반응형

 

  공격 원리

  • DNS 질의는 인증 절차가 없다는 점을 이용
  • DNS 질의 트래픽량은 요청량보다 DNS 서버의 응답량이 더 많다는 점을 이용

DNS 요청/응답 패킷 - www.naver.com

 

  공격이 이루어지는 과정

  1. 공격자가 Open Resolver(중계 DNS 서버) 서버에 DNS Query의 Type을 "ANY"로 변경한 후 출발지를 피해자의 IP 수정한다.
  2. Open Resolver 서버는 찾는 도메인이 자신이 관리하지 않을 경우 상위 DNS에 물어 응답을 받아 온다.
  3. Open Resolver는 DNS type을 ANY로 요청 받았기 때문에 A, NS, CNAME 등 모든 Type의 정보를 응답한다.
  4. 공격자는 출발지 IP 주소를 희생자의 주소로 위조하였기 때문에 다수의 Open Resolver 서버에 보내면 피해자는 다수의 DNS 서버로 부터 수 Gbps의 응답을 받게 된다.

set type 변경

 

DNS ANY type 패킷

DNS ANY 타입의 패킷을 보면 Type이 * (00 ff)임을 확인할 수 있다.

 

 

  대응 방법

DNS 서버의 재귀 쿼리(Recursive Query)를 사용하지 않는다면 설정 해제

단, 꼭 사용해야 한다면 DNS 서버 설정을 통해 내부 사용자의 주소만 재귀 쿼리(Recursive Query)를 허용

방화벽 설정을 통해 특정 byte 이상의 DNS 응답을 차단

 

 

 

[References]

ASEC blog : https://asec.ahnlab.com/951

 

주요 정부기관 DNS 서버 대상으로 DNS 증폭 DDoS 공격 - ASEC BLOG

6월 25일 주요 정부 기관을 대상으로 한 DDoS(Distributed Denial of Service) 공격이 발생한 이후 새로운 형태의 DDoS 공격 형태가 6월 27일 추가 발견되었다. 이번 발견된 DDoS 공격 형태는 다수의 PC에서 ANY

asec.ahnlab.com

DNS 증폭 공격 : http://itwiki.kr/w/DNS_%EC%A6%9D%ED%8F%AD_%EA%B3%B5%EA%B2%A9

 

DNS 증폭 공격 - IT위키

 

itwiki.kr

 

 

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

 

 

 

반응형
저작자표시 비영리 변경금지

'IT > Network' 카테고리의 다른 글

[Wireshark] 와이어샤크 SSL/TLS 패킷 복호화 하는 방법  (1) 2022.03.17
[Network] DNS Open Resolver 활성화/비활성화 차이 및 찾는 방법  (0) 2022.03.16
[Network Forensic] #4. The Curious Mr. X  (0) 2018.08.10
[Network Forensic] #3. Ann’s AppleTV  (0) 2018.08.10
[Network Forensic] #2. Ann Skips Bail  (0) 2018.08.09

+ Recent posts

티스토리툴바