KR101997181B1 - Dns관리장치 및 그 동작 방법 - Google Patents

Dns관리장치 및 그 동작 방법 Download PDF

Info

Publication number
KR101997181B1
KR101997181B1 KR1020170051675A KR20170051675A KR101997181B1 KR 101997181 B1 KR101997181 B1 KR 101997181B1 KR 1020170051675 A KR1020170051675 A KR 1020170051675A KR 20170051675 A KR20170051675 A KR 20170051675A KR 101997181 B1 KR101997181 B1 KR 101997181B1
Authority
KR
South Korea
Prior art keywords
dns
packet
address
traffic
server
Prior art date
Application number
KR1020170051675A
Other languages
English (en)
Other versions
KR20180118399A (ko
Inventor
남상철
김정환
이경근
Original Assignee
에스케이브로드밴드주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이브로드밴드주식회사 filed Critical 에스케이브로드밴드주식회사
Priority to KR1020170051675A priority Critical patent/KR101997181B1/ko
Publication of KR20180118399A publication Critical patent/KR20180118399A/ko
Application granted granted Critical
Publication of KR101997181B1 publication Critical patent/KR101997181B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1036Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers

Abstract

본 발명은, 특정도메인으로의 접속과 관련되는 DNS IP가 변조되는 경우에도 피싱사이트가 아닌 특정도메인에 해당하는 정상사이트로 접속되도록 하는, 새로운 DNS 관리 방안을 개시하고 있다.

Description

DNS관리장치 및 그 동작 방법{APPARATUS FOR MANAGING DOMAIN NAME SERVIDE AND METHOD THEREOF}
본 발명은 DNS(Domain Name Service) 변조에 따른 피싱(Fake) 사이트 접속을 차단하는 기술에 관한 것으로, 더욱 상세하게는, 특정도메인으로의 접속과 관련되는 DNS IP가 변조되는 경우에도 피싱사이트가 아닌 특정도메인에 해당하는 정상사이트로 접속되도록 하는, 새로운 DNS 관리 방안에 관한 것이다.
최근 유무선공유기, PC, 스마트폰 등과 같은 단말의 보안 취약점을 이용해 특정도메인(예: www.abcd.or.kr)으로의 접속과 관련되는 DNS IP를 변조하여 피싱(Fake) 사이트로의 접속을 유도하는 파밍 기법의 피해 사례가 급격히 증가하고 있다.
이러한 파밍 기법의 일례로, 해커가 피싱사이트로의 접속을 유도하기 위해 특정도메인(예: www.abcd.or.kr)의 DNS IP를 변조하게 되면, 사용자는 평상시와 같이 단말의 브라우저 주소창에 특정도메인(예: www.abcd.or.kr)으로의 접속을 위해 도메인 주소를 입력하게 된다. 그러면, 단말의 브라우저는 특정도메인에 해당하는 IP주소를 찾기 위해 변조된 DNS IP에 해당하는 피싱DNS서버로 IP주소를 요청하는 질의를 하게 된다. 그러면, 피싱DNS서버는, 특정도메인(예: www.abcd.or.kr)에 해당하는 정상사이트의 IP주소가 아닌 해커가 만든 피싱사이트의 IP주소를 단말로 반환하게 된다.
이처럼 해커의 의도에 따라 만들어진 정상사이트와 유사한 피싱사이트(예: 금융, 증권, 포털, 공공 등)로 단말이 접속되면, 악성코드 감염, 로그인 계정 유출, 금융 정보 노출 등과 같은 심각한 사용자 피해로 이어지게 된다.
이에, 본 발명에서는, 해커에 의해 DNS IP가 변조되더라도 피싱사이트가 아닌 특정도메인에 해당하는 정상사이트로 무조건적인 접속이 이루어지도록 하는 방안을 제안하고자 한다.
본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 목적은, 상세하게는 특정도메인으로의 접속과 관련되는 DNS IP가 변조되는 경우에도 피싱사이트가 아닌 특정도메인에 해당하는 정상사이트로 접속되도록 함으로써, 해커에 의한 DNS IP의 변경과 무관하게 안정적인 DNS 서비스를 제공할 수 있으며, 파밍 기법에 의한 피해발생이 미연에 차단되도록 하는 기술에 관한 것이다.
또한, 본 발명의 해결하려는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 DNS관리장치는, 특정도메인으로의 접속과 관련되는 DNS IP패킷에 대한 변조여부의 확인이 필요한 것으로 판단되어 상기 DNS IP패킷과 관련되는 IP트래픽이 수신되는 경우, 상기 IP트래픽 중 차단대상패킷이 존재하는 지의 여부를 확인하는 차단관리부; 및 상기 IP트래픽 중 차단대상패킷이 존재하지 않으면, 상기 IP트래픽으로부터 상기 DNS IP패킷을 검출한 후 권한네임서버(DNS Authoritative Server)와 관련되는지의 여부를 판단한 결과를 기반으로 상기 DNS IP패킷에 해당하는 특정DNS서버 대신 상기 특정도메인의 IP주소가 제공되도록 제어하는 DNS실행관리부를 포함하는 것을 특징으로 한다.
상기 차단관리부는, 상기 IP트래픽 내 적어도 하나의 패킷이 기 저장된 블랙리스트정보에 포함되면 해당 패킷을 상기 차단대상패킷으로 판단하며, 상기 IP트래픽 내 적어도 하나의 패킷이 기 저장된 IP블랙리스트에 포함되지 않으면 상기 차단대상패킷이 존재하지 않는 것으로 판단하는 것을 특징으로 한다.
상기 DNS실행관리부는, 상기 IP트래픽의 프로토콜 및 목적지를 확인한 결과를 기반으로 상기 DNS IP패킷을 검출하는 패킷관리부를 포함하는 것을 특징으로 한다.
상기 패킷관리부는, 상기 IP트래픽 내 적어도 하나의 패킷 중 DNS 프로토콜을 이용하며 상기 목적지가 DNS와 관련된 기 설정된 특정포트를 갖는 패킷을 상기 DNS IP패킷으로 판단하여 검출하며, 상기 IP트래픽 내 적어도 하나의 패킷 중 상기 DNS IP패킷을 제외한 나머지를 서비스 IP패킷으로 판단하는 것을 특징으로 한다.
상기 DNS실행관리부는, 상기 DNS IP패킷에 해당하는 DNS IP주소와 상기 권한네임서버로 질의하는 리졸버의 리졸버 IP주소가 일치하는지의 여부를 확인한 결과를 기반으로 상기 특정DNS서버 대신 상기 특정도메인의 도메인 주소를 IP주소로 변환하는 DNS 레졸루션(resolution)을 수행할 것을 요청하는 DNS리커시브제어부를 포함하는 것을 특징으로 한다.
상기 DNS리커시브제어부는, 상기 DNS IP주소와 상기 리졸버 IP주소가 일치하면, 상기 특정DNS서버가 상기 권한네임서버인 것으로 판단하여 상기 DNS IP패킷을 RGE 라우터로 전송하며, 상기 DNS IP주소와 상기 리졸버 IP주소가 일치하지 않으면, 상기 특정DNS서버가 상기 권한네임서버와 무관한 일반DNS서버인 것으로 판단하여 상기 DNS 레졸루션(resolution)을 수행할 것을 상기 리졸버로 요청하는 것을 특징으로 한다.
상기 DNS리커시브제어부는, 상기 특정도메인에 대한 상기 DNS 레졸루션(resolution)이 기 수행되어 상기 특정도메인의 IP주소가 기 저장되어 있는 경우, 상기 저장된 특정도메인의 IP주소를 이용하여 응답패킷을 생성하며, 상기 특정도메인의 IP주소가 기 저장되어 있지 않은 경우, 상기 리졸버로부터 반환된 상기 특정도메인의 IP주소를 이용하여 응답패킷을 생성하는 것을 특징으로 한다.
상기 DNS IP패킷에 대한 쿼리를 분석한 쿼리분석정보와 기 저장된 화이트리스트정보를 비교한 결과를 기반으로 상기 DNS IP패킷의 변조여부에 대한 확인 필요성을 판단하는 우회결정부를 더 포함하는 것을 특징으로 한다.
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 DNS관리장치의 동작방법은, 특정도메인으로의 접속과 관련되는 DNS IP패킷에 대한 변조여부의 확인이 필요한 것으로 판단되어 상기 DNS IP패킷과 관련되는 IP트래픽이 수신되는 경우, 상기 IP트래픽 중 차단대상패킷이 존재하는 지의 여부를 확인하는 차단관리단계; 및 상기 IP트래픽 중 차단대상패킷이 존재하지 않으면, 상기 IP트래픽으로부터 상기 DNS IP패킷을 검출한 후 권한네임서버(DNS Authoritative Server)와 관련되는지의 여부를 판단한 결과를 기반으로 상기 DNS IP패킷에 해당하는 특정DNS서버 대신 상기 특정도메인의 IP주소가 제공되도록 제어하는 DNS실행관리단계를 포함하는 것을 특징으로 한다.
상기 차단관리단계는, 상기 IP트래픽 내 적어도 하나의 패킷이 기 저장된 블랙리스트정보에 포함되면 해당 패킷을 상기 차단대상패킷으로 판단하는 단계, 및 상기 IP트래픽 내 적어도 하나의 패킷이 기 저장된 IP블랙리스트에 포함되지 않으면 상기 차단대상패킷이 존재하지 않는 것으로 판단하는 단계를 포함하는 것을 특징으로 한다.
상기 DNS실행관리단계는, 상기 IP트래픽의 프로토콜 및 목적지를 확인한 결과를 기반으로 상기 DNS IP패킷을 검출하는 패킷관리단계; 및 상기 DNS IP패킷에 해당하는 DNS IP주소와 상기 권한네임서버로 질의하는 리졸버의 리졸버 IP주소가 일치하는지의 여부를 확인한 결과를 기반으로 상기 특정DNS서버 대신 상기 특정도메인의 도메인 주소를 IP주소로 변환하는 DNS 레졸루션(resolution)을 수행할 것을 요청하는 DNS리커시브제어단계를 포함하는 것을 특징으로 한다.
상기 패킷관리단계는, 상기 IP트래픽 내 적어도 하나의 패킷 중 DNS 프로토콜을 이용하며 상기 목적지가 DNS와 관련된 기 설정된 특정포트를 갖는 패킷을 상기 DNS IP패킷으로 판단하여 검출하는 단계; 및 상기 IP트래픽 내 적어도 하나의 패킷 중 상기 DNS IP패킷을 제외한 나머지를 서비스 IP패킷으로 판단하는 단계를 포함하는 것을 특징으로 한다.
상기 DNS리커시브제어단계는, 상기 DNS IP주소와 상기 리졸버 IP주소가 일치하면, 상기 특정DNS서버가 상기 권한네임서버인 것으로 판단하여 상기 DNS IP패킷을 RGE 라우터로 전송하는 단계, 상기 DNS IP주소와 상기 리졸버 IP주소가 일치하지 않으면, 상기 특정DNS서버가 상기 권한네임서버와 무관한 일반DNS서버인 것으로 판단하여 상기 DNS 레졸루션(resolution)을 수행할 것을 상기 리졸버로 요청하는 단계를 포함하는 것을 특징으로 한다.
상기 DNS리커시브제어단계는, 상기 특정도메인에 대한 상기 DNS 레졸루션(resolution)이 기 수행되어 상기 특정도메인의 IP주소가 기 저장되어 있는 경우, 상기 저장된 특정도메인의 IP주소를 이용하여 응답패킷을 생성하는 단계; 및 상기 특정도메인의 IP주소가 기 저장되어 있지 않은 경우, 상기 리졸버로부터 반환된 상기 특정도메인의 IP주소를 이용하여 응답패킷을 생성하는 단계를 더 포함하는 것을 특징으로 한다.
상기 DNS IP패킷에 대한 쿼리를 분석한 쿼리분석정보와 기 저장된 화이트리스트정보를 비교한 결과를 기반으로 상기 DNS IP패킷의 변조여부에 대한 확인 필요성을 판단하는 우회결정단계를 더 포함하는 것을 특징으로 한다.
이에, 본 발명에 따른 DNS관리장치 및 그 동작 방법에 의하면, 특정도메인으로의 접속과 관련되는 DNS IP가 변조되는 경우에도 피싱사이트가 아닌 특정도메인에 해당하는 정상사이트로 접속되도록 함으로써, 해커에 의한 DNS IP의 변경과 무관하게 안정적인 DNS 서비스를 제공할 수 있으며, 파밍 기법에 의한 피해발생을 미연에 차단할 수 있어 사용자의 서비스 만족도를 향상시키는 효과를 도출한다.
도 1은 기존 DNS 네트워크 구조의 일례를 나타내는 도면이다.
도 2는 본 발명의 실시예에 따른 DNS관리장치가 적용되는 DNS(Domain Name Service) 네트워크 구조의 일례를 나타내는 도면이다.
도 3은 도 2에 도시된 DNS관리장치의 구성을 구체화한 도면이다.
도 4는 도 2에 도시된 DNS관리장치 내 DNS실행관리부의 구성을 나타내는 블록도이다.
도 5는 본 발명의 실시예에 따른 DNS 네트워크 구조 내 구성들이 연동하여 동작하는 방법 흐름도이다.
본 명세서에서 사용되는 기술적 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아님을 유의해야 한다. 또한, 본 명세서에서 사용되는 기술적 용어는 본 명세서에서 특별히 다른 의미로 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 의미로 해석되어야 하며, 과도하게 포괄적인 의미로 해석되거나, 과도하게 축소된 의미로 해석되지 않아야 한다. 또한, 본 명세서에서 사용되는 기술적인 용어가 본 발명의 사상을 정확하게 표현하지 못하는 잘못된 기술적 용어일 때에는, 당업자가 올바르게 이해할 수 있는 기술적 용어로 대체되어 이해되어야 할 것이다. 또한, 본 발명에서 사용되는 일반적인 용어는 사전에 정의되어 있는 바에 따라, 또는 전후 문맥상에 따라 해석되어야 하며, 과도하게 축소된 의미로 해석되지 않아야 한다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 또한, 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 이하, 첨부된 도면을 참조하여 본 명세서의 실시예에 대하여 설명한다.
이하에서는, 본 발명의 실시예에 따른 DNS관리장치가 적용되는 DNS(Domain Name Service) 네트워크 구조를 설명하기에 앞서, 도 1을 참고하여 기존 DNS 네트워크 구조를 간단히 설명하도록 하겠다.
도 1에서는 기존 DNS 네트워크 구조에서 해커가 피싱사이트로의 접속을 유도하기 위해 특정도메인(예: www.abcd.or.kr)으로의 접속과 관련되는 DNS IP를 변조한 것으로 가정(①)하여 설명하도록 하겠다.
사용자가 특정도메인에 접속하기 위해 단말(10)의 브라우저 주소창에 접속하려는 특정도메인의 도메인 주소를 입력하면, 단말(10)의 브라우저는 특정도메인에 해당하는 IP주소를 찾기 위해 변조된 DNS IP에 해당하는 피싱DNS서버(20)로 특정도메인의 IP주소를 요청하는 질의를 한다.
그러면, 피싱DNS서버(20)는, 특정도메인에 해당하는 정상사이트의 IP주소가 아닌 해커가 만든 피싱사이트(예: 금융, 증권, 포털, 공공 등)의 IP주소를 포함하는 DNS 응답패킷을 단말(10)로 전송한다(②).
이에, 단말(10)의 브라우저는, 해커의 의도에 따라 만들어진 정상사이트와 유사한 피싱사이트의 IP주소에 해당하는 피싱사이트서버(30')로 접속하게 된다. 즉, 특정도메인의 정상사이트의 IP주소에 해당하는 정상사이트서버(30)가 아닌 피싱사이트의 IP주소에 해당하는 피싱사이트서버(30')로 단말(10)이 접속(③)하게 된다.
결국, 사용자는 단말(10)이 피싱사이트서버(30')로 접속하게 되는 순간 악성코드 감염, 로그인 계정 유출, 금융 정보 노출 등과 같은 심각한 사용자 피해를 입게 된다.
이에, 본 발명에서는, 해커에 의해 특정도메인으로의 접속과 관련되는 DNS IP가 변조되는 경우에도 피싱사이트가 아닌 특정도메인에 해당하는 정상사이트로 접속되도록 하는, 새로운 DNS 관리 방안을 제안하고자 한다.
먼저, 이하에서는 도 2를 참조하여 본 발명의 실시예에 따른 DNS관리장치가 적용되는 DNS(Domain Name Service) 네트워크 구조를 구체적으로 설명하겠다.
도 2에 도시된 바와 같이, 본 발명의 실시예에 따른 DNS 네트워크 구조는, 사용자의 단말(100)과, 단말(100)로부터 특정도메인으로의 접속과 관련되는 IP트래픽이 백본 라우터(200)로 업스트림될 때, IP트래픽 내 DNS IP패킷이 해커에 의해 변조된 경우에도 특정도메인에 해당하는 정상사이트로 접속되도록 IP트래픽의 우회 처리여부를 결정한 후 DNS 응답패킷을 생성하는 DNS관리장치(300)와, DNS관리장치(300)를 통해 우회 처리된 IP트래픽 또는 백본 라우터(200)로부터 전달되는 IP트래픽을 해당 경로로 전송하는 인터넷 라우터(400)로 구성된다.
이처럼 본 발명의 DNS 네트워크 구조에서는, 앞서 언급한 도 1의 기존 DNS 네트워크 구조와 달리, DNS관리장치(300)가 구비됨에 따라, IP트래픽 내 DNS IP패킷이 해커에 의해 변조된 경우에도 피싱사이트가 아닌 특정도메인에 해당하는 정상사이트로 접속될 수 있도록, 싱크홀/GRE 라우팅 기법을 기반으로 백본 구간에서의 IP트래픽을 모니터링한 결과에 따라 IP트래픽의 우회 처리가 결정되면, DNS IP패킷에 해당하는 특정DNS서버 대신 특정도메인의 IP주소를 포함하는 DNS 응답패킷을 생성한다.
이하에서는 이러한 DNS관리장치(300)의 구성에 대하여 보다 구체적으로 살펴보도록 하겠다.
DNS관리장치(300)는, 우회결정부(310) 및 DNS변조관리부(320)를 포함한다.
우회결정부(310)는, 백본 구간에서의 IP트래픽을 모니터링한 결과를 기반으로 IP트래픽의 우회 처리여부를 결정한다.
보다 구체적으로, 우회결정부(310)는, 단말(100)로부터 IP트래픽이 백본 라우터(200)로 업스트림되면, IP트래픽 내 DNS IP패킷이 해커에 의해 변조되었는지의 여부를 모니터링한다.
즉, 우회결정부(310)는, IP트래픽 내 적어도 하나의 패킷 중 DNS 프로토콜(예: TCP/UDP)을 이용하며 목적지가 DNS와 관련된 기 설정된 특정포트(예: 53)를 갖는 패킷을 특정도메인으로의 접속과 관련되는 DNS IP패킷으로 검출한다.
이처럼 DNS 트래픽 미러링을 통해 DNS IP패킷이 검출되면, 우회결정부(310)는, 표준 프로토콜 RFC 규약을 참고하여 특정도메인으로의 접속과 관련되는 DNS IP패킷의 규격적합성을 판단한다.
즉, 우회결정부(310)는, DNS IP패킷의 규격적합성이 만족되지 않으면, DNS IP패킷이 비규격 패킷인 것으로 판단하여 패킷드랍을 수행한다. 한편, 우회결정부(310)는, DNS IP패킷의 규격적합성이 만족되면, DNS IP패킷의 쿼리분석을 수행한다.
전술에 따라 DNS IP패킷의 규격적합성이 만족되어 DNS IP패킷의 쿼리(Query)분석을 수행하게 되면, DNS 타입(Type) 및 쿼리 도메인(Query Domain) 등과 같은 쿼리분석정보를 검출할 수 있게 된다.
이에, 우회결정부(310)는, DNS IP패킷의 쿼리를 분석한 쿼리분석정보와 기 저장된 화이트리스트정보를 비교한 결과를 기반으로 DNS IP패킷의 변조여부에 대한 확인 필요성을 판단할 수 있게 된다.
여기서, 화이트리스트정보는, 운영자 및 시스템에 의해 수동/자동으로 추가될 수 있으며, DNS관리장치(300)로 우회되지 말아야 하거나, 또는 우회가 불가능한 우회제외 IP목록을 포함한다.
이때, 우회제외 IP목록에는, 루트(Root)도메인, DNS 캐시(Cache) 및 네임서버(Name Server) 등의 IP주소가 포함되며, 정상 DNS서버의 우회 방지를 위해 상시 관리 및 갱신되는 것이 바람직할 것이다.
즉, 우회결정부(310)는, DNS IP패킷의 쿼리분석정보가 기 저장된 화이트리스트정보와 일치하면, DNS IP패킷이 우회제외 IP목록에 포함되어야 하는 것으로 판단하여 DNS IP패킷을 추가하여 화이트리스트정보를 갱신한다.
한편, DNS IP패킷의 쿼리분석정보가 기 저장된 화이트리스트정보와 일치하지 않으면, DNS IP패킷에 대한 변조여부의 확인이 필요한 것으로 판단하여 DNS IP패킷과 관련되는 IP트래픽의 우회처리가 필요한 것으로 결정한다. 이후, 우회결정부(310)는, IP트래픽이 백본 구간에서의 라우팅을 통해 DNS변조관리부(320)로 우회되도록 제어한다.
한편, 우회결정부(310)는, 백본 라우터(200)로부터 우회되는 IP트래픽, 즉 우회대상 IP목록을 관리한다.
즉, DNS IP패킷에 대한 변조여부의 확인이 필요한 것으로 판단되어 DNS IP패킷이 우회대상 IP목록에 추가되면, 우회결정부(310)는, DNS 요청을 위해 소정의 시간(예: 24시간) 이내에 DNS IP패킷에 대한 접속 기록이 존재하는지의 여부를 확인한다.
이처럼 DNS IP패킷에 대한 접속 기록을 확인한 결과, 소정의 시간(예: 24시간) 이내에 접속 기록이 존재하게 되면, 우회결정부(310)는, 전술에서 언급한 과정에 따라 DNS변조관리부(320)로의 우회가 유지되도록 제어하거나, 정상 DNS 여부를 검사한 결과를 기반으로 화이트리스트정보에 DNS IP패킷을 추가한 후 우회를 해제할 수도 있다. 한편, 소정의 시간(예: 24시간) 이내에 접속 기록이 존재하지 않으면, DNS IP패킷에 대한 우회를 해제한다.
DNS변조관리부(320)는, 백본 라우터(200)로부터 우회되는 IP트래픽의 쿼리를 대신 수행하여 DNS 응답패킷을 생성한 후 단말(100)로 전달한다.
이러한 DNS변조관리부(320)는, 도 3에 도시된 바와 같이, 싱크홀 라우터(321), 차단관리부(322), DNS실행관리부(323), DNS리졸버(324), GRE라우터(325) 및 팜스위치(Farm Switch)를 포함한다.
싱크홀 라우터(321)는, 우회결정부(310)로부터 특정도메인으로의 접속과 관련되는 DNS IP패킷에 대한 변조여부의 확인이 필요한 것으로 판단된 경우, 백본 라우터(200)로부터 DNS IP패킷과 관련되는 IP트래픽을 수신한다.
이때, 백본 라우터(200)와 싱크홀 라우터(321) 사이는 직연동 구간을 형성하며, BGP(Border Gateway Protocol) 연동된다. 이에, 싱크홀 라우터(321)의 BGP 알림(Announce) 범위는 백본 라우터(200)로 제한된다.
차단관리부(322)는, IP트래픽이 정상 트래픽인지의 여부를 확인한다.
보다 구체적으로, 차단관리부(322)는, 싱크홀 라우터(321)로 DNS IP패킷과 관련되는 IP트래픽이 수신되는 경우, IP트래픽 중 차단대상패킷이 존재하는 지의 여부를 확인한다.
여기서, 차단대상패킷은, 해킹/ DDoS/악성 트래픽일 수 있으며, 블랙리스트정보로서 누적되어 관리된다.
이에, 차단관리부(322)는, IP트래픽 내 적어도 하나의 패킷과 기 저장된 블랙리스트정보를 비교한 결과에 기초하여 IP트래픽에 차단대상패킷이 존재하는 지의 여부를 확인할 수 있게 된다.
즉, 차단관리부(322)는, IP트래픽 내 적어도 하나의 패킷이 기 저장된 블랙리스트정보에 포함되면 해당 패킷을 차단대상패킷으로 판단한다. 이후, 차단관리부(322)는, 해당 패킷을 기 저장된 블랙리스트정보에 추가하여 블랙리스트정보를 갱신한다.
한편, 차단관리부(322)는, IP트래픽 내 적어도 하나의 패킷이 기 저장된 IP블랙리스트에 포함되지 않으면, IP트래픽을 차단대상패킷이 존재하지 않는 정상 트래픽으로 판단한다. 이후, 차단관리부(322)는, 정상 트래픽으로 판단된 IP트래픽을 DNS실행관리부(323)로 전달한다.
전술에서 살펴본 바와 같이, 본 발명의 차단관리부(322)는, 침입차단시스템(IPS)일 수 있으며, 변조된 DNS IP패킷 및 DNS실행과 관련되는 LTM/DNS Proxy를 대상으로 하는 해킹/DDoS 공격 등을 방어하고, 악성 DNS 쿼리(Query)를 차단하며, 피싱DNS서버의 악의적 행위를 차단하는 등의 기능을 수행한다.
DNS실행관리부(323)는, IP트래픽 내 DNS 요청을 대신 수행하여 DNS 응답패킷이 생성되도록 제어한다. 이러한 DNS실행관리부(323)는, 도 4에 도시한 바와 같이, 패킷관리부(3231) 및 DNS리커시브제어부(3232)를 포함한다.
패킷관리부(3231)는, 차단관리부(322)로부터 정상 트래픽으로 판단된 IP트래픽이 수신되면, IP트래픽의 프로토콜 및 목적지를 확인하는 DNS 트래픽 검사 결과를 기반으로 DNS IP패킷을 검출한다.
즉, 패킷관리부(3231)는, IP트래픽 내 적어도 하나의 패킷 중 DNS 프로토콜(예: TCP/UDP)을 이용하며 목적지가 DNS와 관련된 기 설정된 특정포트(예: 53)를 갖는 패킷을 DNS IP패킷으로 검출한다.
한편, 패킷관리부(3231)는, IP트래픽 내 DNS IP패킷이 검출이 완료되면, DNS IP패킷을 제외한 나머지패킷을 서비스 IP패킷으로 판단한다. 즉, 패킷관리부(3231)는, IP트래픽을 DNS IP패킷과 관련되는 DNS트래픽과 서비스 IP패킷과 관련되는 일반서비스트래픽으로 구분한다.
여기서, 서비스 IP패킷은, IP트래픽 내 DNS요청 이외에 서비스(예: 웹서비스)를 제공하는 것과 관련되는 패킷일 수 있다. 이러한 서비스 IP패킷이 DNS변조관리부(320)로 우회되는 경우에는 서비스 IP패킷을 포함하는 일반서비스트래픽의 정상 반환이 불가능하게 되는 현상이 발생할 수 있다.
이에, 패킷관리부(3231)는, DNS 프로토콜(예: TCP/UDP) 이외의 다른 프로토콜을 기반으로 송수신되는 일반서비스트래픽이 인터넷 라우터(400)로 반환될 수 있도록 IP트래픽 내 일반서비스트래픽을 GRE라우터(325)로 전달한다. 또한, 패킷관리부(3231)는, IP트래픽 내 DNS트래픽을 DNS리커시브제어부(3232)로 전달한다.
결국, IP트래픽으로부터 DNS IP패킷이 검출됨에 따라 IP트래픽이 DNS트래픽과 일반서비스트래픽으로 구분되게 되므로, 패킷관리부(3231)는, IP트래픽 내 일반서비스트래픽을 인터넷 라우터(400)로 정상 반환하는 한편, IP트래픽 내 DNS트래픽의 쿼리에 무조건 응답할 수 있게 된다.
DNS리커시브제어부(3232)는, 패킷관리부(3231)로부터 DNS IP패킷과 관련되는 DNS트래픽이 수신되면, DNS트래픽의 각 DNS IP패킷이 권한네임서버(DNS Authoritative Server)와 관련되는지의 여부를 판단한다.
전술과 같이 DNS IP패킷과 권한네임서버(DNS Authoritative Server)와의 관련성을 판단하는 것은, 전술한 우회결정부(310)에서 기 저장된 화이트리스트정보를 기반으로 DNS관리장치(300)로 우회되지 말아야 하거나, 또는 우회가 불가능한 우회제외 IP목록이 우회되는 것을 1차적으로 차단할 수는 있다. 그러나, DNS IP패킷에 대한 변조여부 확인이 필요한 것으로 결정되면 IP기준으로 우회가 이루어지기 때문에 DNS IP패킷뿐만 아니라 모든 IP트래픽이 우회되는 점을 고려하여 다시 한번 우회제외 IP목록이 우회되지 않도록 2차적으로 차단하기 위한 것이다.
즉, 우회된 IP트래픽 중 DNS리졸버(324)로부터 권한네임서버(DNS Authoritative Server)로 전송되어야 하는 IP패킷이 존재하는 경우에는 권한네임서버(DNS Authoritative Server)에 수용된 모든 도메인에 대한 접근 불가현상이 발생할 수 있다.
즉, DNS IP패킷의 소스 IP주소(source IP address)가 DNS리졸버(324)의 IP주소이고, 목적지 IP주소(destination IP address)가 권한네임서버(DNS Authoritative Server)의 IP주소인 경우, DNS리졸버(324)가 DNS IP패킷을 전송하더라도 DNS관리장치(300)로 우회되어 무조건 응답될 것이므로 루핑(Looping) 및 서버페일(Server Failed) 등과 같은 장애가 발생하여, 권한네임서버(DNS Authoritative Server)에 수용된 모든 도메인에 대한 접근이 불가하게 되는 것이다.
이에, DNS IP패킷과 관련되는 DNS트래픽이 수신되면, DNS IP패킷에 해당하는 DNS IP주소와 DNS리졸버(324)의 IP주소(이하, 리졸버 IP주소)가 일치하는지의 여부를 확인함으로써 권한네임서버(DNS Authoritative Server)의 우회발생을 미연에 차단하게 된다.
즉, DNS리커시브제어부(3232)는, DNS IP패킷에 해당하는 DNS IP주소와 리졸버 IP주소가 일치하면, DNS IP패킷에 해당하는 특정DNS서버가 권한네임서버(DNS Authoritative Server)인 것으로 판단하여 DNS IP패킷을 GRE라우터(325)로 전송한다.
한편, DNS리커시브제어부(3232)는, DNS IP패킷에 해당하는 DNS IP주소와 리졸버 IP주소가 일치하지 않으면, DNS IP패킷에 해당하는 특정DNS서버가 권한네임서버(DNS Authoritative Server)와 무관한 일반DNS서버인 것으로 판단한다. 이후, DNS리커시브제어부(3232)는, 특정도메인의 도메인 주소를 IP주소로 변환하는 DNS 레졸루션(resolution)이 기 수행되었는지의 여부를 확인한다.
즉, DNS리커시브제어부(3232)는, 특정도메인의 IP주소가 캐시엔트리(DNS Proxy Cache Entry)에 기 저장되어 있으면, 특정도메인의 도메인 주소에 대한 DNS 레졸루션(resolution)이 기 수행된 것으로 판단하고, 기 저장된 특정도메인의 IP주소를 이용하여 DNS 응답패킷을 생성한다.
만일, 특정도메인의 IP주소가 캐시엔트리(DNS Proxy Cache Entry)에 기 저장되어 있지 않으면, DNS리커시브제어부(3232)는, 특정도메인의 도메인 주소에 대한 DNS 레졸루션(resolution)이 수행되어야 하므로 DNS 레졸루션(resolution)을 수행할 것을 DNS리졸버(324)로 요청한다.
이후, DNS리커시브제어부(3232)는, DNS리졸버(324)로부터 특정도메인의 IP주소가 반환되면, 반환된 특정도메인의 IP주소를 이용하여 DNS 응답패킷을 생성한다.
이처럼 기 저장된 특정도메인의 IP주소 또는 DNS리졸버(324)로부터 반환된 특정도메인의 IP주소를 이용하여 DNS 응답패킷의 생성이 완료되면, DNS리커시브제어부(3232)는, DNS 응답패킷이 단말(100)로 전달될 수 있도록 GRE라우터(325)를 통해 인터넷 라우터(400)로 전달한다.
전술에서 살펴본 바와 같이, DNS실행관리부(323)는, LTM / DNS Proxy일 수 있으며, IP Wild Card 기능을 기반으로 DNS 프로토콜(Protocol)은 무조건 응답하도록 하는 한편 DNS 프로토콜(Protocol) 이외 트래픽은 GRE라우터(325)로 패스(Pass)하는 DNS Cache 역할을 수행한다. 또한, DNS실행관리부(323)는, DNS 쿼리에 대한 DNS리졸버(324)의 응답을 캐싱 처리하는 DNS Proxy 역할을 수행하게 된다.
이러한 기능에 따라 DNS실행관리부(323)는, IP트래픽 내 DNS IP패킷이 해커에 의해 변조된 경우에도 피싱사이트가 아닌 특정도메인에 해당하는 정상사이트로 접속될 수 있도록 DNS IP패킷에 해당하는 특정DNS서버, 즉 피싱DNS서버(600) 대신 특정도메인의 IP주소를 단말(100)로 제공한다. 이에, 기존 DNS IP패킷이 해커에 의해 변조되었을 때 피싱DNS서버(600)로 접속됨에 따라 피싱사이트의 IP주소가 단말(100)로 반환되어 발생하던 파밍 피해 발생을 미연에 방지할 수 있게 된다.
결국, 백본 구간에서 우회되는 IP트래픽 내 DNS요청에 대한 처리를 DNS IP패킷에 해당하는 특정DNS서버(예: 피싱DNS서버)가 수행하는 것이 아니라, DNS관리장치(300)에서 DNS요청에 응답하게 되므로, DNS IP가 변조되는 경우에도 피싱사이트가 아닌 특정도메인에 해당하는 정상사이트로 무조건 접속하게 되어 파밍 피해발생을 근본적으로 차단할 수 있게 된다.
다시 도 3을 참고하면, DNS리졸버(324)는, DNS실행관리부(323)의 제어에 따라 특정도메인의 도메인 주소에 대한 DNS 레졸루션(resolution)을 수행하여 특정도메인의 IP주소를 생성한다.
즉, DNS리졸버(324)는, 특정도메인의 도메인 주소에 대한 DNS 리커시브쿼리(Recursive Query) 처리를 통해 도메인 주소를 IP주소로 변환하고, 변환된 특정도메인의 IP주소가 캐시엔트리(DNS Proxy Cache Entry)에 업데이트되도록 DNS실행관리부(323)로 전달한다.
GRE라우터(325)는, DNS실행관리부(323)로부터 전달되는 모든 트래픽에 대해 GRE 캡슐화(Capsulation)하여 인터넷 라우터(400)로 전달한다. 이때, GRE라우터(325)는 인터넷 라우터(400)와 논리적으로 GRE 터널(Tunnel) 연동되게 된다.
이에, GRE라우터(325)는, 싱크홀 라우터(321)를 통해 인입되어 싱크홀 처리된 IP의 재후회(Looping) 방지 및 트래픽 경로 반환을 위해 GRE 처리를 수행할 수 있게 된다.
이하에서는, 도 5을 참조하여, 본 발명의 실시예에 따른 DNS관리장치에서 피싱(Fake) 사이트 접속을 근본적으로 차단하는 동작 흐름을 보다 구체적으로 설명하겠다. 도 5에서는 설명의 편의를 위해 전술의 도 1 내지 도 4에서 언급한 참조번호를 언급하여 설명하며,
단말(100)은, 사용자로부터 특정도메인의 도메인 주소가 입력되면, 특정도메인으로의 접속과 관련되는 IP트래픽을 백본 라우터(200)로 업스트림한다(S100, S101).
이처럼 IP트래픽이 단말(100)로부터 백본 라우터(200)로 업스트림되면, DNS관리장치(300)의 우회결정부(310)는, IP트래픽 내 DNS IP패킷이 해커에 의해 변조되었는지의 여부를 모니터링한다(S102).
즉, 우회결정부(310)는, IP트래픽 내 적어도 하나의 패킷 중 DNS 프로토콜(예: TCP/UDP)을 이용하며 목적지가 DNS와 관련된 기 설정된 특정포트(예: 53)를 갖는 패킷을 특정도메인으로의 접속과 관련되는 DNS IP패킷으로 검출한다.
이후, 우회결정부(310)는, DNS IP패킷을 분석한 결과를 기반으로 DNS IP패킷의 변조여부에 대한 확인 필요성을 판단하여 우회여부를 결정한다(S103, S104).
보다 구체적으로, 우회결정부(310)는, 표준 프로토콜 RFC 규약을 참고하여 특정도메인으로의 접속과 관련되는 DNS IP패킷의 규격적합성을 판단한다.
즉, DNS IP패킷의 규격적합성이 만족되지 않으면, 우회결정부(310)는, DNS IP패킷이 비규격 패킷인 것으로 판단하여 패킷드랍을 수행한다. 한편, DNS IP패킷의 규격적합성이 만족되면, 우회결정부(310)는, DNS IP패킷의 쿼리분석을 수행한다.
전술에 따라 DNS IP패킷의 규격적합성이 만족되어 DNS IP패킷의 쿼리(Query)분석을 수행하게 되면, DNS 타입(Type) 및 쿼리 도메인(Query Domain) 등과 같은 쿼리분석정보를 검출할 수 있게 된다.
이에, 우회결정부(310)는, DNS IP패킷의 쿼리를 분석한 쿼리분석정보와 기 저장된 화이트리스트정보를 비교한 결과를 기반으로 DNS IP패킷의 변조여부에 대한 확인 필요성을 판단할 수 있게 된다.
여기서, 화이트리스트정보는, 운영자 및 시스템에 의해 수동/자동으로 추가될 수 있으며, DNS관리장치(300)로 우회되지 말아야 하거나, 또는 우회가 불가능한 우회제외 IP목록을 포함한다.
이때, 우회제외 IP목록에는, 루트(Root)도메인, DNS 캐시(Cache) 및 네임서버(Name Server) 등의 IP주소가 포함되며, 정상 DNS서버의 우회 방지를 위해 상시 관리 및 갱신되는 것이 바람직할 것이다.
즉, 우회결정부(310)는, DNS IP패킷의 쿼리분석정보가 기 저장된 화이트리스트정보와 일치하면, DNS IP패킷이 우회제외 IP목록에 포함되어야 하는 것으로 판단하여 DNS IP패킷을 추가하여 화이트리스트정보를 갱신한다.
한편, DNS IP패킷의 쿼리분석정보가 기 저장된 화이트리스트정보와 일치하지 않으면, DNS IP패킷에 대한 변조여부의 확인이 필요한 것으로 판단하여 DNS IP패킷과 관련되는 IP트래픽의 우회처리가 필요한 것으로 결정한다. 이후, 우회결정부(310)는, IP트래픽이 백본 구간에서의 라우팅을 통해 DNS변조관리부(320)로 우회되도록 제어한다(S105).
전술에 따라 우회결정부(310)로부터 특정도메인으로의 접속과 관련되는 DNS IP패킷에 대한 변조여부의 확인이 필요한 것으로 판단되어 백본 라우터(200)로부터 DNS IP패킷과 관련되는 IP트래픽이 수신되면, DNS변조관리부(320)는, IP트래픽 중 차단대상패킷이 존재하는 지의 여부를 확인한다.
여기서, 차단대상패킷은, 해킹/ DDoS/악성 트래픽일 수 있으며, 블랙리스트정보로서 누적되어 관리된다.
즉, DNS변조관리부(320)는, IP트래픽 내 적어도 하나의 패킷과 기 저장된 블랙리스트정보를 비교한 결과에 기초하여 IP트래픽에 차단대상패킷이 존재하는 지의 여부를 확인한다(S106).
S106 단계의 판단결과, IP트래픽 내 적어도 하나의 패킷이 기 저장된 블랙리스트정보에 포함되면, DNS변조관리부(320)는, 해당 패킷을 차단대상패킷으로 판단하고, 해당 패킷을 기 저장된 블랙리스트정보에 추가하여 블랙리스트정보를 갱신한다(S107).
한편, S106 단계의 판단결과, IP트래픽 내 적어도 하나의 패킷이 기 저장된 IP블랙리스트에 포함되지 않으면, DNS변조관리부(320)는, IP트래픽을 차단대상패킷이 존재하지 않는 정상 트래픽으로 판단한다.
이처럼 IP트래픽이 정상 트래픽인 것으로 판단되면, DNS변조관리부(320)는, IP트래픽의 프로토콜 및 목적지를 확인하는 DNS 트래픽 검사 결과를 기반으로 DNS IP패킷을 검출한다(S108).
보다 구체적으로, DNS변조관리부(320)는, IP트래픽 내 적어도 하나의 패킷 중 DNS 프로토콜(예: TCP/UDP)을 이용하며 목적지가 DNS와 관련된 기 설정된 특정포트(예: 53)를 갖는 패킷을 DNS IP패킷으로 검출한다. 이어서, DNS변조관리부(320)는, DNS IP패킷을 제외한 나머지패킷을 서비스 IP패킷으로 판단한다.
즉, DNS변조관리부(320)는, IP트래픽을 DNS IP패킷과 관련되는 DNS트래픽과 서비스 IP패킷과 관련되는 일반서비스트래픽으로 구분한다.
여기서, 서비스 IP패킷은, IP트래픽 내 DNS요청 이외에 서비스(예: 웹서비스)를 제공하는 것과 관련되는 패킷일 수 있다. 이러한 서비스 IP패킷이 DNS변조관리부(320)로 우회되는 경우에는 서비스 IP패킷을 포함하는 일반서비스트래픽의 정상 반환이 불가능하게 되는 현상이 발생할 수 있다.
이에, DNS변조관리부(320)는, DNS 프로토콜(예: TCP/UDP) 이외의 다른 프로토콜을 기반으로 송수신되는 일반서비스트래픽이 인터넷 라우터(400)로 반환될 수 있도록 IP트래픽 내 일반서비스트래픽을 GRE라우터(325)로 전달한다(S109).
즉, IP트래픽으로부터 DNS IP패킷이 검출됨에 따라 IP트래픽이 DNS트래픽과 일반서비스트래픽으로 구분되게 되므로, DNS변조관리부(320)는, IP트래픽 내 일반서비스트래픽을 인터넷 라우터(400)로 정상 반환하는 한편, IP트래픽 내 DNS트래픽의 쿼리에 무조건 응답할 수 있게 된다.
이후, DNS변조관리부(320)는, DNS트래픽의 각 DNS IP패킷이 권한네임서버(DNS Authoritative Server)와 관련되는지의 여부를 판단한 결과를 기반으로 DNS IP패킷에 해당하는 특정DNS서버 대신 특정도메인의 IP주소가 제공되도록 제어한다.
이처럼 DNS변조관리부(320)에서 DNS IP패킷과 권한네임서버(DNS Authoritative Server)와의 관련성을 판단하는 것은, 전술한 우회결정부(310)에서 기 저장된 화이트리스트정보를 기반으로 DNS변조관리부(320)로 우회되지 말아야 하거나, 또는 우회가 불가능한 우회제외 IP목록이 우회되는 것을 1차적으로 차단할 수는 있으나, DNS IP패킷에 대한 변조여부 확인이 필요한 것으로 결정되면 IP기준으로 우회가 이루어지기 때문에 DNS IP패킷뿐만 아니라 모든 IP트래픽이 우회되는 점을 고려하여 다시 한번 우회제외 IP목록이 우회되지 않도록 2차적으로 차단하기 위한 것이다.
즉, 우회된 IP트래픽 중 DNS리졸버(324)로부터 권한네임서버(DNS Authoritative Server)로 전송되어야 하는 IP패킷이 존재하는 경우에는 권한네임서버(DNS Authoritative Server)에 수용된 모든 도메인에 대한 접근 불가현상이 발생할 수 있다.
즉, DNS IP패킷의 소스 IP주소(source IP address)가 DNS리졸버(324)의 IP주소이고, 목적지 IP주소(destination IP address)가 권한네임서버(DNS Authoritative Server)의 IP주소인 경우, DNS리졸버(324)가 DNS IP패킷을 전송하더라도 DNS관리장치(300)로 우회되어 무조건 응답될 것이므로 루핑(Looping) 및 서버페일(Server Failed) 등과 같은 장애가 발생하여, 권한네임서버(DNS Authoritative Server)에 수용된 모든 도메인에 대한 접근이 불가하게 되는 것이다.
이에, DNS IP패킷과 관련되는 DNS트래픽이 수신되면, DNS변조관리부(320)는, DNS IP패킷에 해당하는 DNS IP주소와 리졸버 IP주소가 일치하는지의 여부를 판단한다(S110).
S110 단계의 판단결과, DNS IP패킷에 해당하는 DNS IP주소와 리졸버 IP주소가 일치하면, DNS변조관리부(320)는, DNS IP패킷에 해당하는 특정DNS서버가 권한네임서버(DNS Authoritative Server)인 것으로 판단하여 DNS IP패킷을 GRE라우터(325)로 전송한다(S111, S112).
한편, S110 단계의 판단결과, DNS IP패킷에 해당하는 DNS IP주소와 리졸버 IP주소가 일치하지 않으면, DNS변조관리부(320)는, DNS IP패킷에 해당하는 특정DNS서버가 권한네임서버(DNS Authoritative Server)와 무관한 일반DNS서버인 것으로 판단한다(S113). 이후, DNS변조관리부(320)는, 특정도메인의 도메인 주소를 IP주소로 변환하는 DNS 레졸루션(resolution)이 기 수행되었는지의 여부를 확인한다.
즉, DNS변조관리부(320)는, 특정도메인의 IP주소가 캐시엔트리(DNS Proxy Cache Entry)에 기 저장되어 있으면, 특정도메인의 도메인 주소에 대한 DNS 레졸루션(resolution)이 기 수행된 것으로 판단하고, 기 저장된 특정도메인의 IP주소를 이용하여 DNS 응답패킷을 생성한다.
만일, 특정도메인의 IP주소가 캐시엔트리(DNS Proxy Cache Entry)에 기 저장되어 있지 않으면, DNS변조관리부(320)는, 특정도메인의 도메인 주소에 대한 DNS 레졸루션(resolution)이 수행되어야 하므로 DNS 레졸루션(resolution)을 수행할 것을 DNS리졸버(324)로 요청한다(S114).
이후, DNS변조관리부(320)는, DNS리졸버(324)로부터 특정도메인의 IP주소가 반환되면, 반환된 특정도메인의 IP주소를 이용하여 DNS 응답패킷을 생성한다(S115).
이처럼 기 저장된 특정도메인의 IP주소 또는 DNS리졸버(324)로부터 반환된 특정도메인의 IP주소를 이용하여 DNS 응답패킷의 생성이 완료되면, DNS변조관리부(320)는, DNS 응답패킷이 단말(100)로 전달될 수 있도록 GRE라우터(325)를 통해 인터넷 라우터(400)로 전달한다(S116). 이에, 인터넷 라우터(400)는, DNS 응답패킷을 단말(100)로 전송할 수 있게 된다(S117).
단말(100)은, 인터넷 라우터(400)로부터 DNS 응답패킷이 수신되면, DNS 응답패킷으로부터 특정도메인의 IP주소를 확인한 후 특정도메인의 IP주소에 해당하는 정상사이트로 접속할 수 있게 된다(S118).
결국, 백본 구간에서 우회되는 IP트래픽 내 DNS요청에 대한 처리를 DNS IP패킷에 해당하는 특정DNS서버(예: 피싱DNS서버)가 수행하는 것이 아니라, DNS관리장치(300)에서 DNS요청에 응답하게 되므로, DNS IP가 변조되는 경우에도 피싱사이트(500')가 아닌 특정도메인에 해당하는 정상사이트(500)로 무조건 접속하게 되어 파밍 피해발생을 근본적으로 차단할 수 있게 된다.
이상에서 설명한 바와 같이 본 발명에 따른 DNS관리장치 및 그 동작 방법에 의하면, 특정도메인으로의 접속과 관련되는 DNS IP가 변조되는 경우에도 피싱사이트가 아닌 특정도메인에 해당하는 정상사이트로 접속되도록 함으로써, 해커에 의한 DNS IP의 변경과 무관하게 안정적인 DNS 서비스를 제공할 수 있으며, 파밍 기법에 의한 피해발생을 미연에 차단할 수 있어 사용자의 서비스 만족도를 향상시킬 수 있게 된다.
본 발명의 실시예들은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시 예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.
본 발명의 DNS관리장치 및 그 동작 방법에 따르면, 특정도메인으로의 접속과 관련되는 DNS IP가 변조되는 경우에도 피싱사이트가 아닌 특정도메인에 해당하는 정상사이트로 접속되도록 함으로써, 해커에 의한 DNS IP의 변경과 무관하게 안정적인 DNS 서비스를 제공할 수 있으며, 파밍 기법에 의한 피해발생이 미연에 차단되도록 할 수 있다는 점에서, 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.
100 : 단말 200 : 백본 라우터
300 : DNS관리장치
310 : 우회결정부 320 : DNS변조관리부
321 : 싱크홀 라우터 322 : 차단관리부
323 : DNS실행관리부 324 : DNS리졸버
325 : GRE라우터 326 : 팜스위치
400 : 인터넷 라우터 500 : 피싱사이트
600 : 피싱DNS서버

Claims (15)

  1. 특정도메인으로의 접속과 관련되는 DNS IP패킷에 대한 변조여부의 확인이 필요한 것으로 판단되어 상기 DNS IP패킷과 관련되는 IP트래픽이 수신되는 경우, 상기 IP트래픽 중 차단대상패킷이 존재하는 지의 여부를 확인하는 차단관리부; 및
    상기 IP트래픽 중 차단대상패킷이 존재하지 않으면, 상기 IP트래픽으로부터 상기 DNS IP패킷을 검출한 후 상기 DNS IP패킷에 해당하는 특정DNS서버가 권한네임서버(DNS Authoritative Server)와 관련되지 않는 경우 상기 DNS IP패킷에 해당하는 특정DNS서버 대신 상기 특정도메인의 IP주소가 제공되도록 제어하는 DNS실행관리부
    를 포함하며,
    상기 DNS실행관리부는,
    상기 DNS IP패킷에 해당하는 DNS IP주소와 상기 권한네임서버로 질의하는 리졸버의 리졸버 IP주소가 일치하면, 상기 특정DNS서버가 상기 권한네임서버인 것으로 판단하여 상기 DNS IP패킷을 RGE 라우터로 전송하며,
    상기 DNS IP주소와 상기 리졸버 IP주소가 일치하지 않으면, 상기 특정DNS서버가 상기 권한네임서버와 무관한 일반DNS서버인 것으로 판단하여 상기 특정DNS서버 대신 상기 특정도메인의 도메인 주소를 IP주소로 변환하는 DNS 레졸루션(resolution)을 수행할 것을 상기 리졸버로 요청하는 것을 특징으로 하는 DNS관리장치.
  2. 제 1 항에 있어서,
    상기 차단관리부는,
    상기 IP트래픽 내 적어도 하나의 패킷이 기 저장된 블랙리스트정보에 포함되면 해당 패킷을 상기 차단대상패킷으로 판단하며, 상기 IP트래픽 내 적어도 하나의 패킷이 기 저장된 IP블랙리스트에 포함되지 않으면 상기 차단대상패킷이 존재하지 않는 것으로 판단하는 것을 특징으로 하는 DNS관리장치.
  3. 제 2 항에 있어서,
    상기 DNS실행관리부는,
    상기 IP트래픽의 프로토콜 및 목적지를 확인한 결과를 기반으로 상기 DNS IP패킷을 검출하는 패킷관리부를 포함하는 것을 특징으로 하는 DNS관리장치.
  4. 제 3 항에 있어서,
    상기 패킷관리부는,
    상기 IP트래픽 내 적어도 하나의 패킷 중 DNS 프로토콜을 이용하며 상기 목적지가 DNS와 관련된 기 설정된 특정포트를 갖는 패킷을 상기 DNS IP패킷으로 판단하여 검출하며,
    상기 IP트래픽 내 적어도 하나의 패킷 중 상기 DNS IP패킷을 제외한 나머지를 서비스 IP패킷으로 판단하는 것을 특징으로 하는 DNS관리장치.
  5. 삭제
  6. 삭제
  7. 제 1 항에 있어서,
    상기 DNS실행관리부는,
    상기 특정도메인에 대한 상기 DNS 레졸루션(resolution)이 기 수행되어 상기 특정도메인의 IP주소가 기 저장되어 있는 경우, 상기 저장된 특정도메인의 IP주소를 이용하여 응답패킷을 생성하며,
    상기 특정도메인의 IP주소가 기 저장되어 있지 않은 경우, 상기 리졸버로부터 반환된 상기 특정도메인의 IP주소를 이용하여 응답패킷을 생성하는 것을 특징으로 하는 DNS관리장치.
  8. 제 1 항에 있어서,
    상기 DNS IP패킷에 대한 쿼리를 분석한 쿼리분석정보와 기 저장된 화이트리스트정보를 비교한 결과를 기반으로 상기 DNS IP패킷의 변조여부에 대한 확인 필요성을 판단하는 우회결정부를 더 포함하는 것을 특징으로 하는 DNS관리장치.
  9. 특정도메인으로의 접속과 관련되는 DNS IP패킷에 대한 변조여부의 확인이 필요한 것으로 판단되어 상기 DNS IP패킷과 관련되는 IP트래픽이 수신되는 경우, 상기 IP트래픽 중 차단대상패킷이 존재하는 지의 여부를 확인하는 차단관리단계; 및
    상기 IP트래픽 중 차단대상패킷이 존재하지 않으면, 상기 IP트래픽으로부터 상기 DNS IP패킷을 검출한 후 상기 DNS IP패킷에 해당하는 특정DNS서버가 권한네임서버(DNS Authoritative Server)와 관련되지 않는 경우 상기 DNS IP패킷에 해당하는 특정DNS서버 대신 상기 특정도메인의 IP주소가 제공되도록 제어하는 DNS실행관리단계
    를 포함하며,
    상기 DNS실행관리단계는,
    상기 DNS IP패킷에 해당하는 DNS IP주소와 상기 권한네임서버로 질의하는 리졸버의 리졸버 IP주소가 일치하면, 상기 특정DNS서버가 상기 권한네임서버인 것으로 판단하여 상기 DNS IP패킷을 RGE 라우터로 전송하며,
    상기 DNS IP주소와 상기 리졸버 IP주소가 일치하지 않으면, 상기 특정DNS서버가 상기 권한네임서버와 무관한 일반DNS서버인 것으로 판단하여 상기 특정DNS서버 대신 상기 특정도메인의 도메인 주소를 IP주소로 변환하는 DNS 레졸루션(resolution)을 수행할 것을 상기 리졸버로 요청하는 것을 특징으로 하는 DNS관리장치의 동작방법.
  10. 제 9 항에 있어서,
    상기 차단관리단계는,
    상기 IP트래픽 내 적어도 하나의 패킷이 기 저장된 블랙리스트정보에 포함되면 해당 패킷을 상기 차단대상패킷으로 판단하는 단계, 및
    상기 IP트래픽 내 적어도 하나의 패킷이 기 저장된 IP블랙리스트에 포함되지 않으면 상기 차단대상패킷이 존재하지 않는 것으로 판단하는 단계를 포함하는 것을 특징으로 하는 DNS관리장치의 동작방법.
  11. 삭제
  12. 제 9 항에 있어서,
    상기 DNS실행관리단계는,
    상기 IP트래픽의 프로토콜 및 목적지를 확인한 결과를 기반으로 상기 DNS IP패킷을 검출하는 패킷관리단계를 더 포함하며,
    상기 패킷관리단계는,
    상기 IP트래픽 내 적어도 하나의 패킷 중 DNS 프로토콜을 이용하며 상기 목적지가 DNS와 관련된 기 설정된 특정포트를 갖는 패킷을 상기 DNS IP패킷으로 판단하여 검출하는 단계; 및
    상기 IP트래픽 내 적어도 하나의 패킷 중 상기 DNS IP패킷을 제외한 나머지를 서비스 IP패킷으로 판단하는 단계를 포함하는 것을 특징으로 하는 DNS관리장치의 동작방법.
  13. 삭제
  14. 제 9 항에 있어서,
    상기 DNS실행관리단계는,
    상기 특정도메인에 대한 상기 DNS 레졸루션(resolution)이 기 수행되어 상기 특정도메인의 IP주소가 기 저장되어 있는 경우, 상기 저장된 특정도메인의 IP주소를 이용하여 응답패킷을 생성하는 단계; 및
    상기 특정도메인의 IP주소가 기 저장되어 있지 않은 경우, 상기 리졸버로부터 반환된 상기 특정도메인의 IP주소를 이용하여 응답패킷을 생성하는 단계를 더 포함하는 것을 특징으로 하는 DNS관리장치의 동작방법.
  15. 제 9 항에 있어서,
    상기 DNS IP패킷에 대한 쿼리를 분석한 쿼리분석정보와 기 저장된 화이트리스트정보를 비교한 결과를 기반으로 상기 DNS IP패킷의 변조여부에 대한 확인 필요성을 판단하는 우회결정단계를 더 포함하는 것을 특징으로 하는 DNS관리장치의 동작방법.
KR1020170051675A 2017-04-21 2017-04-21 Dns관리장치 및 그 동작 방법 KR101997181B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170051675A KR101997181B1 (ko) 2017-04-21 2017-04-21 Dns관리장치 및 그 동작 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170051675A KR101997181B1 (ko) 2017-04-21 2017-04-21 Dns관리장치 및 그 동작 방법

Publications (2)

Publication Number Publication Date
KR20180118399A KR20180118399A (ko) 2018-10-31
KR101997181B1 true KR101997181B1 (ko) 2019-07-05

Family

ID=64099685

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170051675A KR101997181B1 (ko) 2017-04-21 2017-04-21 Dns관리장치 및 그 동작 방법

Country Status (1)

Country Link
KR (1) KR101997181B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102438769B1 (ko) * 2020-10-19 2022-09-01 주식회사 에이아이스페라 악성 dns 서버 탐지 장치 및 그 제어방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101223931B1 (ko) * 2011-01-28 2013-02-05 주식회사 코닉글로리 Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법
JP2017034637A (ja) * 2015-08-06 2017-02-09 日本電信電話株式会社 権威dnsサーバ装置、dnsクエリ処理方法およびdnsクエリ処理プログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101223931B1 (ko) * 2011-01-28 2013-02-05 주식회사 코닉글로리 Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법
JP2017034637A (ja) * 2015-08-06 2017-02-09 日本電信電話株式会社 権威dnsサーバ装置、dnsクエリ処理方法およびdnsクエリ処理プログラム

Also Published As

Publication number Publication date
KR20180118399A (ko) 2018-10-31

Similar Documents

Publication Publication Date Title
US9369434B2 (en) Whitelist-based network switch
US8122493B2 (en) Firewall based on domain names
US8561181B1 (en) Detecting man-in-the-middle attacks via security transitions
US8266672B2 (en) Method and system for network identification via DNS
US8561177B1 (en) Systems and methods for detecting communication channels of bots
JP5499183B2 (ja) Dnsキャッシュポイズニングを防止するための方法およびシステム
US20140020067A1 (en) Apparatus and method for controlling traffic based on captcha
US20050283831A1 (en) Security system and method using server security solution and network security solution
EP3270564A1 (en) Distributed security provisioning
US10397225B2 (en) System and method for network access control
US11706628B2 (en) Network cyber-security platform
US8161558B2 (en) Network management and administration
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
CN112491836B (zh) 通信系统、方法、装置及电子设备
KR101494329B1 (ko) 악성 프로세스 검출을 위한 시스템 및 방법
KR101997181B1 (ko) Dns관리장치 및 그 동작 방법
KR101910496B1 (ko) 광역망 인터넷 프로토콜(wan ip) 검증을 통한 네트워크 기반 프록시 설정 탐지 시스템 및 그를 이용한 유해 사이트 접속 차단 방법
CN110086812B (zh) 一种安全可控的内网安全巡警系统及方法
KR101977612B1 (ko) 네트워크관리장치 및 방법
KR101003094B1 (ko) 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템
KR20150026187A (ko) 드로퍼 판별을 위한 시스템 및 방법
KR100613904B1 (ko) 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법
JP2008141352A (ja) ネットワークセキュリティシステム
CN112769731A (zh) 一种进程控制方法、装置、服务器及存储介质
CN114189360B (zh) 态势感知的网络漏洞防御方法、装置及系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant