Spoofing(DNS Attack)

DNS Attack

   • 특정 Domain 주소로 전달되는 요청을 공격자가 원하는 목적지로 전달

   • 주로 파밍(Pharming) 공격 수행을 위해 공격자가 사전 준비한 서버로 유인

   • 취약점

      ⸰ 질의에 대한 응답을 Cache에 저장 후 Cache에 저장된 정보 재사용

            ‣ 한 번 Cache 감염 시 지속 공격 가능

      ⸰ UDP를 이용하여 일반 질의 수행(비신뢰성, 비연결성)

      ⸰ DNS 자체 인증 메커니즘 X

            ‣ Transaction ID, Client Port 일치 여부만 확인

   • 종류

      ⸰ DNS Spoofing: DNS Client의 Cache 공격(한 번의 공격으로 하나의 Client 공격)

      ⸰ DNS Cache Poisoning: DNS Server의 Cache 공격(한 번의 공격으로 다수의 Client 공격)

 

DNS Spoofing

   • Client DNS Cache 내 특정 도메인 주소에 해당하는 IP를 공격자가 원하는 IP로 변조하는 공격

   • 한 번 DNS Cache 감염 시 DNS Cache Table 만료 전까지 지속 공격 가능

   • Client Domain 해석 순서

      ⸰ Domain 해석 요구(Resolver) > Hosts 파일 확인 > DNS Cache 확인 > 재귀 질의(Query)

   • 공격 조건

      ⸰ DNS 자체의 인증 메커니즘은 없지만 요청 및 응답 연결을 위한 정확한 Transaction ID 필요

            ‣ Client가 전송하는 요청을 Sniffing하여 Transaction ID 획득 필요

      ⸰ UDP 자체의 인증 메커니즘은 없지만 요청 및 응답 연결을 위한 정확한 Source Port 필요

            ‣ Client가 전송하는 요청을 Sniffing하여 Client Port 획득 필요

      ⸰ DNS 질의에 대한 응답이 여러 개가 전달되는 경우 먼저 도착한 응답만 수용

            ‣ 정상 DNS Server보다 먼저 응답 전달 필요

   • 공격 순서

      1. 공격 대상이 정상 DNS Server로 전달하는 DNS Query Sniffing

            ‣ XID(Transaction ID), Source Port 획득

      2. 변조된 DNS 응답을 전달할 Tool 동작(dnsspoof)

            ‣ Hosts 파일 형식으로 변조된 정보를 전달할 파일 생성

            ‣ 지정된 Domain 요청 감지 시 지정된 IP로 DNS 응답 전송

   • 한계점

      ⸰ 클라이언트가 생성한 XID와 Source Port 획득을 위해 Sniffing 공격 선행 필요

      ⸰ 한 공격당 하나의 대상만 공격 가능

   • 보안 대책

      ⸰ DNS Query Sniffing 불가하도록 사전 차단

            ‣ 지속적 Sniffing 탐지 및 관리

            ‣ Gateway MAC 주소 고정 등록

      ⸰ DNS 운영 시 TTL 짧게 운영

      ⸰ 중요 서버의 경우 Hosts 파일에 등록 후 DNS Server로 Query를 보내지 않도록 설정

      ⸰ DNSSEC 적용

            ‣ 공개키 암호화 방식의 전자 서명을 사용하여 위/변조 검사 수행

 

DNS Cache Poisoning

   • DNS Server Cache 내 특정 도메인 주소에 해당하는 IP를 공격자가 원하는 IP로 변조하는 공격

   • 한 번 DNS Cache 감염 시 DNS Cache Table 만료 전까지 지속 공격 가능

      ⸰ 잘못된 정보가 저장되어 있는 DNS Server에 질의 요청하는 모든 Client 공격

   • 조작된 IP주소는 DNS 서버가 반복 질의를 진행하는 경우 변조하여 공격 진행

   • 한계점

      ⸰ 반복 질의에 경우 광역망을 통해 진행하기 때문에 Sniffing 제한

            ‣ Sniffing 제한 시 XID, DNS Server Port가 전부 랜덤이기 때문에 획득 제한

            ‣ XID 유추를 위해 생일역설 계산 활용

   • 보안 대책

      ⸰ 버전 업데이트 및 불필요 반복질의 비활성화