DNS 포획 공격

응용정보기술자 평성 30년 가을 오전 묻다 39
DNS 캐시 서버가 외부에서 하는 캡처 공격에 대한 대책 중 어느 것이 적절한가.

1. DNS 캡처 공격
DNS 캐시 서버에 가짜 DNS 정보를 캐시로 등록함으로써 사용자가 가짜 사이트에 들어가는 공격을 유도한다.
2. 귀속 조회
해석기에서 이름 해석 요청을 받은 DNS 서버가 다른 DNS 서버를 에이전트로 문의하고 최종 결과를 해석기로 되돌려야 하는 문의
● 해석기(Resolver)는 도메인 이름 시스템에 접근하고 도메인 이름 공간에서 임의의 노드의 정보를 얻는 클라이언트의 이름이다.
3. 반복 질문
파서에서 재귀적 조회를 받는 DNS 서버가 해결될 때까지 다른 DNS 서버에 되묻기

★ 공격자가 DNS 캐시 서버에 가짜 캐시 정보를 등록하려면:
● 공격자는 캐시 서버에 대해 가짜 귀속 조회를 하고 중복 조회를 강제로 발생시킨다.
● 캐시 서버에서 컨텐츠 서버에 대한 반복 문의
공격자는 콘텐츠 서버가 정상적인 응답으로 돌아오기 전에 캐시 서버에 가짜 응답을 보냅니다.
● 캐시 서버는 공격자가 보낸 가짜 응답을 정규로 판단하고 캐시에 로그인한다.이 때 DNS 조회가 해결되었기 때문에 콘텐츠 서버에서 보내는 정규 응답을 버립니다.
외부 인터넷 요청 귀속 상담을 금지하면 캐시 서버에 가짜 캐시를 등록시킬 위험이 없기 때문에 대책이라는 것이다.
● 해석기 및 (resolver)는 이름 해석을 위한 DNS 클라이언트입니다.도메인 이름을 기반으로 IP 주소 정보를 검색하고, IP 주소에서 도메인 이름 정보를 검색하는 것이 목적이다.이름을 해결해야 하기 때문에 해결사(resolver)로 불린다.
· 캡처(DNS cache poisoning)는 DNS의 캐시 정보를 의도적으로 재작성하여 사용자를 잘못된 사이트로 유도하는 공격이다.예를 들어 부엉이의 공격으로 온라인 뱅킹 사이트의 가짜 정보를 재생할 수 있다면 사용자의 계좌번호와 비밀번호 등 정보를 인출할 수 있다.
참조:
https://www.sc-siken.com/kakomon/26_aki/am2_9.html
회전 변압기(Resolver)
https://ja.wikipedia.org/wiki/%E3%83%AA%E3%82%BE%E3%83%AB%E3%83%90