DNS 네임서버 공격을 막는 방법
윈도우 DNS서버를 구동하고 있는 상황에 DNS 트래픽이 점점 증가되고 해당 패킷을 보니 서브넷 대역으로 수천개 이상이 작은 단위로 자원을 소진하고 있는것을 발견했습니다. 대부분의 패킷이 남미중 브라질쪽이 80프로 이상이며 그 나라 대역을 PFSENSE로 전부 차단을 해서 한동안 조용한줄 알았습니다.
그런데 독일 스페인 이탈리아 등등 이게 랜덤이다 보니 모니터링 하면서 대역을 막는건 아닌거 같아서 방법을 찾아봤습니다. 위와같은 작은 패킷단위다보니 mitigation 기능을 하는 IDS/IPS에서는 그냥 통과가 되버리는 문제로 필터를 못하는데서 발생하기도 합니다.
DNS 전달자 기능을 이용하여 외부 네임서버와 호스트 도메인은 내부서버로 전달하게 중간역할로 지정하게 되니 DNS UDP 자원을 소진하는 공격패턴은 사라지게 되었습니다.
DNS 공격때문에 클라우드로 서비스를 옮긴데가 한두군데가 아니라는 기사도 찾아봤습니다. 이걸 계속 모니터링 노가다 하면서 차단해야 하다가 몇가지를 테스트 해보다가 해결 사례를 포스팅합니다.
Views Today : 2
Views Yesterday : 30
Views This Month : 331
Views This Year : 15525
Total views : 51565
Who's Online : 0
안녕하세요 브라질발 DNS 공격 내용을 검색 하던 중 이 글을 보고 궁금한점이 있어서 글을 남깁니다.
저희 사도 윈도우 서버로 DNS 서비스를 자체로 운영하고 있습니다.
내부 Active directory DNS는 내부에서 만 작동하며, 외부서비스를 하고 있는 웹서비를 위해 자체 외부 DNS를 사용중인데 DNS서버로 ANY, TXT 로 쿼리를 무작위로 보내고 있습니다.
IPS도입해야 하나 해서 IPS테스트를 진행하고 있는데 일 부부은 IPS를 통과 하고 있습니다.
글 내용 중에 [“DNS 전달자 기능을 이용하여 외부 네임서버와 호스트 도메인은 내부서버로 전달하게 중간역할로 지정하게 되니 DNS UDP 자원을 소진하는 공격패턴은 사라지게 되었습니다.” ]
이 부분에 대한 세팅 방법을 좀 알 수 없을까요..?
답변 주시면 감사하겠습니다.!!
세팅방법이 위에 pfsense 그림에 잘 나와 있습니다.
IPS나 IDS가 방어가 안되고 통과가 되버리는 이유가 ip당 3k 바이트 언저리 정도만 패킷을 소진해서 ddos 나 방어패턴 차단 규칙에 해당되지 않는데서 오는 결과입니다.
작은 패킷단위로 인해전술 패턴으로 공격해버리면 이거 차단하는게 보통 신경쓰이는게 아니게 되는겁니다.
ips/ids 제품에서 포워더 기능 없으면 pfsense 를 DNS서버 앞단에 배치하는게 편할듯 싶네요. 설치형 pfsense 방화벽은 오픈소스라 비용이 안들어갑니다. 대신 전문가나 사람부리면 비용은 들어가겠죠.