DNS 터널링(Tunneling)

DNS 터널링

DNS 터널링은 해커가 DNS(Domain Name System)를 악성 트래픽의 전송 수단으로 사용해 네트워크 보안을 우회하는 공격의 한 종류입니다.

 

일반적으로 DNS는 도메인 이름을 IP 주소로 해석하는 역할을 하지만, DNS 터널링은 DNS 트래픽을 이용하여 데이터를 캡슐화하고 전송합니다. 이는 일반적인 방화벽 및 보안 시스템에서는 쉽게 감지되지 않을 수 있습니다.

특히 DNS 터널링 공격은 많은 사람들이 FTP, RDP, HTTP와 같은 서비스에 대한 보안적 관심은 많지만 DNS에 대해서는 상대적으로 보안적 관심이 적은 점을 이용합니다.

 

DNS 터널링 공격에 성공한 해커는 네트워크 보안을 우회하고, 데이터를 유출하고, 다른 컴퓨터를 제어하고, 사용자 인증정보를 수집하거나, 향후 공격을 위해 풋프린트를 탐색할 수 있습니다.

💡 "풋프린트"는 기본적으로 조직이나 기업의 전반적인 디지털 환경에서 남긴 디지털적인 발자국을 가리킵니다. 네트워크 풋프린트는 해당 조직의 인프라, 시스템, 서비스, 애플리케이션 등에 대한 정보를 포함합니다. 이것은 공격자가 시스템에 대한 정보를 수집하고 취약점을 찾거나 공격을 실행하는 데 사용할 수 있는 중요한 정보입니다.

이미지 출처:인포섹 공식블로그

DNS 터널링 방어

아래 내용은 DNS 터널링 공격을 방지하기 위한 몇가지 예시입니다.

• DNS 패킷 검사: DNS 패킷을 검사하여 비정상적인 패턴을 탐지하고 차단합니다. 예를 들어, 너무 많은 쿼리가 한 번에 발생하는 경우, 또는 비정상적인 도메인 이름 패턴을 가지는 경우, 비정상적인 패킷의 크기 등을 검사하여 감지할 수 있습니다.

• DNS 캐싱: DNS 결과를 캐싱하여 재활용함으로써 트래픽을 줄이고 DNS 서버의 부하를 줄일 수 있습니다. 이를 통해 터널링 공격에 사용되는 대량의 DNS 쿼리를 줄일 수 있습니다.

• DNSSEC 구현: DNSSEC(Domain Name System Security Extensions)를 사용하여 DNS 응답의 무결성을 보호합니다. 이를 통해 DNS 응답이 조작되지 않았음을 확인할 수 있으며, 터널링 공격에 약화된 쿼리를 방지할 수 있습니다.

• 암호화된 DNS 연결: DNS 트래픽을 암호화하여 중간자 공격을 방지하고 데이터 무결성을 보호합니다. DNS-over-HTTPS(DoH)나 DNS-over-TLS(DoT)와 같은 프로토콜을 사용하여 암호화된 DNS 연결을 설정할 수 있습니다.

• DNS 방화벽 설정: DNS 트래픽을 모니터링하고 비정상적인 활동을 탐지하여 차단하는 DNS 방화벽을 구성합니다. 특히 악의적인 도메인 또는 IP 주소에 대한 액세스를 제한하는 데 도움이 됩니다.