1. DNS
Domain Name Server로 네트워크에서 사용하는 시스템.
영문/한글 주소를 ip주소로 변환해 준다.
Foward Zone(도메인 -> ip), Reverse Zone(ip -> 도메인)
DNS를 간단히 확인하는 명령어로는 nslookup이라는 도구로 사용 가능
ipconfig /displaydns : DNS Cache 확인
ipconfig /flushdns : DNS Cache 테이블 모두 삭제
ipconfig /all : DNS서버 확인하기
hosts 파일에서 ip주소와 url이 등록되어 있으면 해석가능
/etc/named.conf : allow-transfer(허용할 ip주소)
-Recursive Query : local DNS 서버에 Query를 보내 완성된 답을 요청
-Iterative Query : Local DNS서버가 다른 DNS서버에게 Query를 보내어 답을 요청하고, 외부도메인에서 개별적인 작업을 통해 정보를 얻어와 종합해서 알려주는 쿼리
-DNS 레코드의 종류
A(Address) : 호스트 이름 하나에 ip주소가 여러개 있을 수 있고 ip주소 하나에 호스트 이름이 여러개 있을 수도 있다. 이를 정의하는 레코드 유형이 A이다.
PTR : PTR레코드는 IP주소에 대해 도메인 명을 매핑
NS : DNS서버를 가리키며 각 도메인에 적어도 한 개이상은 있어야 한다.
MX : 도메인 이름으로 보낸 메일을 받는 호스트 목록으로 지정한다.
ANY : DNS 레코드를 모두 표시한다.
Whois 서버 : 도메인 등록 및 기관 정보, 도메인 이름과 관련된 인터넷 자원 정보, 목표 사이트의 네트워크 주소와 ip주소 정보, 레코드의 생성시기와 갱신시기 정보 등등
주 DNS 서버에서 관리하는 도메인 영역을 Zone 이라고 하며 부 dns 서버는 주 서버로부터 존에 대한 정보를 전송받아 도메인에 대한 정보를 유지한다. 이때 이 동작을 zone transfer 라고한다.
DNS 보안
- DNS 증폭 공격: DNS증폭은 Open DNS Resolver 서버를 이용해 DNS Query의 type을 any로 설정한다. any로 설정하면 모든 레코드를 요청하기 때문에 패킷의 크기가 증폭된다.
DNS Amplification Attack은 DNS Reflector Attack으로도 불린다.
출발지 ip주소를 조작하여 요청에 대한 응답이 조작된 ip주소로 전송되도록 하는 공격방법
-dnsspoof : DNS Spoofing을 할 수 있는 공격도구로 지정된 DNS파일을 참조해서 DNS를 수행하게 한다. 특히 53번 포트로 전송되는 UDP데이터를 모니터링 하고 있다가 지정된 URL에 대하여 요청이 오면 특정 IP로 응답을 해 주는 것이다.
dnsspoof –i eth0 –f dns.host
-DNS 싱크홀
: 악성 봇에 감염된 PC를 공격자가 조종하지 못하도록 악성 봇과 공격자의 명령을 차단하는 서비스로 자체 DNS서버를 운영하는 민간 기관을 대상으로 제공하는 서비스이다.
DNSSEC : DNS 캐시 포이즈닝과 DNS의 보안 취약점을 보완하기 위해서 등장한 기술, DNS 응답정보에 전자서명 값을 첨부하여 보내고 수신측이 해당 서명값을 검증하므로 DNS위변조를 방지하며 정보 무결성을 제공한다.
DNS Cache Poisioning Server Attack
:local DNS Server로 DNS 쿼리 응답 패킷을 전송한다.
DNS 유효패킷은 출발지 포트번호, 목적지 포트번호, 트랜잭션 ID가 맞아야 한다.
16Bit필드를 브루트 포싱하면 알아낼 수 있다.
'정보보안기사 > 정보보안기사 실기' 카테고리의 다른 글
| ISMS 정보보호 관리체계 (0) | 2018.05.24 |
|---|---|
| 위험관리 및 분석 (0) | 2018.05.24 |
| 정보보안기사 실기 보안용어7 (0) | 2018.04.14 |
| 정보보안기사 실기 보안용어6 (0) | 2018.04.14 |
| 정보보안기사 실기 보안용어5 (0) | 2018.04.13 |