DNS DDoS & DNS related attack
[ DNS DDoS ]
ㅇ DNS로의 DDoS공격은 ICMP/UDP/TCP/DNS 등의 flooding패킷으로 DNS의 정상적인 서비스를 방해함
ㅇ 차단방법
- Anycast로 트래픽 분산
- IPS등을 이용하여 DDoS 공격탐지 및 공격 소스 차단, 임계치 설정
- DNS서버 취약점 사전 제거
- DNSSEC을 이용한 recursive 증폭 제한
ㅇ DNS서버의 DRDoS 차단
- 소스별 패킷 제한(대단위 PNAT사용시 오탐 가능성 있슴)
ㅇ 기타
- DNS터널링 트래픽 차단
[ DNS Spoofing ]
ㅇ 공격자가 중간자로서 DNS정보 변경으로 공격자가 의도한 곳으로 접속
- 단말의 DNS server IP변경
- 단말의 DNS query에 대한 응답 변조
- DNS서버(resolver)의 cache 정보 변경: recursive시 생일자 공격등으로 변조
* cache를 변조하기 위해 많은양의 조작된 query(cache에 없어야함)를 날리고 리턴되는 트랜잭선ID를 유추하여
전송해 cache에 원하는 값을 저장함
ㅇ DNS 터널링
- 공격자나 좀비가 트래픽을 숨기고 탐지를 피하기위해, 전송하고자 하는 패킷을 암호화하여 DNS패킷에
encapsulation하여 전송하는 방식임
- 공격자는 자신이 제어가능한 DNS서버를 가지고 있어야 하며, 중간의 resolver는 전달자로서 recursive패킷을
전송하여 중간 전달자의 역할을 함
- 좀비단말은 cache에 존재하지 않는 query에 암호화된 패킷을 넣어 정상적인 DNS resolver에게 송부하면,
resolver는 해당 도메인을 가진 dns서버(해커사용)에 전달하고, 서버는 DNS query정보로 좀비를 식별하고
공격명령어를 포함한 숨겨진 데이터를 좀비단말에 전송함