DNS 하이재킹 예방을 위해 기업에서 할 수 있는 일
트로이 목마나 멀웨어가 심어져 DNS 세팅이 변경되어 있다면 우리는 DNS 하이재킹의 피해자가 될 수 있다.
이를 방지하기 위해 기업에서 할 수 있는 방법을 정리해 봤다.
1. DNS 초기화
정기적으로 DNS 캐쉬를 정리하여 악성 사이트로 유인될 가능성을 줄인다.
1) 윈도우
> ipconfig /flushdns
2) 리눅스
배포판마다 다르다 예로 우분투는 기본적으로 dns 캐싱을 사용하지 않는다고 한다.
즉, 확인하고 배포판에 맞는 방법을 사용한다.
참고 1)) 우분투에서 DNS 캐싱 사용여부 확인하기
ps ax | grep dnsmasq 결과에서 --cache-sizecache-size=0 이면 캐싱을 사용하지 않고 있는 것이다.
참고 2)) 우분투에서 DNS 캐싱 사용 중인 경우 초기화하기
$ sudo /etc/init.d/dns-clean restart
$ sudo /etc/init.d/networking force-reload
2. nslookup 활용
피싱 공격에 대해 보호하고, 웹사이트가 보증되어 있는지 확인한다.
아래처럼 nslookup 을 통해 로컬의 기본 DNS 서버와 실제 DNS 서버가 응답해 주는 레코드가 동일한지 확인해 본다.
- 로컬 기본 DNS 서버에 질의
>nslookup
기본 서버: UnKnown
Address: 192.168.0.1
> set type=a
> naver.com
서버: UnKnown
Address: 192.168.0.1
권한 없는 응답:
이름: naver.com
Addresses: 223.130.200.104
223.130.195.200
223.130.195.95
223.130.200.107
> set type=ns
> naver.com
서버: UnKnown
Address: 192.168.0.1
권한 없는 응답:
naver.com nameserver = ns2.naver.com
naver.com nameserver = ns1.naver.com- 실제 DNS 서버에 질의
> server ns1.naver.com
기본 서버: ns1.naver.com
Address: 125.209.248.6
> set type=a
> naver.com
서버: ns1.naver.com
Address: 125.209.248.6
이름: naver.com
Addresses: 223.130.195.95
223.130.200.107
223.130.195.200
223.130.200.104** 혹은 보기 좋게 아래 사이트에서 확인해 볼 수 있다.
DNSdumpster.com - dns recon and research, find and lookup dns records
Attack The ability to quickly identify the attack surface is essential. Whether you are penetration testing or chasing bug bounties. Defend Network defenders benefit from passive reconnaissance in a number of ways. With analysis informing information secur
dnsdumpster.com
3. DNS 유출 테스트
VPN, 개인 서비스 사용 시 기본 DNS 서버를 사용하는지 DNS 유출 테스트로 확인한다.
보통 VPN 장비 관리 기능에 서비스로 들어가 있을 것이다.
'Security > 정보보안기사' 카테고리의 다른 글
| [보안용어] 3.20 사이버테러 (0) | 2023.01.29 |
|---|---|
| [보안용어] Shell Shock (0) | 2023.01.29 |
| [OWASP 2017] A10 불충분한 로깅 및 모니터링 (0) | 2023.01.28 |
| [OWASP 2017] A9 알려진 취약점이 있는 구성 요소 사용 (0) | 2023.01.28 |
| [OWASP 2017] A8 안전하지 않은 역직렬화 (0) | 2023.01.28 |
댓글