컴퓨터보안 - Network Security 2

수업 일자 : 2022/05/02 (월)

Domain Name System(DNS)

DNS란,  특정 컴퓨터(또는 네트워크로 연결된 임의의 장치)의 주소를 찾기 위해, 사람이 이해하기 쉬운 도메인 이름을 숫자로 된 식별 번호(IP 주소)로 변환해 주는 분산형 데이터베이스 시스템이다.

ex) https://coding-turtle.tistory.com -> IP

 

DNS Tree

DNS Tree 구조

DNS의 보안 취약점 : TLD와 루트서버는 잘 바뀌지 않지만, 하위 서버들은 자주 바뀌어 Spoofing과 같은 공격에 취약하다.

 

Namespace Management

ICANN : 그들의 Whois 정확성 프로그램 규정(WAPS,Whois Accuracy Program Specification)을 통해서 모든 gTLD 도메인 등록업체가 등록시 제출한 등록자 정보를 검증해야 할 의무가 있음을 통보하였다. 도메인 등록후 15일 이내에 도메인 등록자 정보를 확인하지 않으면 해당 ICANN 규정에 따라 도메인이 일시 정지 처리된다. 이러한 미이행에따른 도메인 재활성화는 '도메인 등록 확인'(confirm) 과정을 수행해야한다.

 

Name Resolution

• Zone: 권한 있는 DNS 서버가 동일한 연결된 노드 모음

응답이 캐시에 없을 때의 해결방법

아래의 그림은 Name Resolution의 방법을 나타낸 것이다.

Iterative Name Resolution	Recursive Name Resolutioin
	Recursive Name Resolution

 

Authoritative Name Servers

 

Dynamic Resolution (동적 Resolution)

 

DNS Caching

특정한 데이터 유효시간을 설정하여, 도메인에 대한 주소를 저장하고 사용한다.

사용하는 이유 : Root나 상위 DNS 서버의 과부화를 막기 위함

DNS Cache

 

Pharming: DNS Hijacking

피싱과는 다른 의미 :

(강의 영상의 예시 사진 추가)

 

DNS Cache Poisoning

• 기본 개념: DNS 서버에 잘못된 레코드를 주고 캐시한다.
• DNS는 16비트 요청 식별자를 사용하여 쿼리와 응답 쌍을 구성한다.
• 네임 서버 시 캐시가 포이즈닝될 수 있음

– 식별자를 무시
– 예측 가능한 ID가 있음
– 원하지 않는 DNS 레코드를 수락

DNS Cache Poisoning Prevention

• 쿼리에 임의 식별자 사용
• 항상 식별자 확인
• DNS 요청에 대한 포트 임의화
• DNSSEC 배포
– 여전히 구현 중이고 상호성이 필요하기 때문에 어려운 문제

 

DNSSEC