DNS에 대한 빠른 입문서
다음은 DNS(도메인 네임 서비스)의 작동 방식을 간단히 설명한 것입니다:
- DNS 쿼리: 브라우저에 웹사이트 주소를 입력하면 컴퓨터가 재귀 확인자라고 하는 인근 서버에 요청(DNS 쿼리)을 보냅니다. 이 합법적인 쿼리는 기본적으로 "이 웹사이트 이름의 IP 주소가 무엇인가요?"라고 묻는 것입니다.
- 검색: 재귀 확인자는 교환원처럼 작동하여 권한이 있는 네임 서버에 연락합니다. 특정 도메인 이름에 대해 가장 신뢰할 수 있는 데이터(IP 주소)를 보유하고 있는 특수 서버입니다.
- DNS 응답: 권한 있는 서버가 IP 주소를 찾으면 재귀 확인자에게 응답을 다시 보냅니다.
- 답변: 재귀 확인자는 이 정보(IP 주소)를 컴퓨터로 전달합니다.
- 연결이 설정되었습니다: 이제 컴퓨터에 필요한 주소가 확보되어 웹사이트에 바로 연결할 수 있습니다.
DNS 플러드 공격은 어떻게 발생하나요?
DNS 플러드 공격은 대량의 가짜 웹사이트 주소 요청으로 DNS 서버를 압도하는 방식으로 작동합니다.
- 정상 작동: 웹사이트에 액세스하려고 하면 컴퓨터가 DNS 서버에 연결합니다. DNS 서버는 전화번호부처럼 도메인 이름을 컴퓨터가 이해할 수 있는 숫자 주소(소스 IP 주소)로 변환하는 역할을 합니다.
- 공격이 시작됩니다: 해커가 존재하지 않거나 잘못된 웹사이트 주소에 대한 대량의 요청으로 DNS 서버를 폭격합니다.
- 시스템 과부하: DNS 서버가 모든 DNS 요청에 응답하려고 과부하가 걸리는 경우입니다. 잘못된 전화번호가 넘쳐나서 원하는 실제 번호를 찾기가 어려워지는 것과 같습니다.
- 영향: 서버가 정크 처리 중이므로 실제 웹사이트 주소에 대한 합법적인 요청에 응답할 수 없습니다. 이로 인해 웹사이트가 중단되거나 로딩 시간이 느려집니다.
DNS 플러드 공격은 다양한 방식으로 수행될 수 있지만, 가장 일반적인 위협 중 하나는 사물인터넷(IoT) 봇넷입니다. 이러한 손상된 IoT 디바이스 모음은 DNS 확인자에게 대량의 트래픽을 전송하는 데 사용될 수 있으며, 적절한 안티 DDoS 방어 기능이 없는 경우 DNS 확인자를 오프라인 상태로 만들 수 있습니다.
DNS 폭주 공격의 영향
DNS 폭주 공격의 가장 일반적인 영향은 다음과 같습니다:
| Impact |
설명 |
| 웹사이트 중단 |
표적 DNS 서버가 제공하는 웹사이트에 액세스할 수 없게 됩니다. 사용자에게 오류 메시지 또는 빈 페이지가 표시됩니다. |
| 느린 로딩 시간 |
가짜 요청이 폭주하면 서버가 과부하되어 정상적인 요청의 처리가 지연되고 웹사이트 로딩이 느려집니다. |
| 중단된 온라인 서비스 |
표적 DNS 서버에 의존하는 온라인 서비스(이메일, 온라인 뱅킹)를 중단시킵니다. |
| 생산성 및 수익 손실 |
웹사이트 중단과 느린 로딩 시간은 비즈니스의 생산성과 매출 손실로 이어질 수 있습니다. |
| 평판 손상 |
공격은 기업의 평판을 손상시켜 고객의 신뢰와 신뢰에 영향을 미칠 수 있습니다. |
DNS는 최신 네트워크 인프라에서 잠재적인 단일 장애 지점입니다.
조직이 도메인 이름 확인을 위해 하나 또는 몇 개의 DNS 서버에 의존하는 경우 이러한 서버가 다운되는 DNS 플러드가 발생하면 사용자가 웹사이트에 액세스할 수 없게 되어 잠재적인 재정적 손실로 이어질 수 있습니다. 이러한 유형의 공격 중 가장 유명한 사례는 2016년에 넷플릭스, 페이팔, 트위터 등 주요 사이트의 서비스 중단을 일으킨 Dyn 공격입니다.
DNS 폭주 공격 완화
DNS 플러드 공격은 스팸뿐만 아니라 잠재적으로 정상적인 트래픽도 공개적으로 액세스할 수 있어야 하는 서버를 대상으로 하기 때문에 방어하기 어렵습니다. 이러한 공격을 수행하기 어렵게 만들거나 효과를 제한하는 몇 가지 방법은 다음과 같습니다:
- 리소스 오버프로비저닝: 일반적으로 DNS 플러드 공격은 네트워크 대역폭 또는 DNS 서버의 계산 용량을 소모하도록 설계됩니다. 네트워크 대역폭과 서버의 크기가 커진다고 해서 공격을 막을 수는 없지만, 공격자가 목표를 달성하기 위해 생성하고 유지해야 하는 트래픽의 양이 증가합니다.
- 애니캐스트 DNS: 애니캐스트 네트워킹은 특정 IP 주소를 사용하여 여러 컴퓨터 중 가장 가까운 컴퓨터로 트래픽을 전송합니다. 애니캐스트 네트워킹을 사용하여 전 세계에 분산된 DNS 서버 네트워크를 사용하면 공격자가 조직의 모든 DNS 인프라를 압도하는 데 필요한 트래픽 양을 생성하기가 훨씬 더 어려워집니다.
- DNS 캐싱: DNS 캐싱은 분산 서버 네트워크에 일반적으로 액세스하는 DNS 레코드의 복사본을 저장합니다. DNS 요청이 캐시에 도달하면 DNS 원본 서버로 전달되지 않으므로 해당 서버의 부하가 줄어듭니다.
- 속도 제한: DNS 플러드 공격은 악성 트래픽으로 DNS 서버를 압도하려고 시도합니다. 전송률 제한을 구현하면 특정 IP 주소가 서버로 보낼 수 있는 트래픽의 양이 줄어들어 DNS 폭주 공격의 영향을 줄일 수 있습니다.
- 지리적 차단: IoT 봇넷은 일반적으로 분산되어 있으므로 공격 트래픽은 특정 지역 또는 전 세계에서 발생할 수 있습니다. 서비스 사용자가 특정 지역에 있는 경우 해당 지역 외부로부터의 트래픽을 차단하면 공격 트래픽의 양을 줄일 수 있습니다.
DNS 폭주 공격에 대한 최선의 방어책은 DDoS 완화 솔루션을 배포하는 것입니다. 이러한 서비스는 DNS 플러드 트래픽을 식별하고 필터링하여 DNS 서버가 과부하되는 것을 방지하는 동시에 정상적인 사용자에게 서비스를 제공할 수 있도록 합니다.
체크포인트가 DNS 플러드 공격을 완화하는 방법
DNS 인프라를 보호하는 것은 인터넷이 제대로 작동하는 데 필수적입니다. DNS 플러드 공격은 처리할 수 있는 것보다 많은 트래픽으로 DNS 서버를 압도할 수 있기 때문에 이러한 시스템에 상당한 위험을 초래합니다.
또한 이러한 공격을 완화하도록 설계된 대부분의 솔루션은 공격의 효과를 감소시킬 뿐 완전히 차단하지는 못합니다. DNS 폭주 및 유사한 공격으로부터 보호하는 가장 좋은 방법은 DDoS 완화 솔루션을 사용하는 것입니다.
체크 포인트 Quantum 디도스 프로텍터(DDoS Protector)는 머신 러닝과 AI 을 활용하여 최대 800 Gbps 의 디도스 공격에 대한 실시간 공격 탐지 및 방어를 제공함으로써 대규모 공격에 대해서도 강력한 보호 기능을 제공합니다. 이 데이터시트를 통해 디도스 프로텍터(DDoS 프로텍터)의 기능과 이를 통해 DNS 플러드 및 기타 디도스 공격에 대한 조직의 노출을 줄일 수 있는 방법에 대해 자세히 알아보세요.Quantum
피드백