정보보안을 담당하는 곳에서 한 통의 메일을 받았는데 그 내용인 즉...
"DNS서버의 Open Resolver 설정이 활성화된 것을 탐지" 되었다는 메일을 받았습니다.
Open DNS Resolver ?
DNS 서버에 A라는 도메인에 대한 질의가 들어왔을때 A라는 도메인의 IP 정보가 없으면
상위 DNS에게 질의하여 A 도메인의 IP를 알아내는 DNS 서버이다.
Open Resolver 활성화/비활성화 차이점
Open Resolver 활성화 : 모르는 도메인을 물어보았을 때 상위 DNS에 물어봐서 알려줌
Open Resolver 비활성화 : 모르는 도메인을 물어보았을 때 상위 DNS에 질의 하지 않고 거부 (Refuse)
Open DNS Resolver에 따른 공격
DNS 서버의 Open Resolver가 활성화 되게 되면
공격자는 해당 DNS 서버를 공격의 경유지로 사용하여 DNS Amplication 공격을 함으로
피해자 서버에 DDoS 공격을 할 수 있습니다.
참고) DNS Amplication(증폭) 공격의 원리
검증 (Demonstration)
Open Resolver 활성화된 DNS 서버
- 커맨드 창 실행 후 nslookup 입력
- server는 KT DNS (168.126.63.1)로 지정
- set type은 ANY로 설정
- google.com 을 질의 했을 때 "권한 없는 응답"이라는 메시지가 뜸으로 KT DNS에는 없는 도메인 정보지만 상위 DNS에 질의하여 아래처럼 google.com에 대한 도메인 정보를 응답해줌
Open Resolver 비활성화된 DNS 서버
- 커맨드 창 실행 후 nslookup 입력
- server는 Open Resolver를 지원하지 않는 서버로 지정 예)115.22.33.61)
- set type은 ANY로 설정
- google.com 을 질의 했을 때 아래와 같은 메시지 뜸
Open Resolver 여부 테스트 사이트
간편하게 자신의 DNS 서버가 Open Resolver가 활성화/비활성화 여부를 알 수 있는 사이트를 소개해드리겠습니다.
사이트 주소는 아래와 같습니다.
소개해드린 사이트에서 DNS 서버의 IP를 조회해보면 Open Resolver 여부를 간단하게 알 수 있습니다.
내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!
caul334@gmail.com
'IT > Network' 카테고리의 다른 글
| [Wireshark] 와이어샤크 SSL/TLS 패킷 복호화 하는 방법 (1) | 2022.03.17 |
|---|---|
| [Network] DNS Amplication 증폭 공격 원리 (0) | 2022.03.16 |
| [Network Forensic] #4. The Curious Mr. X (0) | 2018.08.10 |
| [Network Forensic] #3. Ann’s AppleTV (0) | 2018.08.10 |
| [Network Forensic] #2. Ann Skips Bail (0) | 2018.08.09 |