NXNSAttack이란 무엇인가요?
존재하지 않는 이름 서버 공격(NXNSAttack)은 DNS 시스템을 마비시켜 사용자가 인터넷 리소스에 액세스할 수 없게 만들 수 있습니다. 이 새로운 공격에 대해 알아야 할 사항은 다음과 같습니다.
DNS( 도메인 네임 시스템 )는 도메인 이름(예: paloaltonetworks.com)을 IP 주소(이 경우 199.167.52.137)로 변환하는 프로토콜입니다. DNS가 없다면 우리는 IP 주소 문자열을 외워야 할 정도로 인터넷 전반에 걸쳐 보편화되어 있습니다. 하지만 DNS는 최근 몇 년 동안 여러 가지 취약점과 사이버 공격으로 어려움을 겪었습니다. 존재하지 않는 이름 서버 공격(NXNSAttack)이라는 새로운 공격은 한 학자 그룹이 처음 발견한 취약점을 악용합니다.
관련 동영상
공격자가 DNS를 사용하여 데이터를 탈취하는 방법
NXNSAttack은 DNS 확인(또는 "DNS 조회") 프로세스의 일부인 재귀 DNS 리졸버에 영향을 미칩니다. DNS 리졸버는 최종 사용자의 DNS 쿼리를 권한 있는 네임 서버로 전달하고, 이 서버는 IP 문자열을 다시 DNS 리졸버로 반환하여 최종 사용자에게 전달합니다. DNS 프로토콜에는 권한이 있는 서버가 대체 서버에 DNS 조회를 위임할 수 있는 안전 메커니즘이 내장되어 있습니다. 이것이 바로 NXNSAttack이 악용하는 메커니즘입니다.
다음은 공격의 단계를 간단히 설명한 것입니다.
공격자는 공격[.]com과 같은 도메인에 대한 DNS 쿼리(또는 봇의 도움을 받아 여러 개의 DNS 쿼리)를 DNS 리졸버로 보냅니다.
쿼리를 해결할 권한이 없는 DNS 리졸버는 공격자가 소유하거나 손상된 권한이 있는 서버로 쿼리를 전달합니다. 많은 수의 권한 있는 서버를 소유하는 것은 어렵지 않습니다. 공격자가 도메인을 등록하면 이 예제 공격[.]com에서처럼 인터넷의 모든 권한 있는 서버와 도메인을 연결할 수 있습니다.
손상된 권한 서버는 재귀 DNS 리졸버에 조회 요청을 대량의 대체 서버 목록에 위임하겠다고 응답합니다. 이 목록에는 피해 웹사이트의 하위 도메인 수천 개가 포함될 수 있습니다.
DNS 리졸버가 모든 하위 도메인에 DNS 쿼리를 전달하여 피해자의 권한 있는 서버에 트래픽이 급증합니다. 대규모 트래픽으로 인해 피해자의 DNS 리졸버가 다운될 수 있습니다.
회사의 DNS 리졸버가 다운되면 더 이상 사용자의 요청에 응답하지 않습니다. 웹사이트, 전자상거래, 화상 채팅, 지원 및 기타 웹 서비스를 사용할 수 없게 됩니다.
공격자가 DNS 서버에 폭주하는 것을 방지하는 패치가 출시되었습니다. 따라서 DNS 리졸버 소프트웨어를 최신 버전으로 업데이트하는 것이 NXNSAttack을 방지하는 방법 중 하나입니다.
NXNSAttacks에 대한 자세한 내용은 https://www.paloaltonetworks.co.kr/network-security/advanced-dns-security에서 확인하세요.
