DNS Lab.

DNS ANY 타입 질의와 DDoS 증폭공격 2013년 초 DNS증폭 DDoS공격은 300Gbps의 트래픽 공격능력을 보여주어 모두를 놀라게 했었습니다. 공격자들은 'isc.org' ANY 질의 또는 'ripe.net' ANY 질의를 이용하였습니다. 이후 'isc.org'와 'ripe.net'에 대한 ANY 질의는 캐시DNS서버를 구동하는 사이트에서 속속 차단조치 되었습니다. 하지만 DNS증폭 DDoS공격에 이들 도메인만 꼭 사용해야 하는 것은 아닙니다. 적당한 다른 도메인을 찾아내어 ANY 질의를 사용할 수 있습니다. DDoS 증폭공격에 특정 도메인 사용 이유 그런데, 왜 수많은 도메인 중에서 하필 isc.org, ripe.net을 이용했을까요? 첫째, 이들은 잘 알려진 도메인입니다. isc.org는 ..

DNS 질의 트래픽을 질의한 도메인이름, 질의타입을 기준으로 선별, 차단하는 방법은 없을까? 요즘 네임서버에 유입되는 DNS 질의 중에는 보안공격과 연관된 것으로 의심되는 각종 질의가 포함되어 있습니다. 어떤 경우는 차단이 필요하다고 여겨지지만, 마땅한 방법이 없는 경우도 있습니다. 특정 IP 주소에서만 공격성 질의가 발생한다면, 해당 IP주소 기준으로 차단하는 것은 그리 어렵지 않습니다. 라우터 ACL, 방화벽, 서버 IPTables의 단순한 설정을 사용할 수 있습니다. 그러나 불특정 IP주소에서 공격성 질의가 발생하는 경우는 대응이 달라져야 합니다. IP주소 대신 질의된 도메인이름과 질의타입을 기준으로 선별 차단해야 한다면, DNS 질의 메시지 내용을 분석하여 차단해야 합니다. 즉 어플리케이션 계층(..