DNS 공격과 방어

DNSSEC

- DNS 암호화 / 전자서명 / 대칭키&공개키, “파밍공격”에 대한 대응임.

https://xn--3e0bx5euxnjje69i70af08bea817g.xn--3e0b707e/jsp/resources/dns/dnssecInfo/dnssecInfo.jsp
https://idchowto.com/?p=38619 

DNS 증폭 공격 (DDoS)

- 무수히 많은 Open Resolver를 이용하여 DNS 쿼리 타입을 ANY로 하게 되면 A, AAAA, CNAME, NS 등의 모든 레코드를 요청하기 때문에 쿼리 패킷이 약간 증폭

DNS 싱크홀 

 - 봇에 감염된 PC를 ISP서버에서 KISA DNS 싱크홀 서버로 연결되도록 유도하여 우회

DNS 공격 (DDoS) 대응 방안

1. 대역폭 공격
--> Switch에서 UDP가 512이상인 패킷을 차단.
--> DNS 장비에서 패킷의 양이 적으면 DNS 서버의 iptables를 이용하여 UDP가 512이상인 패킷을 차단.

2. Query 증가

3. DNS 싱크홀 이용

 - 봇에 감염된 PC를 ISP서버에서 KISA DNS 싱크홀 서버로 연결되도록 유도하여 우회

알아두면 좋은 내용

DNS 의 SOA (Start Of Aythority) 레코드

- Zone 파일은 항상 SOA로 시작
- 해당 Zone에 대한 네임서버를 유지하기 위한 기본적인 자료 저장
- Refresh는 주 서버와 보조 서버의 동기 주기를 설정
- 책임자의 이메일 양식은 Chang.naver.com 과 같은 형식 (골뱅이 @ 사용 안함)
- TTL --> DNS 캐시로부터 나오기 전에 현재 남은 시간 --> 초 단위 300 == 5분(만약 1시간으로 설정하면 1시간 동안 해당 레코드가 캐시됨)
- DNS 레코드 참조

https://ryusstory.tistory.com/entry/DNS-%EB%A0%88%EC%BD%94%EB%93%9C-%EC%B0%B8%EC%A1%B0

DNS 한 아이피에 여러 도메인 설정

https://httpd.apache.org/docs/2.2/ko/vhosts/examples.html

https://sy34.net/using-multiple-domain-on-one-server/