DNS 증폭 공격이란 무엇인가요?

DNS 증폭 공격은 공개적으로 액세스 가능한 DNS 서버를 악용하는 분산 서비스 거부(DDoS) 공격의 한 형태입니다. 공격자는 DNS 응답이 해당 요청보다 크다는 사실을 이용하여 공격 효과를 증폭시키고 의도한 대상에게 더 많은 데이터를 전송합니다.

전자책 읽기 자세히 알아보기

DNS 증폭 공격은 어떻게 작동하나요?

DNS 증폭 공격은 IP 스푸핑을 사용하여 공격자가 보내는 데이터보다 더 많은 데이터를 표적에 전송하는 방식으로 작동합니다. 악의적인 공격자는 피해자의 IP 주소를 스푸핑하여 DNS 서버와 같은 합법적인 서비스에 요청을 보냅니다.

서비스에서 이 주소로 응답을 보냅니다. 증폭 공격은 해당 요청보다 응답이 더 큰 프로토콜을 사용하기 때문에 공격자는 볼륨 공격에 사용하는 것보다 더 많은 대상의 대역폭을 사용할 수 있습니다.

DNS 증폭 공격은 개방형 DNS 확인자를 활용하여 DDoS 공격의 효과를 높입니다. DNS는 다음과 같은 몇 가지 이유로 증폭 공격에 많이 사용됩니다:

요인 설명 공격자에게 유리한 점
UDP 사용량 DNS는 핸드셰이크 확인이 부족한 UDP를 사용하는 경우가 많습니다. 공격자가 더 쉽게 IP 스푸핑을 할 수 있습니다.
신뢰할 수 있는 프로토콜 DNS는 기본적인 인터넷 프로토콜로, 방화벽을 통해 허용되는 경우가 많습니다. 프로토콜 유형에 따라 방화벽 필터링을 우회합니다.
더 큰 응답 DNS 응답에는 요청 크기를 초과하는 모든 요청 데이터가 포함됩니다. 대상에게 전송되는 데이터 볼륨을 증폭합니다.
구성 가능한 응답 공격자는 더 큰 증폭을 위해 대규모 DNS 레코드를 생성할 수 있습니다. 공격의 효과를 극대화합니다.
합법적인 요청 공격은 합법적인 도메인을 활용할 수 있으므로 도메인 이름에 기반한 필터링은 효과가 없습니다. 실제 트래픽과 구별하기 어렵습니다.

DNS 증폭 공격의 영향

DNS 증폭 공격은 볼륨 DDoS 공격의 한 예입니다. 이러한 공격의 목표는 대상의 네트워크 대역폭이나 기타 부족한 리소스(연산 능력 등)를 모두 소모할 수 있을 만큼의 스팸 트래픽을 대상에게 넘치게 하는 것입니다.

공격자는 증폭을 위해 DNS를 사용하면 공격에 사용되는 리소스의 일부를 사용하면서 표적을 압도할 수 있습니다. DDoS 공격은 표적 서비스를 오프라인 상태로 만들기 위해 설계되는 경우가 많습니다. 공격자가 사용 가능한 리소스를 모두 사용하면 합법적인 사용자가 사용할 수 있는 리소스가 없어져 서비스를 사용할 수 없게 됩니다.

그러나 소규모 공격도 표적에 부정적인 영향을 미칠 수 있습니다...

서비스가 완전히 오프라인 상태가 되지는 않더라도 성능이 저하되면 고객에게 부정적인 영향을 미칠 수 있습니다. 또한 공격으로 인해 소비되는 모든 리소스는 비즈니스에 아무런 이익도 가져다주지 않으면서 공격 대상에게만 비용을 지불합니다.

DNS 증폭 공격 완화 전략

이러한 DNS 공격에 대한 방어 전략은 다음과 같습니다:

  • 소스 IP 확인: DNS 증폭 공격은 공격자가 IP 스푸핑을 수행해야 합니다. 소스 IP 확인을 통해 스푸핑된 네트워크 트래픽을 식별하여 조직에서 이를 차단할 수 있습니다.
  • 스테이트풀 패킷 필터링: DNS 증폭 공격 패킷은 해당 요청이 없는 DNS 응답입니다. DNS 연결 상태를 추적하면 이러한 악성 요청이 대상 시스템에 도달하기 전에 이를 식별하고 차단할 수 있습니다.
  • 속도 제한 DNS 응답: DNS 증폭 공격은 공격자가 대량의 DNS 응답을 표적에 넘쳐나게 하는 데 의존합니다. 컴퓨터에 도달할 수 있는 DNS 데이터의 양을 제한하면 이러한 공격으로부터 컴퓨터를 보호하는 데 도움이 됩니다.

이러한 조치는 이러한 유형의 공격 대상을 보호하기 위해 고안되었습니다.

DNS 확인자에 대한 액세스를 제어하여 이러한 공격에 사용되지 않도록 함으로써 전반적인 위협을 관리할 수도 있습니다.

체크 포인트가 DNS 증폭 공격을 완화하는 방법

공격자는 DNS가 제공하는 증폭 효과를 이용하면 직접 공격하는 것보다 훨씬 더 큰 규모의 공격을 수행할 수 있습니다. 하지만 DNS가 유일한 DDoS 증폭 옵션은 아니며 증폭 계수가 가장 큰 옵션도 아닙니다.

DNS 증폭 및 기타 DDoS 공격으로부터 보호하려면 공격 트래픽과 정상 트래픽이 대상 서버에 도달하기 전에 필터링할 수 있는 DDoS 방어 솔루션이 필요합니다.

체크 포인트 Quantum 디도스 프로텍터(DDoS Protector)는 최대 800건 Gbps 의 디도스 공격을 실시간으로 탐지 및 방지하여 디도스 위협에 대한 강력한 보호 기능을 제공합니다. Quantum 디도스 프로텍터와 그 기능에 대한 자세한 내용은 이 데이터시트에서 확인하세요.

시작하기

디도스(DDos) 

랜섬 서비스 거부(RDoS)에 대한 최종 가이드

올바른 DDoS 솔루션 선택하기 전자책

차세대 방화벽

관련 항목

DNS 보안이란 무엇입니까?

DNS(도메인 이름 서버)

DDoS 공격

IoT 보안

DoS vs. DDoS

×
  피드백
본 웹 사이트에서는 기능과 분석 및 마케팅 목적으로 쿠키를 사용합니다. 웹 사이트를 계속 이용하면 쿠키 사용에 동의하시게 됩니다. 자세한 내용은 쿠키 공지를 읽어 주십시오.
확인