DNS 폭주란 무엇인가요? | DNS 폭주 DDoS 공격

DNS 플러드는 대량의 트래픽을 발생시켜 목표 DNS 서버의 정상적인 서비스를 방해하는 DDoS 공격입니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • DNS 폭주 DDoS 공격의 정의
  • DNS 폭주 공격으로 목표가 가동 정지되는 방식 살펴보기
  • DNS 폭주 완화 방식의 이해

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

DNS 폭주란 무엇인가요?

도메인 네임 시스템(DNS) 서버는 인터넷의 "전화번호부" 입니다. 인터넷 콘텐츠에 액세스하기 위해 인터넷 장치가 특정 웹 서버를 검색할 수 있는 경로입니다. DNS 폭주는 분산 서비스 거부 공격 (DDoS)의 한 가지 유형으로 공격자가 도메인에 대한 DNS 확인을 방해하기 위해 특정 도메인의 DNS 서버에 트래픽을 폭주하게 하는 것입니다. 사용자가 전화번호부를 찾을 수 없다면 주소를 검색하여 특정 자원에 대한 호출을 수행할 수 없게 됩니다. DNS 폭주 공격은 DNS 확인을 방해함으로써 웹 사이트, API, 웹 응용 프로그램 등이 합법적 트래픽에 대응하지 못하게 합니다. DNS 폭주 공격은 다수의 고유 위치에서 발생하면서 도메인의 실제 레코드를 요구함으로써 합법적인 트래픽을 모방하는 경우가 많기 때문에 정상적인 대량의 트래픽과 구별하기 어려울 수 있습니다.

DNS 폭주 공격의 작동 방식

DNS 폭주 DDoS 공격 다이어그램

도메인 네임 시스템(DNS)의 기능은 기억하기 쉬운 이름(예: example.com)을 기억하기 어려운 웹 사이트 서버 주소(예: 192.168.0.1)로 번역하는 것이므로 DNS 인프라를 성공적으로 공격하면 대부분의 사람들이 인터넷을 사용할 수 없게 됩니다. DNS 폭주 공격은 비교적 새로운 DNS 기반 공격 유형으로 Mirai 등의 고대역폭 IoT(Internet of Things) 봇넷이 증가함에 따라 함께 증가하고 있습니다. DNS 폭주 공격은 IP 카메라, DVR 박스 등 IoT 장치의 고대역폭 연결을 사용하여 주요 공급자의 DNS 서버를 직접 압도합니다. IoT 장치에서 보내는 요청량이 DNS 공급자의 서비스를 압도함으로써 합법적인 사용자들이 공급자의 DNS 서버에 액세스할 수 없게 되는 것입니다.

DNS 폭주 공격은 DNS 증폭 공격과 다릅니다. DNS 증폭 공격은 DNS 폭주와 달리, 공격의 출발점을 숨기고 효율성을 높이기 위해 안전하지 않은 DNS 서버의 트래픽을 반사하고 이를 증폭시킵니다. DNS 증폭 공격은 대역폭 연결이 작은 장치를 사용하여 보안되지 않은 DNS 서버에 다수의 요청을 보냅니다. 이 장치는 다수의 작은 요청을 작성하여 매우 큰 DNS 레코드 응답을 요구하면서 반환 주소를 피해자의 주소로 지정합니다. 공격자는 이러한 증폭을 통해 제한된 공격 자원만을 사용하여 더 큰 대상을 압도할 수 있는 것입니다.

DNS 폭주 공격의 완화 방식

DNS 폭주 공격은 전통적인 증폭 기반 공격 방법으로부터의 변화를 대표합니다. 이제는 공격자가 쉽게 액세스할 수 있는 고대역폭의 봇넷을 사용하여 대규모 조직을 공격할 수 있습니다. 손상된 IoT 장치를 업데이트하거나 교체하기 전까지는 이러한 유형의 공격으로부터 견디려면 실시간으로 공격 트래픽을 모니터링, 흡수, 차단할 수 있는 고도로 분산화된 대규모의 DNS 시스템을 사용하는 수밖에 없습니다. Cloudflare의 DDoS 방어 서비스로 DNS 폭주 공격을 방어하는 방법에 대해 알아보세요.