기타/정보보안기사
[정보보안기사] DNS 캐시 포이즈닝
s-bot
2022. 7. 6. 13:47
정보보안기사 17회 실기
Q1. 다음 예시가 설명하는 공격 명칭을 쓰시오
1. 사용자는 q.fran.kr 사이트에 접속을 시도한다.
2. 공격자는 캐시 DNS 서버가 DNS 서버로부터 정상 DNS 응답을 받기 전 조작된 DNS 응답을 보낸다.
3. 캐시 DNS 서버에 조작된 주소 정보가 저장된다.
4. 사용자는 조작된 주소의 사이트로 접속하게 된다.
A. DNS 캐시 포이즈닝
DNS Cache Poisoning 공격은 DNS 서버의 캐시정보를 조작하는 공격
- DNS 서버는 반복 질의요청으로 인한 부하를 막기위해 캐시를 사용하고 TTL(Time To Live)동안 이를 유지
- 조작된 캐시정보로 DNS 서버 자체를 공격해 다수의 사용자들이 조작된 DNS 응답 수신
- 정상 동작방식
- (1) DNS 캐시되지 않은 응답

- (2) DNS 캐시된 응답

- 공격 동작방식
- (3) DNS 캐시 악성 침입 프로세스

- (4) 악성 침입된 DNS 캐시

- 공격 대응책
- 도메인 관리용 서버(Authoritative Nameserver)에서 재귀적 질의(Recursive Query) 미허용
- 공격 동작방식 (3)의 3, 4단계에 제한
- 제한된 사용자가 사용하는 Recursive DNS Server는 해당 사용자로 제한하여 허용
- 공격 동작방식 (3)의 1단계에 사용자 제한
- DNSSEC(DNS Security Extension)기술 활용 - TLS/SSL과 마찬가지로 공개키 암호화 방식 추가
- 공격 동작방식 (3)의 2, 3단계에 암호화/인증 추가 - 4단계 방지
(원문 : https://remybaek.tistory.com/80)