DNS란 무엇입니까?
간단히 말해서 DNS 는 인터넷의 전화번호부입니다. 인터넷을 검색할 때 대부분의 사용자는 방문하려는 웹 사이트의 도메인이나 URL(예: https://www.checkpoint.com)을 입력하는 것을 선호합니다. 그러나 인터넷의 서버와 인프라는 IP 주소를 사용하여 트래픽의 대상을 식별하고 라우팅합니다.
DNS는 도메인 이름과 IP 주소 간의 변환을 제공합니다. 서로 다른 하위 도메인에 대한 서버가 있는 계층적 시스템으로 구성됩니다. 사이트 방문자는 checkpoint.com .com checkpoint.com DNS 서버의 IP 주소에 대한 DNS 서버입니다. 이 DNS 서버에 대한 두 번째 요청은 원하는 웹 페이지를 호스팅하는 서버의 IP 주소를 제공합니다. 이제 사용자가 원하는 사이트를 방문할 수 있습니다.
DNS 터널링은 어떻게 작동하나요?
DNS는 인터넷의 기본 프로토콜 중 하나입니다. 제공하는 조회 서비스가 없으면 인터넷에서 아무것도 찾는 것이 거의 불가능합니다. 웹 사이트를 방문하려면 웹 사이트를 호스팅하는 서버의 정확한 IP 주소를 알아야하지만 불가능합니다. 따라서 DNS 트래픽은 인터넷에서 가장 신뢰할 수 있는 트래픽 중 하나입니다. 조직에서는 내부 직원이 외부 사이트를 방문하고 외부 사용자가 웹 사이트를 찾아야 하기 때문에 방화벽(인바운드 및 아웃바운드 모두)을 통과할 수 있습니다.
DNS tunneling takes advantage of this fact by using DNS requests to implement a command and control channel for malware. Inbound DNS traffic can carry commands to the malware, while outbound traffic can exfiltrate sensitive data or provide responses to the malware operator’s requests. This works because DNS is a very flexible protocol. There are very few restrictions on the data that a DNS request contains because it is designed to look for domain names of websites. Since almost anything can be a domain name, these fields can be used to carry sensitive information. These requests are designed to go to attacker-controlled DNS servers, ensuring that they can receive the requests and respond in the corresponding DNS replies.
DNS tunneling attacks are simple to perform, and numerous DNS tunneling toolkits exist. This makes it possible for even unsophisticated attackers to use this technique to sneak data past an organization’s network security solutions.
DNS 터널링 공격 탐지
DNS 터널링에는 기본 DNS 프로토콜의 남용이 포함됩니다. DNS 요청 및 회신을 사용하여 합법적인 IP 주소 조회를 수행하는 대신 멀웨어는 이를 사용하여 처리기로 명령 및 제어 채널을 구현합니다.
DNS의 유연성은 데이터 유출에 적합합니다. 그러나 한계가 있습니다. 네트워크에서 DNS 터널링의 몇 가지 지표는 다음과 같습니다.
- 비정상적인 도메인 요청: DNS 터널링 멀웨어는 요청된 도메인 이름(예: DATA_HERE.baddomain.com) 내에서 데이터를 인코딩합니다. DNS 요청 내에서 요청된 도메인 이름을 검사하면 조직에서 합법적인 트래픽과 시도된 DNS 터널링을 구별할 수 있습니다.
- 비정상적인 도메인에 대한 요청: DNS 터널링은 DNS 요청이 DNS 서버로 이동하도록 공격자가 대상 도메인을 소유하는 경우에만 작동합니다. 조직에서 비정상적인 도메인에 대한 요청이 갑자기 급증하는 경우, 특히 해당 도메인이 최근에 생성된 경우 DNS 터널링을 나타낼 수 있습니다.
- 높은 DNS 트래픽 볼륨: DNS 요청 내의 도메인 이름은 최대 크기(253자)입니다. 즉, 공격자는 데이터 반출을 수행하거나 고도의 대화형 명령 및 제어 프로토콜을 구현하기 위해 많은 수의 악성 DNS 요청이 필요할 수 있습니다. 그 결과 DNS 트래픽이 급증하는 것은 DNS 터널링의 지표가 될 수 있습니다.
이러한 모든 요인은 그 자체로 무해할 수 있습니다. 그러나 조직에서 이러한 이상 현상 중 일부 또는 전부를 경험하는 경우 DNS 터널링 멀웨어가 네트워크 내에 존재하고 활성 상태임을 나타낼 수 있습니다.
DNS 터널링으로부터 보호하는 방법
DNS 터널링으로부터 보호하려면 이러한 데이터 유출 시도를 탐지하고 차단할 수 있는 고급 네트워크 위협 차단 시스템이 필요합니다. 이러한 시스템은 네트워크 트래픽을 검사하고 강력한 위협 인텔리전스에 액세스하여 DNS 트래픽에 포함될 수 있는 악성 도메인 및 악성 콘텐츠로 향하는 트래픽을 식별할 수 있어야 합니다.
체크포인트의 차세대 방화벽 (NGFW)은 업계 최고의 위협 탐지 및 네트워크 보안 기능을 제공합니다. 체크 포인트의 솔루션과 이 솔루션이 조직의 네트워크 보안을 개선할 수 있는 방법에 대해 자세히 알아보려면 당사에 문의하십시오. 체크 포인트 NGFW가 작동하는 모습을 볼 수 있는 데모를 요청할 수도 있습니다.
피드백