DNS 패스트 플럭싱은 도메인과 연결된 IP 주소를 빠르게 스와핑하여 피싱 공격 및 기타 범죄 활동에 사용되는 악의적 도메인을 차단하기 어렵게 만드는 방법입니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
관련 콘텐츠
인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!
글 링크 복사
DNS 패스트 플럭싱은 여러 IP 주소를 단일 도메인 이름과 연결하고 이러한 IP 주소를 빠르게 변경하는 기술입니다.때로는 수백 또는 심지어 수천 개의 IP 주소가 사용됩니다.공격자는 DNS 패스트 플럭싱을 사용하여 웹 자산을 계속 가동하고 실행하며 악의적인 활동의 실제 출처를 숨기고 보안 팀에서 IP 주소를 차단하지 못하도록 합니다.이 기술은 일반적으로 봇넷에서 사용됩니다.
공격자가 피싱 공격을 수행하고, 맬웨어를 호스팅하며, 도난당한 신용 카드 정보를 판매하고, 기타 불법 활동을 수행하려면 웹 사이트가 계속 작동해야 합니다.DNS 패스트 플럭스를 사용하면 악의적인 도메인의 가동 시간이 늘어나고 차단하기가 더 어려워져서 사이버 범죄자가 더 많은 공격을 수행할 수 있습니다.기본적으로 DNS 패스트 플럭싱은 악의적인 도메인을 움직이는 대상으로 바꿉니다.
도주 중인 은행 강도를 생각해보세요. 경찰이 강도가 운전하는 차를 알고 있다면, 그 번호판을 단 차를 경계하고 마을을 떠나기 전에 멈춰세울 수 있습니다. 이제 은행 강도가 트렁크에 번호판을 여러 개 가지고 있고 몇 마일 갈 때마다 번호판을 교체한다고 상상해 보세요. 경찰이 은행 강도의 차를 식별하는 것이 훨씬 더 어려워집니다. DNS 패스트 플럭스도 비슷한 효과가 있습니다. 웹 사이트의 IP 주소가 지속해서 변경됨에 따라 웹 사이트를 식별하고 차단하는 것이 훨씬 더 어려워집니다.
공격자는 해당 도메인 이름과 연결된 DNS 레코드를 빠르게 변경하여 여러 IP 주소를 하나의 도메인 이름과 연결합니다.IP 주소가 등록된 다음 등록 취소되고 몇 분 또는 몇 초마다 새 IP 주소로 바뀝니다.공격자는 라운드 로빈 DNS라는 부하 분산 기술을 활용하고 각 IP 주소에 대해 time to live(TTL)를 설정하여 이 작업을 수행할 수 있습니다.사용되는 IP 주소의 일부 또는 전부가 공격자가 손상시킨 웹 호스트인 경우가 많습니다.이러한 IP 주소를 가진 컴퓨터는 공격자의 원본 서버에 대한 프록시 역할을 합니다.
라운드 로빈 DNS는 각각 고유한 IP 주소가 있는 여러 중복 웹 서버를 도메인과 연결하는 방법입니다. 해당 도메인의 권한 있는 이름 서버에서 쿼리를 수신하면 매번 다른 IP 주소를 전달하므로 결과적으로 어느 웹 서버도 트래픽에 압도되지 않습니다(이론상으로는). 부하 분산은 라운드 로빈 DNS의 합법적이고 의도된 용도이지만, 공격자는 이 기능을 사용하여 악의적인 활동을 난독화할 수 있습니다.
패스트 플럭스를 사용하는 공격자는 이러한 IP 주소에 대해 매우 짧은 TTL을 설정하며 때로는 60초 정도로 짧게 설정합니다. TTL이 만료되면 해당 IP 주소는 더 이상 해당 도메인 이름과 연결되지 않습니다.
이중 패스트 플럭싱은 DNS 플럭싱의 또 다른 계층을 추가하여 도메인을 차단하고 악의적인 활동의 출처를 추적하는 것을 훨씬 더 어렵게 만듭니다.이중 패스트 플럭스를 사용하면 권한 있는 이름 서버의 IP 주소도 빠르게 변경됩니다.(보다 기술적인 방식으로 설명하자면 도메인의 DNS A 레코드와 영역의 DNS NS 레코드가 모두 지속해서 변경된다는 것입니다.)
이것은 위에서 설명한 은행 강도가 계속해서 번호판을 바꿀 뿐만 아니라 계속해서 차를 바꾸는 것과 같습니다.
DNS 패스트 플럭싱을 차단하는 가장 효과적인 방법은 단순히 도메인 이름을 삭제하는 것입니다. 여러 가지 이유로 도메인 이름 등록 기관에서 항상 그렇게 할 의향이 있거나 할 수 있는 것은 아닙니다.
네트워크 관리자는 네트워크 내의 사용자에게 자신이 제어하는 DNS 서버를 사용하고 악의적 도메인에 대한 쿼리를 블랙홀하거나 삭제하도록 요구할 수도 있습니다. 이렇게 하면 악의적 도메인이 확인되지 않고 사용자가 액세스할 수 없습니다. 이 기술을 DNS 필터링이라고 합니다.