DNS 중독이란 무엇입니까? 그것으로부터 어떻게 안전을 유지합니까?
게시 됨: 2023-05-05빠른 기술 발전 속도를 감안할 때 공격자는 인터넷을 조작하고 하이재킹할 수 있는 새로운 방법을 지속적으로 찾고 있습니다. 도메인 이름 시스템(DNS) 중독은 그러한 공격 중 하나이며 위장된 공격입니다.
DNS 보안 솔루션은 고객에게 컴퓨팅 성능을 제공하고 웹 기반 트래픽을 촉진하는 데 도움이 되지만 고객에게 영향을 미칠 수 있는 위협과 위험을 이해하는 것이 중요합니다.
DNS 중독이란 무엇입니까?
DNS 포이즈닝 또는 DNS 캐시 포이즈닝은 해커가 온라인 트래픽을 피싱 웹사이트 및 허위 웹 서버로 전환하는 기만적인 사이버 전술입니다.
해커가 다른 장치, 클라이언트 또는 사용자의 신원을 가정하는 스푸핑 공격입니다. 이 위장은 이후 보호된 정보를 가로채거나 일반 웹 트래픽 흐름을 방해하는 것을 더 간단하게 만듭니다.
DNS 캐시 포이즈닝 공격에서 해커는 DNS 레코드를 "스푸핑된" DNS로 변경하여 합법적인 사용자가 웹사이트를 방문할 때 의도한 목적지가 아닌 다른 곳에 도달하게 합니다. 모조 사이트는 종종 실제 사이트와 똑같이 보이도록 설계되기 때문에 사람들은 종종 이를 인식해야 합니다.
누군가에게 당신이 특정 위치에 살고 있다고 말한 다음 모든 거리 이름과 집 번호를 변경하여 잘못된 주소 또는 전체 동네에 있는 것과 같습니다.
해커는 종종 아래에서 설명하는 하나 이상의 악의적인 방법을 사용합니다.
- DNS 서버를 직접 하이재킹하고 사용자를 사기성 사이트로 리디렉션
- 은행 웹사이트의 보안 로그인 자격 증명 도용과 같은 중간자 공격)
- 스팸과 같은 피싱 이메일을 통한 DNS 캐시 중독
- 방문자의 PC 또는 라우터에 바이러스를 설치하여 직접 피해를 입히는 행위
- 다른 장치에 손상을 확산시키기 위해 웜을 배치합니다.
DNS 중독은 어떻게 작동합니까
DNS 포이즈닝이 작동하는 방식을 완전히 이해하려면 인터넷이 방문자를 다양한 도메인으로 전달하는 방법에 대한 몇 가지 개념과 컨텍스트를 이해하는 것이 중요합니다.
DNS 포이즈닝 대 DNS 스푸핑
DNS 포이즈닝과 DNS 스푸핑이라는 용어는 때때로 같은 의미로 사용되지만 둘 사이에는 차이가 있습니다.
DNS 포이즈닝은 공격자가 DNS 데이터를 손상시키고 이를 악의적인 리디렉션으로 대체하는 데 사용하는 기술입니다. DNS 포이즈닝의 최종 효과는 DNS 스푸핑으로, 포이즈닝된 캐시가 사용자를 악성 웹사이트로 안내합니다.
요약하면 DNS 포이즈닝은 DNS 스푸핑의 경로입니다 . 해커는 DNS 캐시를 포이즈닝하여 DNS를 스푸핑합니다.
DNS 해석기란 무엇입니까?
모든 장치와 서버에는 통신 식별자 역할을 하는 일련의 숫자인 고유한 인터넷 프로토콜(IP) 주소가 있습니다. 사용자는 DNS 확인자를 통해 도메인 이름에 연결된 IP 주소를 얻을 수 있습니다. 즉, 사람이 읽을 수 있는 웹사이트 URL(예: https://www.g2.com/)을 컴퓨터가 이해할 수 있는 IP 주소로 변환합니다. DNS 확인자는 사용자가 웹 사이트에 액세스하려고 할 때마다 운영 체제에서 요청을 받습니다. DNS 확인자가 IP 주소를 반환하면 웹 브라우저는 이를 사용하여 요청된 페이지 로드를 시작합니다.
DNS 캐싱은 어떻게 작동합니까?
DNS 확인자는 특정 기간 동안 IP 주소 요청에 대한 응답을 추적합니다. 표준 DNS 확인 절차에 포함된 여러 서버와 상호 작용할 필요가 없기 때문에 확인자는 후속 쿼리에 더 빠르게 응답할 수 있습니다. 해당 IP 주소와 연결된 명시된 TTL(Time to Live)이 허용하는 한 DNS 확인자는 응답을 캐시에 보관합니다.
해커는 DNS 캐시를 어떻게 독살합니까?
해커는 특히 DNS 서버에 대한 액세스 권한을 획득하여 디렉토리를 변경하여 사용자가 입력한 도메인 이름을 정확하지 않은 다른 IP 주소로 라우팅합니다. 해커는 다음과 같이 할 수 있습니다.
- 서버를 모방합니다. 귀하의 DNS 서버는 번역을 요청하고 해커는 실제 서버가 할 수 있기 훨씬 전에 잘못된 답변으로 빠르게 응답합니다.
- 서버를 묶습니다. 연구원들은 2008년에 해커가 캐싱 서버에 수천 건의 요청을 보낼 수 있음을 관찰했습니다. 그런 다음 해커는 수백 개의 오해의 소지가 있는 답변을 보내 시간이 지남에 따라 루트 도메인과 전체 사이트를 제어합니다.
- 열린 포트를 악용합니다. 연구원들은 2020년에 해커가 확인자 포트에 수백 개의 DNS 요청을 보낼 수 있다는 사실을 발견했습니다. 이 접근 방식을 통해 결국 어떤 포트가 열려 있는지 알게 됩니다. 향후 공격은 이 포트만 대상으로 합니다.
이러한 종류의 공격을 허용하는 가장 중요한 취약점은 웹 트래픽 라우팅을 위한 전체 시스템이 보안보다는 확장성을 위해 설계되었다는 것입니다. 현재 접근 방식은 사용자 데이터그램 프로토콜(UDP)을 기반으로 하며 발신자 또는 수신자가 누구인지 인증할 필요가 없습니다. 이 취약점을 통해 해커는 사용자를 가장하고(추가 인증 필요 없음) 시스템에 침입하여 DNS 서버를 리디렉션할 수 있습니다.
DNS 중독의 위험
DNS 중독은 개인과 기업 모두를 위험에 빠뜨립니다. 이 사이버 공격의 가장 큰 위험 중 하나는 장치가 손상되면 장치가 기본적으로 불법 사이트로 돌아가기 때문에 문제를 수정하기 어려울 수 있다는 것입니다.
또한 DNS 스푸핑 공격은 소비자가 식별하기 매우 어려울 수 있으며, 특히 해커가 허위 웹사이트를 실제 웹사이트처럼 보이게 만들 때 더욱 그렇습니다. 이러한 상황에서 방문자는 웹사이트가 위조된 것임을 깨닫지 못하고 자신과 비즈니스를 상당한 위험에 노출시키고 있다는 사실을 모른 채 평소와 같이 중요한 정보를 입력할 것입니다.
이 공격의 가장 심각한 위험 중 일부는 아래에서 설명합니다.
맬웨어 및 바이러스
소비자가 가짜 웹 사이트로 이동한 후 해커는 장치에 액세스하여 수많은 바이러스 및 맬웨어를 설치할 수 있습니다. 이는 장치를 감염시키도록 설계된 바이러스부터 해커가 장치 및 해당 정보에 대한 지속적인 액세스 권한을 부여하는 맬웨어에 이르기까지 다양합니다.
데이터 도용
DNS 감염을 통해 해커는 보안 사이트 로그인과 같은 정보나 주민등록번호와 같은 개인 식별 정보를 빠르게 얻을 수 있습니다.
보안 차단기
악의적인 행위자는 장치가 중요한 보안 업데이트 및 패치를 받지 못하도록 보안 공급자의 트래픽을 다시 라우팅함으로써 DNS 스푸핑을 사용하여 심각한 장기적 손상을 입힙니다. 시간이 지남에 따라 이 방법은 장치를 맬웨어 및 트로이 목마를 비롯한 여러 다른 공격에 더 취약하게 만들 수 있습니다.
검열
정부는 데이터를 제한하거나 검열하기 위해 자국의 웹 트래픽을 방해하기 위해 DNS 포이즈닝을 사용했습니다. 이러한 방식으로 간섭함으로써 이러한 정부는 시민들이 보기를 원하지 않는 정보가 포함된 웹사이트를 방문하는 것을 방지할 수 있었습니다.
ARP 포이즈닝 대 DNS 포이즈닝
ARP(Address Resolution Protocol) 포이즈닝 및 DNS 포이즈닝은 기계 개입 공격의 예입니다. 이 두 가지의 주요 차이점은 주소 지정 형식과 발생 정도입니다.
DNS 포이즈닝은 실제 사이트의 IP 주소를 스푸핑하고 다양한 네트워크와 서버에 퍼질 가능성이 있지만 ARP 포이즈닝은 동일한 네트워크 세그먼트 내의 물리적 주소(MAC 주소)를 모방합니다.
공격자는 ARP 캐시를 오염시켜 MAC 주소가 IP 주소에 연결되어 있다고 생각하도록 네트워크를 속일 수 있습니다. 이로 인해 해당 IP 주소로 전송된 데이터가 공격자에게 잘못 라우팅됩니다. 그러면 공격자는 대상 간의 모든 네트워크 통신을 들을 수 있습니다.
DNS 중독의 예
DNS 포이즈닝 공격의 위험은 최근 몇 년 동안 전 세계적으로 발생한 몇 가지 중요한 사건을 통해 밝혀졌습니다.
- AWS DNS 네트워크 하이재킹: 2018년에 범죄자 그룹의 DNS 캐시 포이즈닝 공격으로 인해 Amazon에서 호스팅되는 많은 도메인이 리디렉션되었습니다. 특히 주목할만한 이러한 공격 중 하나는 비트코인 웹사이트 MyEtherWallet을 표적으로 삼았습니다. 범죄자들은 특히 로그인 정보를 훔치기 위해 MyEtherWallet 계정에 로그인하려는 사용자의 트래픽을 가짜 사이트로 전환했습니다. 그런 다음 조직은 해당 정보를 활용하여 해당 사람들의 실제 계정에 액세스하고 돈을 훔쳤습니다. 사이버 갱단은 약 1,700만 달러 상당의 이더리움을 훔쳤습니다.
- Lizard Squad 해킹 공격: 2015년에 Lizard Squad라는 해킹 그룹이 사이트 방문자를 거짓 웹사이트로 리디렉션하여 404 오류와 도마뱀 이미지를 제공하기 위해 로그인하도록 유도하는 방식으로 말레이시아 항공을 공격했습니다.
- 중국 정부 검열 유출: 2010년 중국 서버의 통제 하에 있었기 때문에 칠레와 미국의 네티즌들은 그들의 트래픽이 페이스북, 트위터, 유튜브와 같은 웹사이트로 우회된 것을 발견했습니다. 중국은 서버를 검열하기 위해 의도적으로 DNS 중독을 사용했습니다. 이 경우 중국 외부의 방문자는 중국 서버로 보내졌습니다. 그들은 중국이 주민들의 접근을 제한한 웹사이트에 대한 접근이 거부됨으로써 검열의 결과를 겪었습니다.
DNS 중독으로부터 안전하게 유지하는 방법
DNS 포이즈닝 공격은 일단 설정되면 감지하고 수정하기 어렵기 때문에 매우 위험합니다. 그럼에도 불구하고 DNS 중독 및 피싱 공격으로 인한 피해로부터 비즈니스를 더 잘 보호하기 위해 몇 가지 조치를 취할 수 있습니다.
DNS 보안 확장(DNSSEC) 추가
DNSSEC를 도입하여 DNS 중독 공격으로부터 자신을 보호하십시오. 간단히 말해서 DNSSEC는 DNS 데이터를 확인하는 추가 단계를 구현합니다.
DNNSEC는 이 확인을 위해 공개 키 암호화를 사용합니다. 특히 인증서 기반 인증을 사용하여 루트 도메인과 요청에 응답하는 모든 DNS의 합법성을 확인합니다. 또한 응답 내용을 신뢰할 수 있는지 여부와 도중에 변경되었는지 여부를 평가합니다.
DNSSEC는 DNS 스푸핑으로부터 보호하지만 데이터 기밀성, 복잡한 배포 및 영역 열거와 같은 기타 취약성과 관련된 몇 가지 단점도 있습니다. 구현하기 전에 DNSSEC의 제한 사항을 인식하는 것이 중요합니다.
데이터 암호화 보장
취할 수 있는 또 다른 중요한 단계는 DNS 쿼리 및 응답의 데이터 암호화입니다. 이렇게 하면 해당 데이터를 가로챌 수 있는 해커가 데이터를 사용하여 어떤 작업도 수행하지 못하도록 방지하여 보안을 강화합니다. 해커가 데이터를 수집하더라도 암호화된 경우 향후 DNS 쿼리에 사용하기 위해 데이터를 재생산하는 데 필요한 정보를 얻기 위해 데이터를 읽을 수 없습니다.
탐지 프로토콜 소개
예방 기술이 중요하지만 DNS 중독 공격이 발생할 경우 강력한 계획도 세워야 합니다. 효과적인 탐지 프로토콜이 필요한 경우입니다. 가장 효과적인 감지 절차에는 특정 경고 표시에 대한 정기적인 모니터링이 포함됩니다.
중요한 경고 지표는 다음과 같습니다.
- 단일 도메인에 대한 단일 소스의 DNS 활동 급증은 악의적인 공격을 암시할 수 있습니다.
- 수많은 도메인 이름에 대한 단일 소스의 DNS 활동 증가는 DNS 중독에 대한 진입점을 식별하려는 노력을 나타낼 수 있습니다.
정기적으로 시스템 업데이트 실행
대부분의 시스템과 마찬가지로 DNS는 일상적인 시스템 변경이 가능합니다. 이러한 업데이트에는 발견된 취약점에 대한 새로운 보안 프로토콜 및 패치가 포함되는 경우가 많으므로 이러한 업데이트를 일관되게 실행하여 최신 버전의 DNS를 사용하고 있는지 확인해야 합니다.
리드 최종 사용자 교육
중요한 탐지 전략은 잠재적인 위협을 사용자에게 알리기 위한 최종 사용자 교육입니다. 잘 훈련된 사용자도 DNS 감염 시도를 인식하기 어려울 수 있지만, 잘 훈련하면 의심할 여지 없이 일부 공격의 확산을 막을 수 있습니다.
사용자는 익숙하지 않은 출처의 링크를 클릭하지 않도록 웹 사이트에서 합법적인 SSL(Secure Sockets Layer)/TLS(Transport Layer Security) 인증서를 사용하는지 확인하도록 교육을 받아야 합니다. 이렇게 하면 DNS 캐시 중독을 방지하기 위해 정기적으로 이름 서버의 캐시를 지우고 보안 소프트웨어를 사용하여 장치에서 맬웨어를 검색합니다.
DNS 보안 소프트웨어 솔루션
일반적인 모범 사례는 도메인 이름 시스템에 어느 정도의 보안을 제공하지만 여러 관리형 DNS 공급자가 위험한 트래픽을 감지하고 차단할 수 있습니다. 악의적인 DNS 정보, 미디어 및 웹사이트를 필터링함으로써 조직은 이러한 서비스 공급자를 고용하여 직원과 서버에서 사용하는 엔드포인트를 보호합니다.
상위 5개 DNS 보안 소프트웨어:
- DNS 필터
- 시스코 우산
- 웹루트 DNS 보호
- 블록스원 DDI
- DNS센스 DNSEye
* 위는 G2의 2023년 봄 그리드 보고서의 5가지 주요 DNS 보안 소프트웨어 솔루션입니다.
당신의 독을 선택
도메인 이름 서버는 현대 인터넷 운영에 필수적입니다. 그럼에도 불구하고 보안 결함을 악용하거나 네트워크에 대한 무단 액세스를 얻거나 중요한 정보를 도용하려는 해커의 빈번한 표적이 되었습니다. 이것이 기업에 정확히 무엇을 의미합니까? 그들은 금전적 및 시간적 지출 손실, 브랜드 평판 손상 및 법적 영향의 위험을 감수할 수 있습니다.
도메인 이름 시스템의 위험을 인식하는 것 외에도 기업이 DNS 보안을 보장하는 솔루션을 선택하고 찾는 것도 중요합니다.
강력한 사이버 보안 전략을 위한 DNS 보안에 대해 자세히 알아보십시오!