DNS 동작 방식

DNS를 분산 데이터 베이스 시스템이라 하는 것은 도메인 각 계층별로 네임서버를 두고 분산해서 도메인 정보를 관리하기때문이다. 

w

domain 체계

 forward dns lookup

 revers dns lookup

 

DNS 서버 질의 순서 

1.로컬 DNS 캐시 검색 :사용자가 DNS 서버에 질의하고 응답온 정보를 저장하는것 

2.Host 파일 검색 (IP와 도메인에 대한 매핑 정보, 파밍 공격에 많이 활용)

 host.ics -> 윈도우즈에서 제공하는 기능 ,인터넷 커넥션 셰어링 , windows OS를 가지고 인터넷 공유기처럼 사용, 얘또한 IP와 도메인에 대한 매핑정보를 가질 수 있음, 근데 우선순위가 host 파일보다 높음

만약 얘가 있다면 hosts.ics-> host 파일 순으로 검색함

3.System에 설정된 DNS 서버로 질의한다. 

 

 

---실습 ----

dns 캐시 정보 확인 명령어 

ipconfig /displaydns

현재 DNS캐시에 저장된 정보 보여줌

ipconfig /displaydns

TTL : 캐시를 유지하는 시간 (무한히유지,x)

A(Host)Record :  IP 주소 

캐시 정보를 지우는 명령

ipconfig /flushdns

 

host파일 위치 :C:\Windows\System32\drivers\etc

 

호스트 파일과 캐시정보는 실시간 동기화를 함 

실제 상황을 보면 호스트 파일을 변경하면 캐시정보도 실시간으로 바뀜

 

공격자적 관점 

공격자가 만들어 놓은 fake site(가짜 사이트), pharming site(파밍사이트),개인정보,금융정보를 탈취하기 위한 위조 사이트

헛점 

공격자가 로컬 DNS 캐시정보를 변조할 수 있다면 가능 

사용자가 DNS 서버에 질의하고 응답온 정보를 저장하는것 

공격자가 조작된 응답을 보내주면 DNS 캐시정보를 위조함:sniffing 기반의 DNS Spoofing 공격

DNS 캐시정보가 일정시간 유지됨 

2.host.ics (윈도우즈에만 있음) -> host 파일

이 파일을 변조, 악성코드를 이용 

이 파일안에는 fakesite에 대한 주소를 가지고 있다면 위조 가능 

 

Recursive DNS 서버: (=cache/resolving DNS 서버)

얘는 특정 도메인을 관리하는 위한게 아니고 , 위임받은 도메인이 없이 모든 도메인 질의에 대해서 응답해주는 DNS 서버 

ex) ISP 업체에서 제공하는 DNS 서버 

얘도 DNS 캐시를 가지고 있음, 캐시에 일정시간 담아둠. TTL을 가지고 있음 

사용자 host가 유지하는 시간보다 recursive dns 서버의 TTL이 일반적으로 더 길다 

여기에 없다면? ->Authoritative DNS 서버에 물어봄

최상위 root dns 서버부터 물어봄 -> 1차 레벨 도메인의 네임서버를 응답으로 줌 -> 1차에게 물어봄 -> 2차 레벨 도메인의 네임서버를 응답으로 줌

그응답을 받으면 Recursive DNS 서버는 Cache에 저장하고 사용자에게 응답을 줌 

 

사용자가 Recursive DNS 서버에 하는 질의: Recursive Query 

Recursive DNS 서버가 Authoritative DNS 서버에 하는 질의 : Iterative Query

Authoritative DNS 서버 : 기업 환경에서 기업이 도메인을 관리하고 있을텐데 ... 회사가 도메인 들을 관리하기 위한 것

관리하는, 위임받은 도메인을 가지고 있는 DNS 서버 , 회사에서 직접 관리하기도 하고 호스팅 도메인 업체에 문의하기도 함

자기가 관리하는 도메인에 대해서만 응답을 준다. 

 

DNS 서버의 캐시 정보를 조작하는 공격 :DNS Cache Poisoning

공격의 범위가 매우 큼