DNS amplification DDos attacks (DNS 증폭 DDos 공격)
최근에 관리하는 서버에 트래픽이 몰리는 현상이 발생했다. 웹 서비스 트래픽도 아니기에 뭔가 싶어 봤더니 53 포트를 통한 input 트래픽이였다. 그래서 ngrep 으로 53 포트를 모니터링 하니 대략 다음과 같이 나왔다.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 |
U 27.102.207.300:53 -> 186.2.161.134:14455 ^............ddos.cat.............*'.1.ns.nic...dnsmaster.knipp.de.w..........,..:...Q...)........ # U 186.2.161.134:12806 -> 27.102.207.300:53 .............ddos.cat.......)#(...... # U 27.102.207.300:53 -> 186.2.161.134:12806 .............ddos.cat.............*'.1.ns.nic...dnsmaster.knipp.de.w..........,..:...Q...)........ # U 186.2.161.134:32940 -> 27.102.207.300:53 .............ddos.cat.......)#(...... # U 27.102.207.300:53 -> 186.2.161.134:32940 .............ddos.cat.............*'.1.ns.nic...dnsmaster.knipp.de.w..........,..:...Q...)........ # U 186.2.161.134:60056 -> 27.102.207.300:53 .............ddos.cat.......)#(...... # U 27.102.207.300:53 -> 186.2.161.134:60056 .............ddos.cat.............*'.1.ns.nic...dnsmaster.knipp.de.w..........,..:...Q...)........ # U 186.2.161.134:44315 -> 27.102.207.300:53 t............ddos.cat.......)#(...... # U 27.102.207.300:53 -> 186.2.161.134:44315 t............ddos.cat.............*'.1.ns.nic...dnsmaster.knipp.de.w..........,..:...Q...)........ |
뭔가 자꾸 DNS 서버에 쿼리(Query)를 보내고 있었고 이로 인해서 트래픽이 발생하는게 분명했다.
DNS amplification DDos attacks (DNS 증폭 DDos 공격)
‘DNS amplification DDos Attacks’ 는 DNS 증폭 DDos 공격으로 불리운다. 왜 ‘증폭’ 일까?
DDos 는 대량의 트래픽이 필요하다. 초당 수십 Gbps 를 유발시켜야 하는데 이렇게 할려면 많은 장비가 필요하다. 그러다보니 DDos 공격을 개인이 한다는 건 무리가 있다. 그런데, DNS 서버는 이런 많은 장비 없이도 대량의 트래픽을 유발시킬 수 있는 구조적인 면을 안고 있다.
DNS 는 인터넷을 위해서는 반드시 존재해야만 하는 서버다. 인터넷 전화번호부 라고도 불리우는 서버로 인간의 주로 사용하는 도메인을 컴퓨터가 알아볼수 있는 IP 주소로 변환한다. 브라우저 주소창에 도메인을 입력하면 DNS 서버에 그 도메인의 IP 주소를 질의(Query) 한 후에 받은 IP를 가지고 실제 서버에 접속하는 구조다.
이렇게 DNS 는 질의(Query)를 받아 응답한다. 그런데, DNS 에 보낼 수 있는 질의(Query)는 다양하며 그중에서 재귀적 질의(Recursive Query) 가 문제가 된다. 재귀적 쿼리는 DNS 서버가 보유한 도메인 리스트에 질의한 내용이 없을 경우 이를 다른 DNS 서버에 질의하는 것을 말한다.
예를들어 DNS-A 이라는 DNS 서버에 naver.com 을 질의했다면 DNS-A 서버는 먼저 자신의 도메인 리스트에 naver.com 이 있는지 찾게 된다. 없다면 최상의 DNS 서버인 ROOT-DNS 서버에 DNS-A 서버가 naver.com 서버의 IP가 무엇인지 질의하게 된다. ROOT-DNS 서버는 naver.com 주소의 TLD(Top Level Domain) 인 .com DNS 서버에 물어보라고 DNS-A 서버에 알려주고 다시 DNS-A 서버는 .com TLD 서버에 질의한다. .com TLD 서버는 naver.com 네임서버에게 물어보라고 응답하고 DNS-A 서버는 드디어 naver.com 을 가진 DNS 서버에 IP를 요청하고 이를 받아서 클라이언트에게 응답하는 것으로 임무는 종료 된다.
- OS에 설정된 DNS-A 서버에 naver.com 의 IP를 요청한다.
- DNS-A 서버는 자신의 도메인 리스트나 도메인 캐쉬에서 naver.com IP를 찾는다. 있다면 응답하고 끝나게되고 없다면 다음으로 진행.
- DNS-A 서버에 naver.com 이 없음을 알게된 서버는 최상의 DNS 서버은 ROOT-DNS 에 naver.com IP를 질의한다.
- ROOT-DNS 는 naver.com 의 TLD (Top Level Domain) 인 .com DNS 에 물어보라고 DNS-A 에게 알려준다.
- .com DNS 서버는 naver.com 도메인의 DNS 서버에게 물어보라고 DNS-A 에게 알려준다.
- 마침내 DNS-A 서버는 naver.com 도메인의 DNS 서버에 IP가 뭐냐고 질의한다.
여기에 질의 내용을 ‘ANY’ 로 할 경우에는 응답하는 양이 많아진다. 도메인의 DNS 구성에는 MX, A, TXT, CNAME 등 다양하다. 질의할때에는 어떤 타입을 원하는지를 정할 수 있게 되는데, ANY 타입의 질의는 도메인이 가지고 있는 모든 정보를 원하게 된다.
결국 재귀적 질의와 ANY 타입의 질의를 결합해 초당 수백건의 도메인 질의를 보내게 되면 DNS 서버는 이 질의에 응하게되고 수십Gbps 의 응답 트래픽을 발생시키게 된다. 이것이 바로 ‘DNS 증폭 DDos 공격’ 이다.
이 공격은 대부분 DNS 의 잘못된 설정 탓이다. BIND 9 의 경우에는 재귀적 질의를 맞음으로써 간단하게 해결할 수 있다.
|
1 2 |
allow-query-cache { none; }; recursion no; |
BIND 9 의 기본 설정은 ‘recursion yes’ 임으로 이를 바꿈으써 ‘DNS 증폭 DDos 공격’을 막을 수 있다. 이 공격을 막았을 경우 로그는 다음과 같이 쌓인다.
|
1 2 3 4 5 6 7 8 9 |
Jul 18 16:27:04 DNS-A named[7556]: client 186.2.161.134#13504: view localhost_resolver: query (cache) 'ddos.cat/ANY/IN' denied Jul 18 16:27:05 DNS-A named[7556]: client 186.2.161.134#39600: view localhost_resolver: query (cache) 'ddos.cat/ANY/IN' denied Jul 18 16:27:05 DNS-A named[7556]: client 186.2.161.134#53939: view localhost_resolver: query (cache) 'ddos.cat/ANY/IN' denied Jul 18 16:27:05 DNS-A named[7556]: client 186.2.161.134#10874: view localhost_resolver: query (cache) 'ddos.cat/ANY/IN' denied Jul 18 16:27:05 DNS-A named[7556]: client 186.2.161.134#62900: view localhost_resolver: query (cache) 'ddos.cat/ANY/IN' denied Jul 18 16:27:05 DNS-A named[7556]: client 186.2.161.134#61722: view localhost_resolver: query (cache) 'ddos.cat/ANY/IN' denied Jul 18 16:27:05 DNS-A named[7556]: client 186.2.161.134#36156: view localhost_resolver: query (cache) 'ddos.cat/ANY/IN' denied Jul 18 16:27:05 DNS-A named[7556]: client 186.2.161.134#61679: view localhost_resolver: query (cache) 'ddos.cat/ANY/IN' denied Jul 18 16:27:05 DNS-A named[7556]: client 186.2.161.134#15738: view localhost_resolver: query (cache) 'ddos.cat/ANY/IN' denied |