DNS, DNS 보안(DNSSec), Reverse DNS

DNS, DNS 보안(DNS SEC)

 

DNS

Domain Name Space, Resource Record, Name Server, Resolver

 

도메인 이름을 네트워크에서 사용하기 위해 도메인 이름을 IP 주소로 변환하는 시스템

 

 

 

 

* DNS 구조

2. 구성요소 [SSRR]

1) Domain Name Space

- 도메인 네임의 트리 형태의 계층적(hierarchical) 구조 공간을 의미

- 특정 도메인 네임은 유일한 네임(globally unique name)으로 유지

2) Name Server

- 도메인 네임 시스템의 분산구조 DB를 구현한 서버

- 도메인 존(domain zone)의 정보 소유 및 질의에 대한 응답 수행

- Iterative : 특정 질의에 대해자신이 소유한 도메인 존(domain zone)의 정보만 응답 함

- Authoritative : 도메인 네임 공간상의 특정 영역(zone)에 대해 관리권한이 위임

3) Resolver

- 네임서버로부터 클라이언트의 요청정보를 얻어내는 프로그램

- 무수히 존재하는 DNS 서버들 가운데 원하는 도메인이름의 정보를 소유한 DNS 서버를 파악하고 이 정보를 조회

4) 리소스 레코드

- 인터넷 자원(resource) 정보 표현

-도메인 네임, IP 주소, 주소 속성, Zone을 연결하여 데이터 베이스 구성

 

3. DNS 관리정보

Name	찾고자 하는 가변 길이의 도메인 이름이다. 질의 레코드에 기록되어 DNS서버에 요청됨
Type	16비트 크기로 자원의 종류를 나타냄
Class	프로토콜 패밀리를 의미하는데, 인터넷에서는 IN 값을 사용
TTL (Time To Live)	자원 레코드가 만기될 때까지의 유효 시간을 초 단위로 표시하며 특정 호스트에 캐시된 정보가 만기되어 버려질 때까지 얼마나 오래 저장되어 사용할 수 있는지를 나타냄
RD Length	자원 데이터의 길이를 바이트 단위로 나타냄
RD(Resource Data)	자원 레코드와 관계된 데이터가 기록되는데, 자원 레코드의 유형 값에 따라 내용의 구성과 크기가 달라짐
A(Address)	호스트의 IP 주소를 의미하며 도메인 이름을 IP 주소로 변환하는데 사용
NS(NameServer)	도메인을 관장하는 인증된 네임 서버를 나타냄
CNAME(Canonical Name)	자원에 대한 접근을 단순화하려고 사용되며, 호스트 이름의 별명을 지원
SOA(Start of Authority)	존의 시작을 표시
WKS(Well-known Services)	호스트가 제공하는 네트워크 서비스를 정의
PTR(Pointer)	IP 주소를 도메인 이름으로 변환하는 데 사용

 

 

 

 

2. DNS 구성요소

1) Domain Name Space:. (dot) 구분 레이블 구조화 : Root DNS + 하위노드 계층화 통한 Resourc Record 정보 표현

2) Resource Record:Name, Type, Class, TTL, RD, A, SOA, NS, CNAME,PTR : 도메인 네임, 인터넷 자원 매핑 통한 분산 구조형 DB 구성수단

3) Name Server: DNS 서버(Iterative, Recursive, Authoritative) : 질의처리 수행 DNS 서버

4) Resolver: Full Resolver, Stub Resolver : 도메인  DB 검색

3. DNS 공격, 대응방안

1) 공격 : 캐시포이즈닝, 권한 DNS 탈취, DDos 공격 거점활용

2) 대응 : 캐시포이즈닝(DNS Sec, Recursive 제한), DNS 권한탈취(PW, ACL), DDos 거점활용(Recursive 제한,Blackhole 옵션)

 

 

---

아마존 이메일을 가장한 공격사례의 경우 피해자가 이메일을 클릭하면 다른 사이트로 넘어가게 한 뒤, 공격자가 소프트웨어를 설치하거나 비밀번호, 전화번호, 신용카드정보와 같은 개인정보를 탈취하는 방법이 주로 사용된다.

 

이 같은 수법으로 사용자를 속이는 공격 패턴이 급증하고 있으며, 기존 봇넷과 C&C서버 고정 IP를 사용하던 방식에서 진화해 DNS를 이용하는 방식으로 피해자들을 노리고 있다.

 

특히, 공격자들은 단일 도메인과 IP는 쉽게 추적되는 것을 알고 새로운 방식인 C&C 서버와 매핑된 임의의 도메인이 블랙리스트에 등록되면, 곧바로 매일 생성되는 도메인들 중 하나를 이용하여 재등록하는 수법을 이용한다.

C&C 서버는 IP 통신을 시작으로, Fast Flux를 거쳐 DGA(Domain Generation Algorithm)를 사용하는 단계까지 진화했다. 현재 C&C 서버는 Fast Flux와 DGA 기법을 합친 형태로 진화하고 있다. 이렇게 진화하는 해커들의 공격은 분석과 추적이 매우 어렵다.

(2017-09-27) http://www.boannews.com/media/view.asp?idx=57246

DNS 이용한 공격, 어디까지 진화했나

 

 

DNS  Cache Poisoning

DNS 프로토콜의 취약점(Stateless)을 이용하여 캐시 DNS에 저장된 쿼리 정보를 위, 변조하여 공격하는 기법

 

* 특징

- DNS에서 Transaction ID 와 소스 포트 넘버를 부여할 때 예상하기 쉬운 랜덤 값을 생성하기 때문에 발생하는 보안 취약점 이용

- 파밍 공격의 유형으로 개인정보 및 금융정보 유출 가능

 

 

 

 

 

* 대응 방안

- DNS 최신 패치

- Recursion 기능 중지

- DNS 버전 숨김

- DNSSEC

   ( DNSKEY , RRSIG , DS , NSEC)

   공개키 전자서명기술

 

기법 (스지R)

- 잘못된 응답전송

- 스니핑 통한 포이즈닝

- Random 2D통한 포이즈닝

 

DNSSEC는 DNS 정보의 위·변조를 방지하기 위해 DNS 정보에 공개키 암호화 기반 전자서명을 추가한 국제표준을,

키 서명키(Key Signing Key)는 DNSSEC 전자서명 및 서명 검증에 사용되는 암호화 키를 의미

 

 

 

---

 

1. DNS DDoS의 개념

• DNS ANY Query를  요청하는 것으로 위장(IP Spoofing) 한 후 특정 도메인의 ANY 레코드의 결과를 Open Resolver(Reflector, 일종의 중계 DNS 서버)를 통해 피해자 네임 서버(Name Server)로 전송되도록 하는 전형적인 DNS 증폭 DDoS 공격 (DNS Amplification DDoS Attack) 형태

 

2. DNS DDoS의 동작 개념도

• 악성코드에 감염된 다수의 PC에서 IP Spoofing을 사용하여 DNS ANY 레코드 쿼리의 출발지 주소를 피해자 DNS 서버로 위장하고, 해당 결과를 Open Resolver ( Reflector)가 적용된 DNS 서버를 통해 피해자로 DNS Amplification DDoS 공격 이 유입

 

 

 

*DNS 싱크홀 : DDos 공격시 빠른 대응

 

 

 

 

---

 

DNS 보안(DNS SEC)

전자서명, DNSKEY, RRSIG, DS, NSEC / NSEC3

1. DNS 보안 : DNS에 대한 신뢰성을 인증하고 송수신 데이터에 대한 무결성을 제공하기 위해 IETF를 중심으로 만들어진 DNS 확장 표준 프로토콜 (DNS가 스푸핑될 수 없도록 DNS를 전자 서명하고 검증하는 보안 계층)

2. DNS의 취약점 :

1) DNS 캐시 포이즈닝(DNS Cache Poisoning)공격 : DNS 프로토콜 자체의 취약성으로 DNS 캐시에 저장된 쿼리 정보를 위.변조

2) 패킷 가로채기(Packet Interception)공격 : DNS 질의/응답 과정 중의 패킷을 가로채 정보 위변조

3) 정보제공 DNS로 위장한공격 : 루트 네임서버, KR 네임서버 등 정보제공 DNS로 위장, 잘못된 정보를 제공

3. DNS 보안 강화 기술 DNSSEC : 1)DNS신뢰성/무결성 확보 2)DNS확장 표준 프로토콜 3) DNSSEC: DNS Security Extensions (DNS 보안성 확장)

4. DNSSEC의 핵심기술

  (1) DNS 질의 처리를 위한 공개키 암호 방식(Public Key Cryptography) 전자서명 메커니즘 적용

  (2) DNSSEC의 전자서명과 서명검증 절차를 지원하기 위한 신규 리소스 레코드(RR)

     1) RRSIG(Resource RecordSignature) RR : 도메인 네임 시스템의 각 리소스 레코드 데이터에 대한 전자서명 데이터를 저장하기 위한 리소스 레코드

     2) DNSKEY(DNS PublicKey) RR : 도메인 존(zone)의 공개키(public key) 데이터를 저장하여 제공하기 위한 리소스 레코드

     3) DS(Delegation Signer)RR : DNS 고유의 위임체계에 따라 보안측면의 인증된 위임체계를 구성하기 위한  데이터를 저장하기 위한 리소스 레코드

     4) NSEC(Next Secure) RR : “DNS 데이터의 부재 인증(authenticated denial of existence of DNS data)”을 위해 정의된 리소스 레코드

5. 기술적 장애요인과 해결

  (1) 존 목록화(zoneenumeration) 이슈

  (2) 위임설정 정보서명처리(.com/.kr) 존설정의 위임에 대한 비용발생

 

 

 

DNS Rebind Attack :

1. Same Orgin Policy를 우회 > 악성 자바 스크립트 실행

2. 공격 사이트 도메인에 대한 IP 주소를 재요청(TTL를 짧게 설정하여 유도)

2. 재요청된 DNS Query에 Local IP로 설정하여 외부 RPC 공격을 연계하는 형태

4. CVE CVE-2018-5702

- DNSSEC을 통해 완전 차단은 어려움

 

대응 방법 :

1. DNS Resolver 강화 : 외부 도메인에 대한 DNS Query 제한, IP Hijacking 차단은 안됨

2. Finer-grained Orgins : Checking Host Header, DNS Hand-off를 사전에 차단

3. Smart Pining : RFC 1035(TTL)/1918(Public/Private fail-over)를 고려한 IP Rebound 정책 설정

4.  Host Name Authentciation/Trusted Service Provider

 

참조 링크 : http://savni.tistory.com/entry/DNS-Rebinding%EC%9D%84-%EC%9D%B4%EC%9A%A9%ED%95%9C-Transmission-%EC%B7%A8%EC%95%BD%EC%A0%90-%EB%B6%84%EC%84%9D

DNS Rebinding을 이용한 Transmission 취약점 분석