DNS 하이잭킹

DNS hijacking

DNS 가로채기, DNS 중독 또는 DNS 리디렉션은 DNS(Domain Name System) 쿼리의 해상도를 무시하는 관행이다.[1] 공격자의 통제 하에 악성 DNS 서버를 가리키도록 시스템의 TCP/IP 구성을 재정의하는 악성 프로그램이나 인터넷 표준을 준수하지 않도록 신뢰할 수 있는 DNS 서버의 동작을 수정하여 이를 달성할 수 있다.

이러한 수정은 피싱과 같은 악의적인 목적, 인터넷 서비스 제공업체(ISP)의 자기 서비스 목적, 중국 대방화벽과 공공/라우터 기반 온라인 DNS 서버 제공자가 사용자의 웹 트래픽을 ISP 자체 웹 서버로 전달하여 광고, 통계 수집 또는 기타 자색을 제공할 수 있도록 할 수 있다.ISP; 그리고 DNS 서비스 제공자가 검열의 한 형태로 선택된 도메인에 대한 접근을 차단한다.

기술 배경

DNS 서버의 기능 중 하나는 도메인 이름응용프로그램이 웹사이트와 같은 인터넷 자원에 연결하는데 필요한 IP 주소로 변환하는 것이다. 이 기능성은 프로토콜을 상당히 상세하게 정의하는 다양한 공식 인터넷 표준에서 정의된다. DNS 서버는 인터넷 접속 컴퓨터 및 사용자에 의해 암묵적으로 신뢰되어 인터넷 도메인의 소유자가 등록한 실제 주소로 이름을 올바르게 확인한다.

로그 DNS 서버

악성 DNS 서버는 바람직한 웹 사이트(검색 엔진, 은행, 브로커 등)의 도메인 이름을 의도하지 않은 콘텐츠가 있는 사이트의 IP 주소, 심지어 악의적인 웹 사이트로 변환한다. 대부분의 사용자는 ISP가 자동으로 할당한 DNS 서버에 의존한다. 라우터의 할당된 DNS 서버도 라우터의 펌웨어 내의 취약성에 대한 원격 공격을 통해 변경될 수 있다.[2] 사용자들이 웹사이트를 방문하려고 할 때, 그들은 대신에 가짜 웹사이트로 보내진다. 이 공격은 파밍이라고 불린다. 그들이 리디렉션되는 사이트가 합법적인 웹 사이트로 위장한 악의적인 웹 사이트인 경우, 민감한 정보를 부정하게 얻기 위해 피싱이라고 한다.[3]

ISP별 조작

소비자 ISPAT& 등의 숫자였을 것이다;T,[4]케이블 비전의 최적 Online,[5]CenturyLink,[6]콕스 커뮤니케이션즈 RCN,[7]Rogers,[8]차터 커뮤니케이션스(스펙트럼), Plusnet,[9]Verizon,[10]Sprint,[11]T-MobileUS,[12]버진 Media,[13][14]프론티어 커뮤니케이션즈, 벨은 Sympatico,[15]도이치 텔레콤 AG,[16]Optus,[17]Mediacom,[18]ONO,[19]. TalkTalk,[20]Bigpond(텔스트라)[21][22][23][24]TTNET, Türksat, Telkom Indone.sia[25] 광고를[26] 표시하거나 통계를 수집하는 것과 같은 그들 자신의 목적을 위해 DNS 하이잭킹을 사용하거나 사용했다. 네덜란드 ISP XS4ALL과 Ziggo는 법원 명령에 의한 DNS 납치 사용: 그들은 해적 만으로의 접근을 막고 대신 경고 페이지를 표시하라는 명령을 받았다.[27] 이러한 관행은 DNS(NXDOMA) 응답에 대한 RFC 표준을 위반하며 잠재적으로 사용자를 사이트스크립팅 공격에 개방할 수 있다.[28][26]

DNS 납치와 관련된 우려는 이러한 NXDOMAN 대응의 납치와 관련이 있다. 인터넷과 인트라넷 애플리케이션은 NXDOMIN 응답을 이용하여 DNS에 지정된 호스트에 대한 항목이 없는 상태를 설명한다. 잘못된 도메인 이름(예: www.example.invalid)을 쿼리하려면 NXDOMA 응답을 받아야 한다(예: 이름이 유효하지 않음을 응용 프로그램에 알리고 적절한 작업을 수행하십시오(예: 오류 표시 또는 서버 연결 시도 시도 안 함). 그러나 이러한 비호환 ISP 중 하나에서 도메인 이름을 쿼리할 경우 ISP에 속하는 가짜 IP 주소를 항상 수신하게 된다. 웹 브라우저에서, 이 IP 주소에 대한 연결이 적절한 오류 메시지 대신 때때로 광고와 함께 제공자의 ISP 리디렉션 페이지를 표시하기 때문에 이 행동은 성가시거나 불쾌할 수 있다. 그러나 NXDOME 오류에 의존하는 다른 애플리케이션은 대신 이 스푸핑된 IP 주소에 대한 연결을 시작하려고 시도하여 중요한 정보를 잠재적으로 노출시킬 것이다.

ISP가 DNS를 가로챌 때 끊어지는 기능의 예:

  • Windows Server 도메인의 구성원인 로밍 노트북은 도메인 컨트롤러, 이메일 서버 및 기타 인프라와 같은 리소스를 사용할 수 있는 것으로 보이기 때문에 그들이 다시 회사 네트워크에 있다고 거짓으로 믿게 될 것이다. 그러므로 애플리케이션은 이러한 회사 서버에 대한 연결을 시작하려고 시도하지만 실패하여 성능이 저하되고 인터넷 연결에 불필요한 트래픽이 발생하며 시간 초과가 발생한다.
  • 많은 소규모 사무실과 홈 네트워크는 자체 DNS 서버를 가지고 있지 않고 대신 방송 이름 확인에 의존한다. 많은 버전의 Microsoft Windows가 NetB보다 높은 DNS 이름 확인 우선 순위를 지정하도록 기본 설정됨IOS 이름 분해능이 브로드캐스트되므로 ISP DNS 서버가 LAN에서 원하는 컴퓨터 이름에 대해 (기술적으로 유효한) IP 주소를 반환할 때, 연결 컴퓨터는 이 잘못된 IP 주소를 사용하므로 불가피하게 LAN에서 원하는 컴퓨터에 연결하지 못한다. 해결 방법으로는 컴퓨터 이름 대신 올바른 IP 주소를 사용하거나 DHCPNodeType 레지스트리 값을 변경하여 이름 확인 서비스 순서를 변경하는 방법이 있다.[29]
  • Firefox와 같은 브라우저에는 더 이상 '이름별 찾아보기' 기능이 없다(주소 표시줄에 입력된 키워드가 사용자를 가장 가까운 일치 사이트로 이동).[30]
  • 최신 운영 체제에 내장된 로컬 DNS 클라이언트는 성능상의 이유로 DNS 검색 결과를 캐시할 것이다. 클라이언트가 홈 네트워크와 VPN을 전환하면 잘못된 항목이 캐시된 상태로 남아 VPN 연결에 서비스 중단이 발생할 수 있다.
  • DNSBL 안티스팸 솔루션은 DNS에 의존하므로 잘못된 DNS 결과가 작동을 방해한다.
  • ISP에 의해 속아 그들이 접속하고자 하는 서버가 이용 가능하다고 믿게 된 어플리케이션에 의해 기밀 사용자 데이터가 유출될 수 있다.
  • ISP가 사용자에게 표시되는 검색 결과를 결정함에 따라 브라우저에서 URL이 잘못 입력될 경우 참조할 검색 엔진에 대한 사용자 선택은 제거된다.
  • NXDOMIN 응답을 Inte에서 수신할 때 개인 DNS 서버의 VPN 터널을 통해 올바르게 확인하는 대신 공용 인터넷을 통해 터널 밖에서 확인되지 않아야 하는 인트라넷 이름이 가상 주소로 확인되기 때문에 VPN 연결과 함께 분할 터널을 사용하도록 구성된 컴퓨터는 작동을 중지한다.예를 들어, 내부 메일 서버에 대한 DNS A 레코드를 해결하려는 메일 클라이언트는 유료 결과 웹 서버로 전송된 잘못된 DNS 응답을 수신할 수 있으며, 재전송이 헛되이 시도된 동안 수일 동안 메시지가 배달 대기열에 있을 수 있다.[31]
  • ISP에 프록시 서버가 구성되어 있다고 잘못 믿도록 유도하는 웹 브라우저에 의해 웹 프록시 자동 검색 프로토콜(WPAD)을 위반한다.
  • 그것은 감시 소프트웨어를 망가뜨린다. 예를 들어, 주기적으로 서버에 접속하여 상태를 결정하는 경우, 모니터가 서버의 암호화 키를 확인하려고 시도하지 않는 한 모니터에는 오류가 나타나지 않는다.

대부분의 경우는 아니지만 일부의 경우 ISP는 NXDOMA 응답의 가로채기를 비활성화하기 위해 가입자 구성이 가능한 설정을 제공한다. 올바르게 구현됨, 이러한 설정은 DNS를 표준 동작으로 되돌린다. 그러나 다른 ISP는 대신 웹 브라우저 쿠키를 사용하여 환경설정을 저장한다. 이 경우 기본 동작이 해결되지 않음: ISP 리디렉션 페이지가 위조 DNS 오류 페이지로 대체되는 동안 DNS 쿼리는 계속 리디렉션된다. 웹 브라우저 이외의 애플리케이션은 HTTP 프로토콜만 옵트 아웃 대상으로 쿠키를 사용하여 제도에서 제외될 수 없으며, 그 제도가 프로토콜 중립 DNS 시스템에서 실제로 구현될 때 그러한 제도에서 제외될 수 없다.

반응

영국 정보청(Information Commission's Office)은 비자발적인 DNS 납치 관행이 PECR과 통신 트래픽 처리에 대한 명시적인 동의를 요구하는 데이터 보호에 관한 EC Directive 95/46을 위반한다는 것을 인정했다. 그러나 그들은 법을 시행하는 것이 개인에게 중대한(또는 실제로 어떤) 손해를 입히지는 않을 것이기 때문에 이 법을 시행하는 것이 합리적이지 않을 것이라고 주장하며 개입을 거부했다.[13][14] 독일에서는 2019년 도이치 텔레콤 AG가 DNS 서버를 조작했을 뿐 아니라, 사용자가 DNS 조작으로 인해 리디렉션되는 웹 포털 T-Online이 (더 이상) 소유가 되지 않아 네트워크 트래픽(사용자가 HTTPS를 사용하지 않을 때 비보안 쿠키 등)을 제3자 회사에 전송한 사실이 밝혀졌다. 도이체 텔레콤. 사용자가 형사고발 후 도이치 텔레콤은 추가 DNS 조작을 중단했다.[32]

인터넷 주소 관리 기구는 최상위 도메인 이름 관리를 담당하는 국제 기구인 인터넷 주소 관리 기구는 그 우려를 강조하고 다음과 같이 확언하는 각서를 발간했다.[31]

ICANN은 기존 gTLD, ccTLD 및 DNS 트리의 다른 레벨에서 레지스트리 클래스 도메인 이름에 DNS 리디렉션, 와일드카드, 합성 응답 및 기타 형태의 NXDOMA 대체 사용을 강력히 금지한다.

치료하다

쿠키와 같은 부실한 "옵션 아웃" 옵션에 불만을 품은 최종 사용자들은 스푸핑된 NXDOMA 응답을 피하는 방법을 찾아 논란에 대응해왔다. BINDDNSmasq와 같은 DNS 소프트웨어는 결과를 필터링하는 옵션을 제공하며, 게이트웨이 또는 라우터에서 실행되어 전체 네트워크를 보호할 수 있다. 그 중에서도 구글은 현재 스푸핑된 결과를 반환하지 않는 개방형 DNS 서버를 실행한다. 따라서 사용자가 구글의 개인 정보 보호 정책에 따라 서비스를 사용하고 잠재적으로 구글이 사용자를 추적할 수 있는 다른 방법에 노출될 수 있다면 ISP의 DNS 서버 대신 구글 퍼블릭 DNS를 사용할 수 있다. 이 접근법의 한 가지 제한사항은 일부 제공자들이 DNS 요청을 차단하거나 다시 쓰는 것이다. Cisco가 소유한 OpenDNS는 NXDOME 응답을 변경하지 않는 유사한 인기 있는 서비스다.

구글은 2016년 4월 DNS-over-HTTPS 서비스를 시작했다.[33] 이 계획은 레거시 DNS 프로토콜의 한계를 극복할 수 있다. 원격 DNSSEC 검사를 수행하고 결과를 보안 HTTPS 터널로 전송한다.

또한 NoRedirect[34] Firefox 확장 같은 애플리케이션 수준의 해결책도 있어 일부 동작을 완화한다. 이와 같은 접근법은 하나의 애플리케이션(이 예에서는 Firefox)만 수정하고 다른 발생 문제를 해결하지 않는다. 웹사이트 소유자들은 특정 DNS 설정을 사용하여 일부 납치범들을 속일 수 있다. 예를 들어, 와일드카드 주소(예: *.example.com)에서 TXT 레코드를 "contract"로 설정하는 경우. 또는 와일드카드의 CNAME을 "예.invalid"로 설정하여 '.invalid'가 RFC에 의해 존재하지 않도록 보장된다는 사실을 활용할 수 있다. 그러한 접근법의 한계는 특정 도메인에서의 납치를 방지할 뿐 아니라 DNS 납치로 인한 일부 VPN 보안 문제를 해결할 수 있다는 것이다.

참고 항목

참조

  1. ^ "What is a DNS Hijacking Redirection Attacks Explained Imperva". Learning Center. Retrieved 13 December 2020.
  2. ^ "DNS hijacking flaw affects D-Link DSL router, possibly other devices".
  3. ^ "Rogue Domain Name System Servers". Trend Micro. Retrieved 15 December 2007.
  4. ^ "ATT DNS Assist Page". Retrieved 24 February 2018.
  5. ^ "Optimum Online DNS Assistance". Archived from the original on 13 August 2009.
  6. ^ "Re: [Qwest] Opting out of CenturyLink Web Helper hijacking not w - CenturyLink DSLReports Forums". DSL Reports. Retrieved 12 October 2016.
  7. ^ "Who Stole My Web Browser?".
  8. ^ "Rogers Uses Deep Packet Inspection for DNS Redirection". dslreports.com. 20 June 2008. Retrieved 15 June 2010.
  9. ^ "UK ISP's providing cdn for google". equk.co.uk. Retrieved 25 October 2015.
  10. ^ "Opting out of DNS Assistance". Archived from the original on 12 February 2015. Retrieved 12 February 2015.
  11. ^ "Are Sprint 3G and 4G towers hijacking NXDOMAIN responses? More information in comments... • r/Sprint". reddit. Retrieved 24 February 2018.
  12. ^ "How do I turn of NXDOMAIN hijacking? • r/tmobile". reddit. Retrieved 24 February 2018.
  13. ^ a b "ICO: We won't stop Advanced Network Error Search".[영구적 데드링크]
  14. ^ a b "Case Reference Number ENQ0265706" (PDF). I am not convinced that there is any likelihood of detriment or harm to subscribers or users that would justify taking formal action in this case.[영구적 데드링크]
  15. ^ "Bell Starts Hijacking NS Domain Queries".
  16. ^ Reiko Kaps (17 April 2009). "Telekom leitet DNS-Fehlermeldungen um" (in German). Retrieved 9 December 2019.
  17. ^ "Optus' "About the Search Results Page"". Archived from the original on 13 July 2012. Retrieved 10 December 2009.
  18. ^ "Want a real world example of why we need network neutrality? I have one here".
  19. ^ "XSS Reflected dnssearch.Ono.es NXD redirect". 10 May 2010. Archived from the original on 12 June 2018. Retrieved 24 February 2018.
  20. ^ "TalkTalk - Search". error.talktalk.co.uk. Retrieved 24 February 2018.
  21. ^ "BigPond redirects typos to 'unethical' branded search page". CRN Australia. Retrieved 24 February 2018.
  22. ^ "Charter Corrupting DNS protocol ie hijacking hosts".
  23. ^ "road runner dns hijack causing slow web-pages". Archived from the original on 10 December 2010.
  24. ^ "Rogers violates net neutrality by hijacking failed DNS lookups". Archived from the original on 27 July 2008.
  25. ^ Tanjung, Tidar. "Bagaimana internet positif Telkom bekerja?". Retrieved 11 June 2018.
  26. ^ a b Singel, Ryan (19 April 2008). "ISPs Error Page Ads Let Hackers Hijack Entire Web, Researcher Discloses". Wired.
  27. ^ Digined. "XS4ALL blokkeert adressen Pirate Bay voorlopig XS4ALL Weblog". blog.xs4all.nl (in Dutch). Retrieved 5 October 2017.
  28. ^ "Negative Caching of DNS Queries".
  29. ^ "NetBIOS and WINS". howtonetworking.com. Retrieved 24 February 2018.
  30. ^ "Using Firefox + NoRedirect Extension to Avoid DNS Hijacking". Archived from the original on 3 March 2011.
  31. ^ a b "Harms Caused by NXDOMAIN Substitution in Toplevel and Other Registry-class Domain Names" (PDF). ICANN. 24 November 2009. Retrieved 23 September 2010.
  32. ^ "Telekom beendet DNS-Hijacking".
  33. ^ "DNS-over-HTTPS - Public DNS". Google Developers. 4 September 2018. Retrieved 12 March 2019.
  34. ^ "NoRedirect – Add-ons for Firefox". addons.mozilla.org. Retrieved 24 February 2018.