DNS 캐시 스푸핑 및 DNS 캐시 중독에 대해 알아보기

DNS는 Domain Name System의 약자로, 브라우저가 웹사이트의 IP 주소를 찾아 컴퓨터에 로드할 수 있도록 도와줍니다. DNS 캐시는 자주 사용하는 웹사이트의 IP 주소 목록이 포함된 ISP 또는 컴퓨터의 파일입니다. 이 문서에서는 DNS 캐시 중독 및 DNS 캐시 스푸핑이 무엇인지 설명합니다.

• IP 주소란 무엇입니까?

DNS 캐시 중독

사용자가 자신의 브라우저에 웹사이트 URL을 입력할 때마다 브라우저는 로컬 파일(DNS 캐시)에 접속하여 웹사이트의 IP 주소와 유사한 항목이 있는지 확인합니다. 브라우저는 웹사이트에 연결할 수 있도록 웹사이트의 IP 주소가 필요합니다. URL을 사용하여 웹사이트에 직접 연결하는 것은 불가능합니다. 적절한 IPv4 또는 IPv6 IP 주소 에 연결되어야 합니다 . 레코드가 있으면 웹 브라우저가 이를 사용합니다. 그렇지 않으면 IP 주소를 얻기 위해 DNS 서버 로 이동합니다 . 이를 DNS 조회라고 합니다.

컴퓨터나 ISP DNS 서버에 DNS 캐시가 생성되어 URL의 DNS를 쿼리하는 데 소요되는 시간이 줄어듭니다. 기본적으로 DNS 캐시는 컴퓨터나 네트워크에서 일반적으로 사용되는 다양한 웹사이트의 IP 주소가 포함된 작은 파일입니다. DNS 서버에 접속하기 전에 네트워크의 컴퓨터는 로컬 서버에 접속하여 DNS 캐시에 항목이 있는지 확인합니다. 그렇다면 컴퓨터가 이를 사용하게 됩니다. 그렇지 않으면 서버가 DNS 서버에 접속하여 해당 IP 주소를 가져옵니다. 그런 다음 웹 사이트의 최신 IP 주소로 로컬 DNS 캐시를 업데이트합니다.

DNS 캐시의 각 항목은 운영 체제와 DNS 확인의 정확성에 따라 시간이 제한됩니다. 만료 후에는 DNS 캐시가 포함된 컴퓨터나 서버가 DNS 서버에 접속하여 정보가 정확하도록 항목을 업데이트합니다.

그러나 악의적인 목적으로 DNS 캐시를 오염시키려는 사람들이 있습니다.

캐시 중독은 URL의 실제 값을 변경하는 것을 의미합니다 . 예를 들어, 사이버 범죄자는 xyz.com과 같은 웹 사이트를 만들고 해당 DNS 레코드를 DNS 캐시로 가져올 수 있습니다. 따라서 브라우저의 주소 표시줄에 xyz.com을 입력하면 두 번째 브라우저가 가짜 웹사이트의 IP 주소를 가져와 실제 웹사이트 대신 해당 사이트로 이동하게 됩니다. 이를 파밍이라고 합니다. 이 방법을 사용하면 사이버 범죄자는 귀하의 로그인 자격 증명과 카드 정보, 주민등록번호, 전화번호 등과 같은 기타 많은 정보를 탐지하여 데이터를 훔칠 수 있습니다. 컴퓨터나 네트워크에 악성 코드를 도입하기 위해 DNS 캐시 중독도 수행됩니다. 감염된 DNS 캐시가 있는 가짜 웹사이트를 방문하면 범죄자는 원하는 것은 무엇이든 할 수 있습니다.

때로는 로컬 캐시 대신에 범죄자가 가짜 DNS 서버를 설정하여 쿼리 시 가짜 IP 주소를 내보낼 수도 있습니다 . 이는 높은 수준의 DNS 중독이며 특정 지역의 대부분의 DNS 캐시를 손상시켜 더 많은 사용자에게 영향을 미칩니다.

DNS 캐시 스푸핑

DNS 스푸핑은 잘못된 정보를 제공하기 위해 DNS 서버 응답을 가장하는 공격 유형입니다. 스푸핑 공격에서 해커는 DNS 클라이언트나 서버가 DNS 쿼리를 보냈고 DNS 응답을 기다리고 있다고 추측하려고 합니다. 스푸핑 공격이 성공하면 가짜 DNS 응답이 DNS 서버 캐시에 삽입됩니다. 이 프로세스를 캐시 중독이라고 합니다. 악성 DNS 서버는 DNS 데이터가 진짜인지 확인할 방법이 없으며 스푸핑된 정보를 사용하여 캐시에서 응답합니다.

DNS 캐시 스푸핑은 DNS 캐시 중독과 유사해 보이지만 약간의 차이가 있습니다. DNS 캐시 스푸핑은 DNS 캐시를 감염시키는 데 사용되는 일련의 방법입니다. 이는 DNS 캐시를 수정하고 제어하기 위해 컴퓨터 네트워크 서버에 강제로 진입하는 것일 수 있습니다. 이는 쿼리 시 가짜 응답을 보내도록 가짜 DNS 서버를 설정할 수 있습니다. DNS 캐시를 손상시키는 방법에는 여러 가지가 있으며, 일반적인 방법 중 하나는 DNS 캐시 스푸핑입니다.

DNS 캐시 중독 방지 대책

DNS 캐시 중독을 방지할 수 있는 방법은 많지 않습니다. 가장 좋은 접근 방식은 공격자가 네트워크를 손상시키고 로컬 DNS 캐시에 영향을 줄 수 없도록 보안 시스템을 확장하는 것입니다. 좋은 방화벽을 사용하면 DNS 캐시 중독 공격을 탐지할 수 있습니다. 정기적으로 DNS 캐시를 지우는 것도 고려할 수 있는 옵션입니다.

보안 시스템을 확장하는 것 외에도 관리자는 기존 시스템을 안전하게 유지하기 위해 하드웨어와 소프트웨어를 업데이트해야 합니다. 운영 체제는 최신 업데이트로 버그가 수정되어야 하며 타사 아웃바운드 링크가 없어야 합니다. 서버는 네트워크와 인터넷 사이의 유일한 인터페이스여야 하며 우수한 방화벽 으로 보호되어야 합니다 .

• 중소기업을 위한 방화벽 솔루션

네트워크에 있는 서버의 신뢰 관계를 더 높게 설정하여 DNS 확인을 위해 다른 서버에 요청하지 않도록 해야 합니다 . 이렇게 하면 정품 인증서가 있는 서버만 DNS 서버를 확인하면서 네트워크 서버와 통신할 수 있습니다.

DNS 캐시의 각 항목에 대한 시간 간격은 짧아야 DNS 레코드를 더 자주 가져와 업데이트할 수 있습니다. 이는 웹 사이트에 연결할 때 간격이 길어질 수도 있지만(가끔만) 오염된 캐시를 사용할 위험을 줄여줍니다.

Windows 시스템에서 DNS 캐시 잠금을 90% 이상으로 구성해야 합니다. Windows Server 의 캐시 잠금을 사용하면 DNS 캐시의 정보를 덮어쓸지 여부를 제어할 수 있습니다.

DNS 소켓 풀을 사용하면 DNS 서버가 DNS 쿼리를 실행할 때 소스 포트를 무작위로 사용할 수 있습니다. 이는 TechNet에 따르면 캐시 중독 공격에 대한 향상된 보안을 제공합니다.

DNSSEC(도메인 이름 시스템 보안 확장) (도메인 이름 시스템 보안 확장)는 DNS 프로토콜에 추가 보안을 추가하는 Windows Server용 확장 세트입니다.

더보기:

• Man in the Middle 공격 - 세션 하이재킹에 대해 알아보기
• DNS 하이재킹과 이를 방지하는 방법에 대해 알아보세요!
• 중간자 공격(ARP 캐시 스푸핑)에 대해 알아보세요.