSEC 서명적용 및 네임서버 반영절차  (0) 2013.06.18
[네임서버] 캐시 DNS서버의 DNSSEC 서명검증 기능 설정  (0) 2013.06.18
[네임서버] BIND 관리를 위한 RNDC 설정  (0) 2013.06.17

'네임서버' Related Articles

티스토리툴바