메뉴 닫기

dns 해킹 공격 관련

[ 해킹공격 유형 및 형태 ] 

1. 공격유형 
    DNS (UDP 53Port) 서버에 도메인 무한 질의(query)를 하게되며, DNS서버는 무한으로 질의의 결과값 
    을 전송하게 됩니다. 
    전송시 많은 국제트래픽이 발생되며, 경우에 따라서는 서버의 네트워크 부하가 발생하기도 합니다. 
    DNS서버 부하시 웹서비스 및 타서비스까지 지장을 받게 됩니다. 

2. 공격으로 인한 피해 범위 
    – 공격으로 인한 피해 범위는 Public Network 상단 L2 Switch, L3 Switch에 부하를 발생 시키며, 이는 
      본인의 서버와 타인의 서버까지 네트워크 병목을 발생시킵니다. 
    – DNS서버 부하시 웹서비스 및 타서비스까지 지장을 받게되며, 장애발생 원인이 되기도 합니다. 
    – 서버를 이용하는 기업 및 타기업까지 서비스에 영향을 받게되며, 기업의 매출을 하락 시킬 수 있습니
      다. 

3. 자가 조치 방법 
    1) 자체 DNS서버를 사용하지 않는 경우 
        네임서버 데몬을 중지처리 하고, 부팅시에도 가동되지 않도록 조치합니다. 

        [리눅스] 
        # /etc/init.d/named stop 
        # chkconfig –level 12345 named off 

        [윈도우즈] 
        [시작] – [관리도구] – [서비스] 에서 ‘DNS Server’ 우클릭 > 속성 > 서비스 상태를 ‘중지’ 시킨 뒤, 
        시작 유형을 ‘사용 안함’으로 변경 > 확인 

    2) 자체 DNS서버를 사용하는 경우 
        2-1) 자체 DNS서버가 PC나 특정 서버의 네임서버로 사용되지 않을때 recursion 설정을 중지 시킵 
               니다. 

               [리눅스] 
               /etc/named.conf 파일의 options 에 recursion no; 설정후, 아래 명령으로 named 재시작 
               # /etc/init.d/named restart 

               [윈도우즈] 
               [시작] – [관리도구] – [DNS] 에서 
               좌측 트리구조 ‘DNS서버’ 우클릭 > 속성 > [고급]탭에서 ‘재귀를 사용 안함’ 체크 > 확인 

        2-2) 리눅스의 iptables 를 이용하여 과다한 접속량을 감소 시키는 방법 
                (53번 포트로 1초에 10번 이상 접속시도 차단) 
                -A INPUT -p udp -m udp –dport 53 -m state –state NEW -m recent –set –name DNS –rsource 
                -A INPUT -p udp -m udp –dport 53 -m state –state NEW -m recent –update –seconds 1 –hitcount 10 –rttl –name DNS –rsource -j DROP 
                -A INPUT -p udp -m udp –dport 53 -j ACCEPT 

        /etc/sysconfig/iptables 에 3줄 추가 후 아래 명령으로 iptables 를 재시작 합니다. 
        평소 iptables 방화벽을 사용하지 않았을 경우 추가된 룰 외에 기존에 있던 룰에 의해 
        접속자 및 서비스포트가 차단될 수 있으니 룰 상태 확인 후 적용하시기 바랍니다. 
        # /etc/init.d/iptables restart 

[polldaddy rating=”7739789″]

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 항목은 *(으)로 표시합니다