본문 바로가기

반응형

DNS

[보안] Bind DNS의 DDoS 차단 기능 100% 활용하기! Anti-DDoS 기능 활용을 위해 최신의 Bind DNS로 업그레이드 검토 필요해 굳이 지난 6월말, 일부 xxx.go.kr 도메인에 대한 DNS DDoS 공격의 예를 들지 않더라도 최근 DDoS공격자들은 웹에 대한 공격이 anti-ddos에 의해 방어가 되면, 다음 단계로 DNS에 대한 DDoS공격을 감행하는 것이 자주 목격되고 있다. 그만큼 이제 DNS에 대한 DDoS 공격 risk가 현실화되고 있다는 것을 뜻하는 것으로, 이제 각 조직에서는 이에 대한 기술적 대응 방안을 구체적으로 고민하고 해답을 마련하여야 할 시기라고 생각한다. 다행스럽게도 최신 버전의 Bind 소프트웨어에서는 DDoS에 대응 가능한 비율제한(rate-limit) 보안 기능이 추가되어 제공되고 있는데, 유용한 몇 가지 기능에 대.. 더보기
[네임서버] dns 포워딩(bind dns forwarding) dns 포워딩(bind dns forwarding) - 도메인 질의에 대한 처리를 해당 DNS 서버에서 하지 않고 특정 DNS 서버로 전달하는 방식 문법 [ forward ( only | first ); ] [ forwarders { [ ip_addr [port ip_port] ; ... ] }; ] // first : 외부 질의를 할때 우선 포워더를 참조해보고 전부 실패할 경우 직접 처리. // only : 포워더가 전부 실패해도 직접 처리하지 않음. [옵션 구문] options { ...(생략) forward only; // forward to external servers forwarders { bastion-ips-go-here; ...(생략) }; [도메인 구문] zone zone_name [c.. 더보기
DNS 캐싱(caching) 유형 DNS 캐싱(caching) 유형 DNS 캐싱은 DNS(Domain Name System) 서버에서 이전에 수행한 DNS 조회 결과를 저장하여 미래의 조회에서 속도를 향상시키는 메커니즘입니다. DNS 캐싱은 일반적으로 세 가지 유형으로 나뉩니다: 캐싱(Caching), 긍정 캐싱(Positive Caching), 부정 캐싱(Negative Caching). 1. 캐싱 (Caching) DNS 서버는 이전에 수행한 DNS 조회 결과를 메모리나 디스크와 같은 로컬 저장소에 저장합니다. 이는 동일한 조회가 반복될 때 재조회를 하지 않고 저장된 결과를 반환함으로써 네트워크 대역폭을 절약하고 조회 응답 시간을 단축시킵니다. 일반적으로 DNS 캐시의 만료 시간(TTL)을 설정하여 캐시된 항목이 유효한 기간 동안 저.. 더보기
BIND [ERROR]bad owner name (check-names) BIND [ERROR]bad owner name (check-names) BIND DNS 서버에서 "bad owner name (check-names)" 오류는 DNS 레코드의 소유자 이름(Owner Name)이 DNS 표준에 맞지 않거나 잘못된 문자로 구성되어 있는 경우 발생하는 문제입니다. BIND는 보안 및 안정성을 유지하기 위해 RFC (Request for Comments)에 정의된 DNS 표준을 준수해야 합니다. 오류를 해결하려는 방법 DNS 데이터베이스 파일 검사 먼저 오류 메시지를 발생시키는 데이터베이스 파일을 확인합니다. 오류 메시지에 나오는 "bad owner name" 부분이 어떤 레코드에 해당하는지 확인합니다. 레코드 확인 해당 레코드를 확인하고 레코드의 소유자 이름 (owner n.. 더보기
[기사] 안랩 "청와대 해킹, 신종 디도스 공격" (서울=뉴스1) 서영진 기자= 안랩(대표 김홍선)은 25일 발생한 청와대와 국정원, 새누리당 웹사이트 공격에는 악성 스크립트 방식의 분산서비스거부(DDoS, 디도스)공격 기법이 이용됐다고 26일 밝혔다. 또 정부통합전산센터의 도메인 네임 서비스(DNS)는 좀비PC를 활용한 기존 방식의 디도스 공격을 받은 것으로 확인됐다고 분석했다. '악성스크립트 방식' 디도스 공격은 공격자가 특정 웹사이트에 악성스크립트를 설치하고 사용자가 해당 사이트를 방문하면, 미리 설정한 웹사이트로 공격 트래픽을 전송하는 방식이다. 기존의 기존 좀비PC를 이용한 공격과 동작 원리가 다르다. 안랩은 "악성스크립트가 설치된 해당 웹사이트에 접속하자 공격자가 목표로 한 청와대, 국정원과 새누리당 웹사이트에 대규모 트래픽 공격이 이뤄졌다".. 더보기
DNS SPF 란, SPF 설정하는 방법 SPF 란, SPF 설정하는 방법 SPF (Sender Policy Framework)는 이메일 도메인의 송신자 식별 및 인증 메커니즘입니다. 이메일 도메인의 송신자가 자신을 인증하고 스푸핑(위조)을 방지하기 위해 SPF를 사용할 수 있습니다. SPF는 이메일 도메인 소유자가 해당 도메인을 통해 이메일을 보내는 서버를 명시적으로 정의하는 DNS(Domain Name System) 레코드를 설정하는 것으로 작동합니다. 이 DNS 레코드에는 도메인의 허용된 송신자 목록이 포함되어 있습니다. 이메일 수신 서버는 이러한 SPF 레코드를 확인하여 도메인이 이메일을 보내는 허용된 송신자 목록과 일치하는지 확인할 수 있습니다. SPF는 이메일 스푸핑과 같은 이메일 피싱 공격을 방지하는 데 도움이 됩니다. 이를 통해 .. 더보기
[네임서버] DNSSEC 설정 및 적용 DNSSEC 설정 및 적용 각각의 도메인 존에 대해 Zone Signing Key(ZSK)와 Key Signing Key(KSK)를 생성한다. •Zone Signing Key (ZSK) ◦존의 모든 RR 를 서명한다. •Key Signing Key (KSK) ◦ZSK를 서명하는데 사용한다. ◦존의 Secure Entry Point (SEP) 키로 사용된다. ▶ Key-Signing Key (KSK) 생성 [root@sangchul named]# dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -n ZONE -f KSK sangchul.kr Generating key pair.......................................+++ ........... 더보기
[기타] 티스토리(tistory) 블로그 연결 티스토리(tistory) 블로그 연결 2차 블로그 주소의 DNS 설정 IP 변경을 권장합니다. 새로운 소식/기능 업그레이드 2010/11/25 18:58 안녕하세요. TISTORY 입니다. 티스토리에서 2차 블로그 주소를 설정하여 사용하시는 분들이 많습니다. 외부 DNS 서비스에서 설정하신, IP는 DDoS 공격에 취약한 부분들이 있었습니다. 그래서 DDoS공격 또는 유사한 공격으로 인한 장애를 방지 할 수 있도록 새로운 서버를 준비하였습니다. 2차 블로그 주소를 사용하시거나 신규로 설정하실 분들은 아래 내용을 확인하시기 바랍니다. DNS 호스트 IP설정 변경 권장 대상 (1)현재 티스토리 2차 도메인 주소 사용중인 블로그 (2)앞으로 티스토리 2차 도메인 주소를 사용하실 블로그 권장 사유 기존에 설정 .. 더보기

728x90
반응형