DNS Cache Poisoning 공격 : 네이버 블로그 (naver.com)
● DNS Cache Poisoning
DNS Cache Poisoning 공격은 DNS 통신상의 인증 취약으로 인하여 발생한다. 공격자가 DNS 응답 패킷을 위조하여 취약 DNS 서버에 전송할 경우, DNS 서버가 해당 응답을 Authoritative DNS 서버로부터 발송된 정상적인 응답으로 받아들인다는데 문제점이 있다. 위조된 응답이 받아들여질 경우, 취약 DNS 서버의 Cache 테이블에 공격자에 의하여 위조된 정보가 저장되게 되며, 이후에는 DNS 서버는 일반 이용자들에게 Cache 테이블에 저장된 위조된 DNS 정보를 제공하게 된다.
● DNS 서버 인증 취약점
DNS 서버는 TXID(Transaction ID)와 Source Port 를 이용하여 DNS 패킷을 인증하는데, TXID 와 Source Port 추측이 가능하다는데 문제점이 있다. 특히, DNS Source Port 의 경우 질의 시 일정한 번호로 고정되게 되어 추측이 용이하다.
취약한 Recursive DNS 서버에서의 질의 패킷에 대한 Source Port 확인 예(일정한 번호로 고정)
TXID 또한 변화 범위가 넓지 않아, 공격자가 TXID 번호에 대한 무작위 대입 또는 순차 대입 공격 등을 통하여, 위조 응답 패킷이 인증이 되도록 할 수 있다.
위와 같이 TXID 필드는 16Bit 이므로, 한 번의 무작위 대입 공격으로는 1/65536 확률을 가지게 된다. 그러나, 단시간 내에 무작위로 대입된 대량의 패킷을 발송하는 방식으로 공격 성공 확률을 크게 높일 수 있다.
● DNS Cache Poisoning 공격 분석
DNS 인증 취약점 공격이 성공하여 위조된 DNS 패킷이 취약한 DNS 서버에서 Accept 될 경우, 공격자가 의도한 특정 도메인에 대한 악성 IP 주소 값이 취약한 DNS의 Cache 테이블에 저장되게 되며, 이후에는 해당 취약 DNS 서버는 DNS 질의를 하는 모든 이용자들에게 변조된 IP 주소로 응답하게 된다. 정상적인 DNS 요청 및 서비스 과정과 공격자에 의한 공격 과정을 비교하여 살펴보면 다음과 같다.
▶ 정상적인 DNS 요청 과정
인터넷 사용자가 DNS 도메인 서비스를 정상적으로 받을 경우의 과정은 위의 그림과 같다. 사용자 PC 가 Recursive DNS 서버에 특정 도메인네임에 대한 주소 요청을 하게 되면, Recursive DNS 서버는 해당 도메인을 가지고 있는 Authoritative DNS 서버로 찾아가서, 해당 도메인에 대한 주소를 응답받아, 최초 질의한 사용자 PC 에 해당 주소를 알려준다.
▶ DNS 응답 조작 통한 Cache Poisoning 공격 과정 예
정상적인 응답 과정과는 다르게, 공격자가 DNS 응답 패킷을 임의로 제작하여, DNS 서버에 발송하여 DNS Cache 테이블에 공격자가 원하는 정보가 입력되도록 한다. 이 공격을 성공하기 위하여는 우선 DNS 인증 취약점 공격이 성공하여야 한다.
① 공격자는 AAA 도메인을 공격 대상 DNS 서버에 요청한다.
② Authoritative DNS 서버로부터 응답 패킷이 온 것처럼 소스 IP 를 Auth DNS IP 로 스푸핑하여
위조된 응답 패킷을 공격 대상 DNS 서버에 보낸다. 공격자는 위조된 패킷이 실제 정상적인 Auth DNS 응답보다 먼저 수신 되도록 빠른 속도로 발송한다.
③ 공격 대상 DNS 서버는 위조된 응답 패킷을 받아들여, 위조된 주소를 Cache에 저장한다. 위조된 응답 패킷을 받아들이기 위해서는 우선 DNS 인증 취약점 공격이 성공하여야 한다.
④ 공격 대상 DNS 서버를 사용하는 일반 사용자가 AAA 에 대한 DNS 질의를 할 경우 위조된 주소로 응답받게 된다.
● DNS Cache Poisoning 모의 공격 과정
▶ DNS 인증 취약점 공격
① 공격자는 공격자가 구성한 Authoritative DNS 서버를 활용, 공격자 도메인으로 쿼리 패킷을 발송 및 분석하는 방법 등을 통하여, 취약 DNS 가 질의 시 사용하는 Source 포트를 파악한다.
② 취약 DNS 서버에 Poisoning 을 원하는 도메인의 다수 하위 도메인으로 질의를 발생시킨 후, TXID 필드 값을 순차적으로 증가시켜가며 빠른 속도로 위조된 응답 패킷을 발송한다. 위조 패킷 발송 시 UDP Destination 포트는 취약 DNS 서버가 사용하는 것으로 확인된 Source 포트 번호로 설정한다. 일단 Authoritative DNS 서버로부터 정상적인 응답을 받을 경우, DNS Cache 에 정상적인 도메인 주소 정보가 저장되게 되어, 이후에는 질의가 발생하지 않게 되며, 위조된 응답 패킷을 수신하지 않아 공격이 불가능해진다. 따라서, 새로운 하위 도메인으로 주기적으로 질의를 한다.
③ 취약 DNS 는 공격자가 발송한 대량의 위조된 패킷 중 TXID 가 일치하는 패킷이 수신되면 해당 응답을 정상적인 패킷으로 받아들인다.
▶ DNS Cache Poisoning을 통한 특정 도메인에 대한 IP 주소 위조
DNS 인증 취약점 공격이 성공하게 되면, 취약 DNS 서버는 위조된 DNS 응답 패킷을 받아들여 DNS Payload 에 있는 위조된 정보를 DNS Cache 테이블에 저장한다. www.pr[생략]ng.net 도메인을 대상으로 실제 공격하는 과정과 결과를 살펴보면 다음과 같다.
① 취약 DNS 서버에 pr[생략]ng.net 도메인에 대한 위조된 응답 패킷을 발송한다. (Cache Poisoning을 하고자 하는 도메인인 www.pr[생략]ng.net 와 Resolving IP 199.199.199.199 는 Additional RR 필드 부분에 삽입)
② 공격이 성공한 후, 취약 DNS 서버를 사용하는 사용자가 www.pr[생략]ng.net 도메인에 대한 질의를 할 경우, 위조된 199.199.199.199 로 응답받게 된다.
● 대응 방안
▶ 사전 예방 방안 : 캐시/리졸빙 DNS 서버로 사용되는 시스템을 운영 중이라면, 해당 보안 취약점 공격에 대비하기 위하여 각 벤더사의 DNS 를 최신 버전으로 업그레이드한다.
취약점 점검 방법 : 점검하고자 하는 도메인이 "aaa.bbb.ccc.ddd" 인 경우
|
$ dig @aaa.bbb.ccc.ddd +short porttest.dns-oarc.net TXT
|
취약점이 존재하는 경우
|
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "aaa.bbb.ccc.ddd is POOR: 26 queries in 4.0 seconds from 1 ports with std dev 0.00"
|
DNS가 취약점에 노출되지 않은 경우
|
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "aaa.bbb.ccc.ddd is GOOD: 26 queries in 2.0 seconds from 26 ports with std dev 17685.51"
|
▶ 신뢰할 수 있는 호스트에 대해서만 recursive query 서비스가 가능하도록 설정한다. recursive query를 제한하더라도, DNS 가 패치가 안되어 있을 경우는, 내부의 호스트를 이용한 공격에는 노출되게 되므로 주의해야 한다.
- 신뢰된 호스트에서만 Recursion 서비스를 제공하는 방법 (BIND 8.2.1와 이후 버전)
① 신뢰 네트워크 대역에 대한 ACL 설정
|
acl internal { 192.168.1.0/24; };
|
② internal 로 정의된 대역으로부터 발생하는 요청만 받아들이도록 설정
|
options {
... allow-recursion { internal; }; ... }; |
- Bind9 에서는 "view" 설정을 통하여 IP 대역 별로 Recursion 서비스 여부를 조정할 수 있다.
Recursion 기능을 활성화
|
view "internalview" {
match-clients { internal; }; recursion yes; }; |
Recursion 기능을 비활성화
|
view "externalview" {
match-clients { any; }; recursion no; }; |
● 공격 발생 시의 탐지 방안
DNS 인증 취약점을 공격하기 위해서는, 공격자는 Authoritative DNS IP 로 가장하여 위조된 DNS 응답 패킷을 발송하여야 한다. TXID 필드는 16bit 로써 임의의 값으로 저장된 하나의 응답 패킷을 발송할 경우, 1/65536의 성공 확률을 가지게 된다. 따라서, 공격자는 성공 확률을 높이기 위하여 TXID 를 순차적으로 증가 또는, 무작위로 대입된 응답 패킷들을 대량으로 발생시키는 방식으로 공격을 수행할 소지가 매우 높다. Authoritative DNS 서버로부터 정상적인 응답 패킷이 도착하기 전에, 공격을 성공시켜야 하므로, 한 번의 질의 시 공격을 위한 짧은 시간이 주어진다. 따라서, 공격자는 주기적으로 Poisoning 을 원하는 도메인에 대한 임의의 서브 도메인 이름으로 재질의를 하며 공격을 수행하게 된다. 또한, 위조된 DNS 응답 패킷의 Additional 필드(또는 추가 answer 필드)에는 Poisoning 을 원하는 도메인 정보와 주소가 삽입되게 된다.
공격이 발생하게 되면, 공격 대상 Recursive DNS 서버에서는 단일 IP 로부터 응답 패킷들이 대량으로 유입되는 현상이 관찰될 것으로 보인다. 또한, 해당 응답 패킷의 "Question" 및 "Answer" DNS 필드에는 최하위 서브 도메인명이 랜덤 형식인 비정상적인 형태의 도메인이 포함되어 있을 가능성이 높다.
Recursive DNS 서버 운영자는 단일 IP 에서 매우 짧은 시간 내에 DNS 응답 패킷이 대량으로 유입되는 로그 및 현상이 관찰될 경우, 유입되는 DNS 응답 패킷들의 "Question" 및 "Answer" DNS 필드의 페이로드를 확인하여, 최하위 서브 도메인명이 랜덤 형식이거나 계속적으로 변경되는 비정상적인 형태의 실제로는 존재하지 않는 도메인이 포함되어 있는지를 확인해 보도록 한다. 짧은 시간 내에 이러한 유형의
패킷이 다수 확인될 경우 공격 발생을 의심해볼 필요가 있다.
'경로 및 정보' 카테고리의 다른 글
[Windows - Tip] 무료 대용량 텍스트 파일 읽기 프로그램 (0) | 2022.10.27 |
---|---|
QEME로 MIPS 구동 환경 셋팅(펌) (0) | 2022.10.23 |
chromium-browser (0) | 2022.10.12 |
Cycript 도구 (0) | 2022.10.11 |
Docker 2375/2376 (0) | 2022.10.07 |