정 해홍[ 해킹공격 유형 및 형태 ]
1. 공격유형
DNS (UDP 53Port) 서버에 도메인 무한 질의(query)를 하게되며, DNS서버는 무한으로 질의의 결과값
을 전송하게 됩니다.
전송시 많은 국제트래픽이 발생되며, 경우에 따라서는 서버의 네트워크 부하가 발생하기도 합니다.
DNS서버 부하시 웹서비스 및 타서비스까지 지장을 받게 됩니다.
2. 공격으로 인한 피해 범위
– 공격으로 인한 피해 범위는 Public Network 상단 L2 Switch, L3 Switch에 부하를 발생 시키며, 이는
본인의 서버와 타인의 서버까지 네트워크 병목을 발생시킵니다.
– DNS서버 부하시 웹서비스 및 타서비스까지 지장을 받게되며, 장애발생 원인이 되기도 합니다.
– 서버를 이용하는 기업 및 타기업까지 서비스에 영향을 받게되며, 기업의 매출을 하락 시킬 수 있습니
다.
3. 자가 조치 방법
1) 자체 DNS서버를 사용하지 않는 경우
네임서버 데몬을 중지처리 하고, 부팅시에도 가동되지 않도록 조치합니다.
[리눅스]
# /etc/init.d/named stop
# chkconfig –level 12345 named off
[윈도우즈]
[시작] – [관리도구] – [서비스] 에서 ‘DNS Server’ 우클릭 > 속성 > 서비스 상태를 ‘중지’ 시킨 뒤,
시작 유형을 ‘사용 안함’으로 변경 > 확인
2) 자체 DNS서버를 사용하는 경우
2-1) 자체 DNS서버가 PC나 특정 서버의 네임서버로 사용되지 않을때 recursion 설정을 중지 시킵
니다.
[리눅스]
/etc/named.conf 파일의 options 에 recursion no; 설정후, 아래 명령으로 named 재시작
# /etc/init.d/named restart
[윈도우즈]
[시작] – [관리도구] – [DNS] 에서
좌측 트리구조 ‘DNS서버’ 우클릭 > 속성 > [고급]탭에서 ‘재귀를 사용 안함’ 체크 > 확인
2-2) 리눅스의 iptables 를 이용하여 과다한 접속량을 감소 시키는 방법
(53번 포트로 1초에 10번 이상 접속시도 차단)
-A INPUT -p udp -m udp –dport 53 -m state –state NEW -m recent –set –name DNS –rsource
-A INPUT -p udp -m udp –dport 53 -m state –state NEW -m recent –update –seconds 1 –hitcount 10 –rttl –name DNS –rsource -j DROP
-A INPUT -p udp -m udp –dport 53 -j ACCEPT
/etc/sysconfig/iptables 에 3줄 추가 후 아래 명령으로 iptables 를 재시작 합니다.
평소 iptables 방화벽을 사용하지 않았을 경우 추가된 룰 외에 기존에 있던 룰에 의해
접속자 및 서비스포트가 차단될 수 있으니 룰 상태 확인 후 적용하시기 바랍니다.
# /etc/init.d/iptables restart
[polldaddy rating=”7739789″]