DNS는 인터넷 초기 시절에 태어났으며, 그 당시 보안 위협은 상대적으로 적었고 DNS 트래픽은 네트워크 방화벽을 무리 없이 통과할 수 있었습니다. 그러나 인터넷 사용자와 네트워크의 수가 증가함에 따라 악의적인 행위자들에 의한 DNS의 매력이 커졌습니다. 이제 DNS는 네트워크 보안을 위협하고 사용자가 개인 정보를 공개하도록 유도하는 공격 방법으로 활용되고 있습니다. DNS 보안은 DNS 프로토콜과 관련된 모든 보호 조치를 포함합니다. 효과적인 DNS 보안 전략은 중복 DNS 서버 구축, DNS 필터링 및 엄격한 DNS 로깅을 포함하여 여러 겹의 방어를 포함합니다.
일반적인 DNS 공격에는 무엇이 있나요?
1. DDoS 공격
분산 서비스 거부(DDoS) 공격은 공격자가 네트워크를 통해 많은 좀비 호스트를 원격으로 제어하여 하나 이상의 대상에게 대량의 공격 요청을 보내는 것을 의미합니다. 이는 목표 서버의 네트워크 대역폭을 차단하거나 시스템 리소스를 소모시켜 DNS 서버를 과부하 또는 다운시키고 정상 서비스 요청에 응답할 수 없게 하며, 심지어 데이터 유출을 초래할 수 있습니다.
2. DNS 캐시 오염
이 유형의 공격에서 공격자는 DNS 서버의 취약점을 이용해 서버를 장악합니다. '캐시 오염' 과정에서 공격자는 DNS 리졸버의 캐시 시스템에 악성 데이터를 주입하여 사용자를 공격자가 지정한 웹사이트로 리디렉션하게 됩니다. 이 웹사이트에서는 종종 개인 정보나 기타 데이터가 도난당합니다.
사이버 범죄자가 DNS 서버를 성공적으로 장악하면 캐시의 정보를 조작할 수 있습니다(즉, DNS 오염). 이러한 오염 코드는 스팸이나 피싱 이메일을 통해 전송되는 URL에서 흔히 발견됩니다. DNS 서버는 다른 DNS 서버의 캐시에 접근할 수 있기 때문에 이 공격 방식은 전파 특성이 큽니다. DNS 캐시 오염의 주요 위험은 데이터 도난입니다.
3. DNS 터널
DNS 터널링 공격은 사용자가 컴퓨터에 맬웨어를 다운로드하거나 해커가 컴퓨터 시스템의 취약점을 성공적으로 이용하여 악성 공격 페이로드를 설치할 때 시작됩니다. 일반적으로 공격자는 장치의 제어를 유지하여 명령을 실행하거나 해당 환경 외부로 데이터를 전송하려고 합니다. 이를 위해 공격자는 터널을 설정해야 하며, 이는 손상된 시스템에서 명령을 보내고 데이터를 수신하면서 네트워크 경계 보안 조치를 회피하는 방법입니다.
DNS 트래픽은 종종 방화벽과 같은 경계 보안 조치를 자유롭게 통과할 수 있어 이 유형의 악용에 이상적입니다. 터널을 만들기 위해 공격자는 도메인 이름을 생성하고 등록하며, 공격자가 제어하는 권위 있는 네임 서버를 구성해야 합니다. 피해자의 장치에서 맬웨어가 공격자의 서버에 DNS 쿼리를 발행하면, 서버는 감염된 장치에 특정한 데이터와 명령을 포함한 DNS 패킷으로 응답합니다. 이를 통해 공격자는 경고를 유발하지 않고 감염된 장치와 지속적으로 통신할 수 있습니다. 또한 공격자는 쿼리에 인코딩된 데이터를 악성 권위 있는 네임 서버로 전송할 수 있습니다.
4. DNS 하이재킹
DNS 하이재킹은 DNS 캐시 하이재킹, DNS 서버 하이재킹, 라우터 하이재킹, 맬웨어 하이재킹 등 다양한 방법으로 구현할 수 있는 공격 기법입니다. 공격자는 DNS 해석 과정에서 데이터를 변조하여 사용자의 도메인 이름 해석 요청을 악성 IP 주소나 웹사이트로 리디렉션합니다. 이러한 종류의 공격은 사용자가 악성 웹사이트로 리디렉션되어 피싱, 맬웨어 전파 및 정보 도난과 같은 악의적인 활동을 수행하게 할 수 있습니다.
DNS 공격 방지를 위한 조치 및 기술
- DNS 해상도 서비스 제공업체: 신뢰할 수 있는 DNS 해상도 서비스 제공업체를 선택하고, 그들이 좋은 보안 및 보호 조치를 갖추고 있는지 확인하세요. 이러한 서비스 제공업체는 일반적으로 DNS 해상도 과정의 보안을 보호하기 위해 다양한 기술을 채택합니다.
- DNSSEC 구성: DNSSEC는 디지털 서명 및 검증 메커니즘을 통해 DNS 응답의 무결성과 진정성을 보장하여 DNS 하이재킹 및 캐시 오염 공격을 방지하는 보안 확장 프로토콜입니다.
- 탐지 및 로깅: 비정상적인 활동 및 공격 행동을 신속하게 감지하기 위해 DNS 트래픽 모니터링 및 로깅을 구현하세요. DNS 트래픽을 모니터링하고 분석하여 공격의 잠재적인 징후를 발견하고 이에 맞는 방어 조치를 취할 수 있습니다.
- 라우터 및 장치 펌웨어 정기 점검 및 업데이트: 라우터 및 장치의 펌웨어를 정기적으로 점검하고 업데이트하여 보안을 강화하고 최신 보호 기능을 확보하세요.
- 방화벽 및 보안 소프트웨어 사용: 악성 DNS 요청 및 응답을 탐지하고 차단하기 위해 방화벽 및 보안 소프트웨어를 구성하여 맬웨어 하이재킹 및 DNS 하이재킹을 방지하세요.
- 보안 인식 및 교육 강화: 사용자의 보안 인식을 높여 의심스러운 링크를 클릭하거나 알 수 없는 출처에서 파일을 다운로드하지 않도록 합니다. 정기적으로 컴퓨터를 업데이트하고 스캔하여 맬웨어를 탐지하세요.
EdgeOne이 어떻게 도와줄 수 있나요?
1. DDoS 보호
EdgeOne은 연결된 모든 서비스에 대해 L3/L4 트래픽 기반 DDoS 공격 보호를 제공합니다. DDoS 공격이 식별되면 네트워크 트래픽을 실시간으로 모니터링하고 즉시 트래픽 정리 및 필터링을 수행합니다. DDoS 보호 기능은 공격 프로파일링, 행동 패턴 분석, AI 지능 인식 및 기타 보호 알고리즘을 기반으로 한 사전 설정된 보호 전략을 제공합니다. 다음과 같은 유형의 DDoS 공격을 식별하고 필터링할 수 있습니다:
| 보호 카테고리 | 설명 |
|---|---|
| 형태가 잘못된 패킷 필터링 | 프래그 플러드, 스머프, 스트림 플러드, 랜드 플러드 공격을 필터링하고 형태가 잘못된 IP, TCP, UDP 패킷을 필터링합니다. |
| 네트워크 레이어 DDoS 공격 보호 | UDP 플러드, SYN 플러드, TCP 플러드, ICMP 플러드, ACK 플러드, FIN 플러드, RST 플러드, DNS/NTP/SSDP 및 기타 반사 공격, null 연결을 필터링합니다. |
| DNS DDoS 공격 | DNS DDoS 공격은 주로 DNS 요청 플러드, DNS 응답 플러드, 가짜 출처 + 실제 출처 DNS 쿼리 플러드, 권위 있는 서버 공격 및 로컬 서버 공격을 포함합니다. |
| 연결 기반 DDoS 공격 | 연결 기반 DDoS 공격은 주로 TCP 느린 연결 공격, 연결 고갈 공격, Loic, Hoic, Slowloris, Pyloris, Xoic 및 기타 느린 공격을 의미합니다. |
2. DNSSEC 구성
도메인 이름 시스템 보안 확장(DNSSEC)는 DNS 스푸핑 및 캐시 오염 공격을 효과적으로 방지할 수 있습니다. 디지털 서명을 채택함으로써 DNS 응답 메시지의 진정성과 무결성을 보장하여 사용자가 예기치 않은 주소로 리디렉션되는 것을 방지합니다. 이는 사용자의 인터넷 신뢰를 높이고 귀하의 핵심 비즈니스를 보호하는 데 기여합니다. 사이트 해상도의 보안을 향상시키고 하이재킹 및 변조를 방지하려면 이 구성을 활성화하는 것이 좋습니다.
3. 트래픽 모니터링
EdgeOne 서비스는 L7(애플리케이션 레이어) 접근 로그 데이터를 분석하여 다차원적으로 시각화된 트래픽 분석을 제공합니다. 여기에는 트래픽, 요청 및 기타 지표의 시간 추세 곡선, 국가/지역 분포 및 TOP 순위가 포함됩니다.
요약
EdgeOne를 사용하면 어떤 사이트가 위협이 되는지 식별하고 이러한 사이트의 모든 요청을 차단할 수 있습니다. 또한 EdgeOne을 보조 DNS 서버로 사용할 수 있으며, 이는 위에서 언급한 바와 같이 귀하의 주요 DNS 서버와 잠재적인 공격자 간에 방벽을 설정합니다. 귀하의 주요 DNS 서버를 EdgeOne 뒤에 숨김으로써, 귀하는 조직을 공격자와 다양한 유형의 맬웨어로부터 보호합니다.