KR102582837B1 - Pharming dns analysis method and computing device therefor - Google Patents

Pharming dns analysis method and computing device therefor Download PDF

Info

Publication number
KR102582837B1
KR102582837B1 KR1020210036398A KR20210036398A KR102582837B1 KR 102582837 B1 KR102582837 B1 KR 102582837B1 KR 1020210036398 A KR1020210036398 A KR 1020210036398A KR 20210036398 A KR20210036398 A KR 20210036398A KR 102582837 B1 KR102582837 B1 KR 102582837B1
Authority
KR
South Korea
Prior art keywords
response
dns
address
domain
inspection
Prior art date
Application number
KR1020210036398A
Other languages
Korean (ko)
Other versions
KR20220131600A (en
Inventor
문성권
Original Assignee
주식회사 엘지유플러스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지유플러스 filed Critical 주식회사 엘지유플러스
Priority to KR1020210036398A priority Critical patent/KR102582837B1/en
Publication of KR20220131600A publication Critical patent/KR20220131600A/en
Application granted granted Critical
Publication of KR102582837B1 publication Critical patent/KR102582837B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Investigating Or Analysing Biological Materials (AREA)
  • Investigating Or Analyzing Non-Biological Materials By The Use Of Chemical Means (AREA)
  • Investigating Or Analysing Materials By The Use Of Chemical Reactions (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

파밍 DNS 분석 방법 및 컴퓨팅 디바이스가 개시된다. 본 발명의 일 실시예에 따른 파밍 DNS 분석 방법은, 단말로부터 인터넷망으로 전달된 하나 이상의 도메인 쿼리에 대한 응답을 수신하는 단계, 상기 응답에 포함된 응답 IP 어드레스 및 응답 TTL에 기반하여 DNS 파밍 여부를 결정하는 단계를 포함한다. 본 발명에 따라 면밀하고 오류없이 비정상 DNS를 판단할 수 있다. A pharming DNS analysis method and computing device are disclosed. The pharming DNS analysis method according to an embodiment of the present invention includes receiving a response to one or more domain queries transmitted from a terminal to an Internet network, and determining whether DNS pharming is performed based on the response IP address and response TTL included in the response. It includes the step of deciding. According to the present invention, abnormal DNS can be determined thoroughly and without error.

Description

파밍 DNS 분석 방법 및 컴퓨팅 디바이스{PHARMING DNS ANALYSIS METHOD AND COMPUTING DEVICE THEREFOR}PHARMING DNS ANALYSIS METHOD AND COMPUTING DEVICE THEREFOR}

본 발명은 파밍 DNS 분석 방법 및 컴퓨팅 디바이스에 관한 것이다.The present invention relates to a pharming DNS analysis method and computing device.

종래에는 인터넷에 있는 서버 또는 서비스와 통신을 하기 위해서는 서버 또는 서비스의 도메인에 해당하는 IP 주소를 얻어야 하므로, 단말은 DNS 서버에 입력된 도메인 네임의 IP 어드레스를 쿼리한다. DNS 서버는 쿼리에 응답하여 도메인 네임에 해당하는 서버의 IP 어드레스를 응답하고, 단말은 수신된 IP 어드레스를 통해 상기 서버와 접속하여, 의도한 콘텐츠를 얻을 수 있다. Conventionally, in order to communicate with a server or service on the Internet, an IP address corresponding to the domain of the server or service must be obtained, so the terminal queries the IP address of the domain name entered into the DNS server. The DNS server responds to the query with the IP address of the server corresponding to the domain name, and the terminal can access the server through the received IP address to obtain the intended content.

하지만, 악성코드에 감염 또는 해킹 등에 의한 비정상적인 단말의 경우, DNS 서버 주소가 비정상적인 DNS 서버로 변경될 수 있다. 이때, 단말은 인터넷과 통신하기 위해 DNS 서버로 도메인 네임을 쿼리하나, 비 정상 DNS 서버 즉 파밍 DNS는 정상 도메인 네임과 무관한 비정상 서버의 IP 어드레스를 응답한다. 단말은 비정상 IP로 접속하게 되며, 공격자가 의도한 대로 보안에 위험한 콘텐츠를 다운로드 받고 수행하게 된다. 이로 인해 단말 내 데이터를 강제로 암호화하여 비트코인 등 금품을 갈취하는 랜섬웨어에 걸리게 되거나, 단말 내 주요 데이터나 영상정보 등을 외부로 반출하기도 하며, DDoS 등 다른 단말을 공격하는 수단으로 악용되기도 한다. However, in the case of abnormal terminals infected with malicious code or hacked, etc., the DNS server address may be changed to an abnormal DNS server. At this time, the terminal queries the DNS server for a domain name in order to communicate with the Internet, but the abnormal DNS server, or pharming DNS, responds with the IP address of an abnormal server unrelated to the normal domain name. The terminal connects to an abnormal IP and downloads and executes content that is dangerous to security as the attacker intended. As a result, the device may be caught by ransomware that forcibly encrypts the data in the device and extorts money such as Bitcoin, or major data or video information in the device may be exported to the outside, and may also be abused as a means of attacking other devices such as DDoS. .

현재까지는, 파밍 DNS 를 탐지하고 대응하기 위한 보안 장비와 표준 기술이 부재하여, 파밍 DNS 의 탐지 및 대응은 주로 통신사가 자체 기술로 대응하고 있는 실정이다. 일 예로, 통신사의 자체 기술은 DNS 서버로 쿼리한 결과와 파밍 DNS 서버로 쿼리한 결과를 비교하여 두 결과의 동일 여부를 확인함으로써 파밍 DNS 여부를 판단한다. 하지만, 캐시 서비스나 클라우드 등 새로운 서비스에서는 쿼리한 결과를 단순히 비교하여서는 오류가 발생할 수 있다는 한계가 있다.To date, there is no security equipment and standard technology to detect and respond to pharming DNS, so the detection and response to pharming DNS is mainly handled by telecommunication companies with their own technology. For example, the telecommunications company's own technology compares the results of querying a DNS server with the results of querying a farming DNS server and checks whether the two results are the same to determine whether it is a farming DNS. However, in new services such as cache services or clouds, there is a limitation that errors may occur simply by comparing query results.

본 발명은 전술한 필요성 및/또는 문제점을 해결하는 것을 목적으로 한다.The present invention aims to solve the above-described needs and/or problems.

또한, 본 발명은 가짜 DNS 서버와 통신하는 트래픽을 분석하여 공격에 사용되는 DNS 서버의 상태, 가짜 DNS 서버와 통신하는 비정상적인 단말의 수 및 공격에 동원되는 악성코드의 종류 등을 사전에 파악할 수 하는 파밍 DNS 분석 방법 및 컴퓨팅 디바이스를 구현하는 것을 목적으로 한다.In addition, the present invention analyzes traffic communicating with a fake DNS server to determine in advance the status of the DNS server used in the attack, the number of abnormal terminals communicating with the fake DNS server, and the type of malicious code used in the attack. The purpose is to implement a farming DNS analysis method and computing device.

본 발명의 일 실시예에 따른 DNS 분석 방법은, 인터넷망에 포함된 컴퓨팅 디바이스에 의한 파밍 DNS 분석 방법으로, 단말로부터 인터넷망으로 전달된 하나 이상의 도메인 쿼리에 대한 응답을 수신하는 단계; 및 상기 응답에 포함된 응답 IP 어드레스 및 응답 TTL에 기반하여 DNS 파밍 여부를 결정하는 단계를 포함한다.A DNS analysis method according to an embodiment of the present invention is a pharming DNS analysis method by a computing device included in an Internet network, comprising: receiving a response to one or more domain queries transmitted from a terminal to an Internet network; and determining whether to do DNS farming based on the response IP address and response TTL included in the response.

일 실시예에 따르면, 결정하는 단계에서, 상기 DNS 파밍은, 정상적인 DNS 캐시 정보에 포함된 정상 IP 어드레스와 상기 응답 IP 어드레스를 비교하는 제1 프로세스, 응답 IP 어드레스가 위치하는 국가와 도메인이 위치한 국가를 비교하는 제2 프로세스, 2 이상의 서로 다른 도메인 쿼리에 대한 응답으로 동일한 응답 IP 어드레스가 수신되는 지 확인하는 제3 프로세스, 히든 플래그(hidden flag) DNS 서버로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 상기 검사용 도메인 쿼리에 상응하는 IP 어드레스를 비교하는 제4 프로세스, 시간 간격을 둔 적어도 둘 이상의 도메인 쿼리에 대한 응답 TTL들을 비교하는 제5 프로세스 중 적어도 일부에 기반하여 결정되는 것일 수 있다.According to one embodiment, in the determining step, the DNS pharming includes a first process of comparing the response IP address with a normal IP address included in normal DNS cache information, a country in which the response IP address is located, and a country in which the domain is located. A second process that compares, a third process that verifies whether the same response IP address is received in response to two or more different domain queries, a hidden flag response IP to the domain query for inspection sent to the DNS server It may be determined based on at least part of a fourth process that compares an address with an IP address corresponding to the domain query for inspection, and a fifth process that compares response TTLs to at least two domain queries separated by time.

일 실시예에 따르면, 상기 DNS 파밍은, 정상적인 DNS 캐시 정보에 포함된 정상 IP 어드레스와 응답 IP 어드레스가 서로 다르거나, 응답 IP 어드레스가 위치한 국가와 도메인 이 위치한 국가가 서로 다르거나, 2 이상의 서로 다른 도메인 쿼리에 대한 응답으로 동일한 응답 IP 어드레스가 수신되거나, 히든 플래그 DNS 서버로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 검사용 도메인 쿼리에 상응하는 IP 어드레스가 서로 다르거나, 시간 간격을 둔 적어도 둘 이상의 도메인 쿼리에 대한 응답 TTL들이 변하지 않으면 DNS 파밍된 것으로 결정할 수 있다.According to one embodiment, the DNS pharming occurs when the normal IP address included in the normal DNS cache information and the response IP address are different from each other, the country where the response IP address is located and the country where the domain is located are different, or two or more different The same response IP address is received in response to the domain query, or the response IP address to the query for the domain for inspection sent to the hidden flag DNS server and the IP address corresponding to the query for the domain for inspection are different, or the IP address corresponding to the domain query for inspection is different, or at least separated by a time interval. If the response TTLs for two or more domain queries do not change, it can be determined that DNS is farmed.

일 실시예에 따르면, 검사용 도메인 쿼리는 히든 플래그 DNS 서버로만 전송되는 것일 수 있다.According to one embodiment, the domain query for inspection may be transmitted only to the hidden flag DNS server.

본 발명의 다른 실시예에 따른 컴퓨팅 디바이스는, 파밍 DNS를 분석하기 위한 컴퓨팅 디바이스로서, 메모리; 단말로부터 인터넷망으로 전달된 하나 이상의 도메인 쿼리에 대한 응답을 수신하는 트랜시버; 및 응답에 포함된 응답 IP 어드레스와 응답 TTL에 기반하여 DNS 파밍 여부를 결정하는 프로세서를 포함한다.A computing device according to another embodiment of the present invention is a computing device for analyzing pharming DNS, comprising: memory; A transceiver that receives a response to one or more domain queries transmitted from the terminal to the Internet network; and a processor that determines whether to do DNS farming based on the response IP address and response TTL included in the response.

일 실시예에 따르면, 상기 DNS 파밍은 정상적인 DNS 캐시 정보에 포함된 정상 IP 어드레스와 상기 응답 IP 어드레스를 비교하는 제1 프로세스, 응답 IP 어드레스가 위치하는 국가와 도메인이 위차한 국가를 비교하는 제2 프로세스, 2 이상의 서로 다른 도메인 쿼리에 대한 응답으로 동일한 응답 IP 어드레스가 수신되는 지 확인하는 제3 프로세스, 히든 플래그(hidden flag) DNS 서버로 전송된 검사용 도멩인 쿼리에 대한 응답 IP 어드레스와 상기 검사용 도메인 쿼리에 상응하는 IP 어드레스를 비교하는 제4 프로세스, 또는 시간 간격을 둔 적어도 둘 이상의 도메인 쿼리에 대한 응답 TTL들을 비교하는 제5 프로세스 중 적어도 일부에 기반하여 결정되는 것일 수 있다.According to one embodiment, the DNS pharming includes a first process of comparing the response IP address with a normal IP address included in normal DNS cache information, and a second process of comparing the country where the response IP address is located and the country where the domain is located. A third process that verifies that the same response IP address is received in response to two or more different domain queries, a hidden flag is sent to the DNS server for checking the response IP address for the domain query and said checking. It may be determined based on at least part of a fourth process that compares IP addresses corresponding to domain queries, or a fifth process that compares response TTLs to at least two domain queries separated by time.

일 실시예에 따르면, 상기 DNS 파밍은 정상적인 DNS 캐시 정보에 포함된 정상 IP 어드레스와 응답 IP 어드레스가 서로 다르거나, 응답 IP 어드레스가 위치한 국가와 도메인 이 위치한 국가가 서로 다르거나, 2 이상의 서로 다른 도메인 쿼리에 대한 응답으로 동일한 응답 IP 어드레스가 수신되거나, 히든 플래그 DNS 서버로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 검사용 도메인 쿼리에 상응하는 IP 어드레스가 서로 다르거나, 시간 간격을 둔 적어도 둘 이상의 도메인 쿼리에 대한 응답 TTL들이 변하지 않으면, DNS 파밍된 것으로 결정하는 것일 수 있다.According to one embodiment, the DNS pharming occurs when the normal IP address included in normal DNS cache information is different from the response IP address, the country where the response IP address is located is different from the country where the domain is located, or two or more different domains. The same response IP address is received in response to the query, or the response IP address to the query for the domain for inspection sent to the hidden flag DNS server and the IP address corresponding to the query for the domain for inspection are different, or at least two with a time interval If the response TTLs for the above domain queries do not change, it may be determined that DNS is farmed.

일 실시예에 따르면, 검사용 DNS 쿼리는 히든 플래그 DNS 서버로만 전송될 수 있다. According to one embodiment, DNS queries for inspection may be sent only to hidden flag DNS servers.

본 발명의 일 실시예에 따른 파밍 DNS 분석 방법 및 컴퓨팅 디바이스의 효과에 대해 설명하면 다음과 같다.The effects of the pharming DNS analysis method and computing device according to an embodiment of the present invention will be described as follows.

본 발명은 가짜 DNS 서버와 통신하는 트래픽을 분석하여 공격에 사용되는 DNS 서버의 상태, 가짜 DNS 서버와 통신하는 비정상적인 단말의 수 및 공격에 동원되는 악성코드의 종류 등을 사전에 파악함에 따라 인터넷망을 보호하며 대규모 단말의 보안사고를 미연에 예방할 수 있다.The present invention analyzes traffic communicating with a fake DNS server and determines in advance the status of the DNS server used in the attack, the number of abnormal terminals communicating with the fake DNS server, and the type of malicious code used in the attack, thereby It can protect and prevent security incidents in large-scale terminals.

본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects that can be obtained from the present invention are not limited to the effects mentioned above, and other effects not mentioned can be clearly understood by those skilled in the art from the description below. .

본 발명에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부 도면은 본 발명에 대한 실시예를 제공하고, 상세한 설명과 함께 본 발명의 기술적 특징을 설명한다.
도 1은 본 발명의 일 실시예에 따른 컴퓨팅 디바이스의 블록도이다.
도 2는 본 발명의 일 실시예에 따른 DNS 분석 방법의 순서도이다.The accompanying drawings, which are included as part of the detailed description to aid understanding of the present invention, provide embodiments of the present invention, and together with the detailed description, explain technical features of the present invention.
1 is a block diagram of a computing device according to one embodiment of the present invention.
Figure 2 is a flowchart of a DNS analysis method according to an embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명에 개시된 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다. 또한, 본 발명에 개시된 실시예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명에 개시된 실시예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 발명에 개시된 실시예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 발명에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. Hereinafter, embodiments disclosed in the present invention will be described in detail with reference to the accompanying drawings. However, identical or similar components will be assigned the same reference numbers regardless of reference numerals, and duplicate descriptions thereof will be omitted. The suffixes “module” and “part” for components used in the following description are given or used interchangeably only for the ease of preparing the specification, and do not have distinct meanings or roles in themselves. Additionally, in describing the embodiments disclosed in the present invention, if it is determined that detailed descriptions of related known technologies may obscure the gist of the embodiments disclosed in the present invention, the detailed descriptions will be omitted. In addition, the attached drawings are only for easy understanding of the embodiments disclosed in the present invention, and the technical idea disclosed in the present invention is not limited by the attached drawings, and all changes included in the spirit and technical scope of the present invention are not limited. , should be understood to include equivalents or substitutes.

제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.Terms containing ordinal numbers, such as first, second, etc., may be used to describe various components, but the components are not limited by the terms. The above terms are used only for the purpose of distinguishing one component from another.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.When a component is said to be "connected" or "connected" to another component, it is understood that it may be directly connected to or connected to the other component, but that other components may exist in between. It should be. On the other hand, when it is mentioned that a component is “directly connected” or “directly connected” to another component, it should be understood that there are no other components in between.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.Singular expressions include plural expressions unless the context clearly dictates otherwise.

본 출원에서, "포함한다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.In this application, terms such as “comprise” or “have” are intended to designate the presence of features, numbers, steps, operations, components, parts, or combinations thereof described in the specification, but are not intended to indicate the presence of one or more other features. It should be understood that this does not exclude in advance the possibility of the existence or addition of elements, numbers, steps, operations, components, parts, or combinations thereof.

용어 "파밍 DNS(Pharming DNS)"는 악성 코드 및 해킹을 목적으로 준비된 가짜 서버로 접속을 유도하기 위한 비정상 DNS 서버를 칭한다. 파밍 DNS는 단말(예를 들어, PC, 스마트폰, 공유기, IoT 등)의 주요 정보를 탈취하거나 다른 단말의 해킹을 위한 수단으로 사용되거나, DDoS 와 같이 서비스나 네트워크를 공격하기 위한 수단으로 사용된다.The term "Pharming DNS" refers to an abnormal DNS server designed to direct connections to fake servers prepared for malicious code and hacking purposes. Pharming DNS is used as a means to steal key information from terminals (e.g., PCs, smartphones, routers, IoT, etc.), hack other terminals, or attack services or networks such as DDoS. .

본 발명은 상술한 기술적 과제를 해결하기 위한 것으로, 인터넷망에서 DNS 파밍을 방지하기 위한 DNS 분석 방법 및 그를 위한 컴퓨팅 디바이스에 관한 것이다. The present invention is intended to solve the above-mentioned technical problems and relates to a DNS analysis method for preventing DNS pharming in an Internet network and a computing device therefor.

도 1은 본 발명의 일 실시예에 따른 컴퓨팅 디바이스의 블록도이다.1 is a block diagram of a computing device according to one embodiment of the present invention.

도 1을 참조하면, 컴퓨팅 디바이스(1)는 메모리(10), 트랜시버(20) 및 프로세서(30)를 포함한다. Referring to FIG. 1 , computing device 1 includes memory 10, transceiver 20, and processor 30.

메모리(10)는 프로세서와 연결될 수 있고, 다양한 형태의 데이터, 신호, 메?, 정보, 프로그램, 코드 또는 명령을 저장할 수 있다. 메모리는 ROM, RAM, EPROM, 플래시 메모리, 하드 드라이브, 레지스터, 캐쉬 메모리, 컴퓨터 판독 저장 매체 및/또는 이들의 조합으로 구성될 수 있다. 메모리는 프로세서의 내부 및/또는 외부에 위치할 수 있다. 또한 메모리는 유선 또는 무선 연결과 같은 다양한 기술을 통해 프로세서와 연결될 수 잇다.The memory 10 may be connected to a processor and may store various types of data, signals, messages, information, programs, codes, or instructions. Memory may consist of ROM, RAM, EPROM, flash memory, hard drives, registers, cache memory, computer readable storage media, and/or combinations thereof. Memory may be located internal and/or external to the processor. Additionally, memory can be connected to the processor through various technologies, such as wired or wireless connections.

트랜시버(20)는 다른 장치에게 사용자 데이터, 제어 정보, 무선 신호/채널 등을 전송하거나 수신할 수 있다. 예를 들어, 트랜시버는 프로세서와 연결될 수 있고, 무선 신호를 송수신할 수 있다. 예를 들어, 프로세서는 트랜시버가 다른 장치에게 사용자 데이터, 제어 정보 또는 무선 신호를 전송하도록 제어할 수 있다. 또한, 프로세서는 트랜시버가 다른 장치로부터 사용자 데이터, 제어 정보 또는 무선 신호를 수신하도록 제어할 수 있다. 또한, 트랜시버는 안테나와 연결될 수 있고, 트랜시버는 안테나를 통해 사용자 데이터, 제어 정보, 무선 신호/채널 등을 송수신하도록 설정될 수 있다.The transceiver 20 can transmit or receive user data, control information, wireless signals/channels, etc. to other devices. For example, a transceiver can be connected to a processor and transmit and receive wireless signals. For example, the processor may control the transceiver to transmit user data, control information, or wireless signals to another device. Additionally, the processor may control the transceiver to receive user data, control information, or wireless signals from another device. Additionally, the transceiver may be connected to an antenna, and the transceiver may be set to transmit and receive user data, control information, wireless signals/channels, etc. through the antenna.

프로세서(30)는 컨트롤러, 마이크로 컨트롤러, 마이크로 프로세서 또는 마이크로 컴퓨터로 지칭될 수 있다. 프로세서는 하드웨어, 펌웨어, 소프트웨어, 또는 이들의 조합에 의해 구현될 수 있다. 일 예로, ASIC(Application Specific Integrated Circuit), DSP(Digital Siganl Processor), DSPD(Digital Signal Processing Device), PLD(Programmable Logic Device) 또는 FPGA(Field Programmable Gate Arrays)가 프로세서에 포함될 수 있다. 본 발명의 다양한 실시예에 따른 방법들은 펌웨어 또는 소프트웨어를 사용하여 구현될 수 있고, 펌웨어 또는 소프트웨어는 모듈, 절차, 기능 등을 포함하도록 구현될 수 있다. 본 발명의 다양한 실시예에 따른 방법을 수행하도록 설정된 펌웨어 또는 소프트웨어는 프로세서에 포함되거나 메모리에 저장되어 프로세서에 의해 구동될 수 있다.Processor 30 may be referred to as a controller, microcontroller, microprocessor, or microcomputer. A processor may be implemented by hardware, firmware, software, or a combination thereof. For example, an Application Specific Integrated Circuit (ASIC), Digital Signal Processor (DSP), Digital Signal Processing Device (DSPD), Programmable Logic Device (PLD), or Field Programmable Gate Arrays (FPGA) may be included in the processor. Methods according to various embodiments of the present invention may be implemented using firmware or software, and the firmware or software may be implemented to include modules, procedures, functions, etc. Firmware or software configured to perform methods according to various embodiments of the present invention may be included in the processor or stored in memory and driven by the processor.

본 발명의 일 실시예에 따른 컴퓨팅 디바이스(1)는 인터넷망에 포함된 것이며, 브라우저 단말이나 DNS 서버로 한정되지 않는다. 본 발명의 일 실시예에 따른 컴퓨팅 디바이스(1)는 상술한 메모리, 트랜시버 및 프로세서를 이용하여 이하의 파밍 DNS를 분석하는 방법을 실현할 수 있으며, 도 2를 참조하여 설명한다.The computing device 1 according to an embodiment of the present invention is included in the Internet network and is not limited to a browser terminal or DNS server. The computing device 1 according to an embodiment of the present invention can implement the following method of analyzing pharming DNS using the memory, transceiver, and processor described above, which will be described with reference to FIG. 2.

도 2는 본 발명의 일 실시예에 따른 DNS 분석 방법의 순서도이다.Figure 2 is a flowchart of a DNS analysis method according to an embodiment of the present invention.

도 2를 참조하면, 단말(2)로부터 인터넷망으로 전달된 하나 이상의 도메인 쿼리에 대한 응답을 수신할 수 있다(S110). Referring to FIG. 2, a response to one or more domain queries transmitted from the terminal 2 to the Internet network can be received (S110).

여기서, 도메인 쿼리는 서비스 서버(4a)(예를 들어, 웹 서버)의 도메인 이름에 대한 실제 IP 어드레스를 파악하기 위해서, 게이트웨이를 거쳐 DNS 서버(3a)로 전송되는 IP 어드레스의 요청이다. 그러면, DNS 서버(3a)는 해당 도메인 네임에 해당하는 IP 어드레스를 파악하여 도메인 쿼리를 전송한 단말(2)로 전달한다. 이후에 단말(2)은 파악된 IP 어드레스를 이용하여 게이트웨이를 거쳐 서비스 서버(4a)로 TCP/IP 프로토콜에 의한 데이터 전송을 요청할 수 있다. 즉, 도메인 쿼리에 대한 응답은 IP 어드레스를 포함할 수 있다. Here, a domain query is a request for an IP address transmitted to the DNS server 3a through a gateway in order to determine the actual IP address of the domain name of the service server 4a (eg, web server). Then, the DNS server 3a determines the IP address corresponding to the domain name and delivers it to the terminal 2 that sent the domain query. Afterwards, the terminal 2 can request data transmission using the TCP/IP protocol to the service server 4a through the gateway using the identified IP address. That is, a response to a domain query may include an IP address.

한편, 상기 응답은 TTL(Time to Live) 값을 더 포함할 수 있다. TTL은 DNS 서버(3a)에 등록된 시간 값(예를 들어, 캐싱 유지 시간 값 1800 sec)으로서, 모든 도메인 정보에는 TTL 이 설정되어 있다. 정상적인 DNS 서버(3a)의 경우, TTL은 단말(2)에 의해 쿼리될 때마다 값이 감소하도록 설정된다.Meanwhile, the response may further include a Time to Live (TTL) value. TTL is a time value registered in the DNS server 3a (for example, caching maintenance time value 1800 sec), and TTL is set for all domain information. For a normal DNS server 3a, the TTL is set to decrease in value each time it is queried by the terminal 2.

컴퓨팅 디바이스(1)는 상기 응답에 포함된 응답 IP 어드레스와 응답 TTL에 기반하여 DNS 파밍 여부를 결정할 수 있다(S120). The computing device 1 may determine whether to do DNS farming based on the response IP address and response TTL included in the response (S120).

여기서, 응답 IP 어드레스는 응답에 포함된 IP 어드레스를 포함하며, 응답을 전송하는 DNS 서버가 정상적인 DNS 서버(3a)라면 정상 IP 어드레스일 것이고, 가짜 DNS 서버(3b)라면 가짜 IP 어드레스일 것이다. 즉, 응답 어드레스는 DNS 파밍 여부에 따라 정상 IP 어드레스와 가짜 IP 어드레스로 구분될 수 있다. 만약 단말(2)이 가짜 IP 어드레스를 수신받아 인터넷망과 접속하는 경우, 단말(2)은 정삭적인 서비스 서버(4a)가 아닌 다른 가짜 서비스 서버(4b)와 접속하게 된다.Here, the response IP address includes the IP address included in the response. If the DNS server transmitting the response is a normal DNS server 3a, it will be a normal IP address, and if the DNS server transmitting the response is a normal DNS server 3b, it will be a fake IP address. In other words, the response address can be divided into a normal IP address and a fake IP address depending on whether DNS farming is performed. If the terminal 2 receives a fake IP address and connects to the Internet network, the terminal 2 connects to a fake service server 4b other than the normal service server 4a.

한편, 응답 TTL도 DNS 파밍 여부에 따라 정상 TTL과 가짜 TTL로 구분될 수 있다. 정상적인 경우 TTL은 시간의 흐름 및 단말(2)로부터 쿼리를 수신하는 것에 따라 값이 감소되도록 설정되어있다. 따라서, 정상 TTL은 시간의 경과 및 수신되는 쿼리의 수에 따라 값이 감소하는 것을 지칭하며, 가짜 TTL는 값이 일정하게 유지되며, 해킹 대상이 선택 또는 변경될 때 변하는 특징이 있다. Meanwhile, response TTL can also be divided into normal TTL and fake TTL depending on whether DNS farming is used. In normal cases, the TTL is set to decrease in value depending on the passage of time and receiving queries from the terminal 2. Therefore, the normal TTL refers to a value that decreases with the passage of time and the number of queries received, while the fake TTL has the characteristic that the value remains constant and changes when the hacking target is selected or changed.

컴퓨팅 디바이스(1)는 응답에 포함된 IP 어드레스와 TTL을 이용하여 DNS 파밍 여부를 결정할 수 있으며, 이하에서 DNS 파밍 여부를 결정하기 위한 프로세스들을 설명한다. 상기 DNS 파밍 여부를 결정하기 위한 프로세스들은 정상적인 DNS 캐시 정보에 포함된 정상 IP 어드레스와 상기 응답 IP 어드레스를 비교하는 제1 프로세스, 응답 IP 어드레스가 위치하는 국가와 도메인이 위치한 국가를 비교하는 제2 프로세스, 2 이상의 서로 다른 도메인 쿼리에 대한 응답으로 동일한 응답 IP 어드레스가 수신되는 지 확인하는 제3 프로세스, 히든 플래그(hidden flag) DNS 서버(3c)로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 상기 검사용 도메인 쿼리에 상응하는 IP 어드레스를 비교하는 제4 프로세스, 시간 간격을 둔 적어도 둘 이상의 도메인 쿼리에 대한 응답 TTL들을 비교하는 제5 프로세스를 포함한다. 컴퓨팅 디바이스(1)는 제1 내지 제5 프로세스 중 적어도 일부에 따라 DNS 파밍 여부를 결정할 수 있으며, 바람직하게는 제1 내지 제5 프로세스 중 적어도 셋, 보다 바람직하게는 적어도 넷, 특히 바람직하게는 제1 내지 제5 프로세스 모두에 기반하여 DNS 파밍 여부를 결정할 수 있다.The computing device 1 can determine whether to do DNS farming using the IP address and TTL included in the response, and processes for determining whether to do DNS farming are described below. The processes for determining whether to do DNS farming include a first process for comparing the response IP address with a normal IP address included in normal DNS cache information, and a second process for comparing the country where the response IP address is located and the country where the domain is located. , a third process to check whether the same response IP address is received in response to two or more different domain queries, a hidden flag, the response IP address to the domain query for inspection sent to the DNS server 3c and the above It includes a fourth process of comparing IP addresses corresponding to domain queries for inspection, and a fifth process of comparing response TTLs to at least two domain queries spaced apart in time. Computing device 1 may determine whether to do DNS farming according to at least some of the first to fifth processes, preferably at least three of the first to fifth processes, more preferably at least four, especially preferably the first process. Whether to perform DNS farming can be determined based on all of the first to fifth processes.

제1 프로세스는 DNS 캐시 정보에 기록된 정상 IP 어드레스와 응답에 포함된 IP 어드레스를 비교하여 서로 다른 경우 DNS 파밍된 것으로 결정하는 것이다. 제1 프로세서는 가장 기본적인 전체 조건이다. 다만, 최근에는 클라우드 서비스 등이 제공되기 때문에 단순히 제1 프로세스 만으로 DNS 파밍된 것으로 판단하는 것에 어려움이 있으며, 이하에서의 제2 내지 제5 프로세스, 특히 제2 내지 제4 프로세스가 요구된다.The first process is to compare the normal IP address recorded in the DNS cache information with the IP address included in the response and, if different, determine that DNS has been farmed. The first processor is the most basic overall condition. However, recently, as cloud services, etc. are provided, it is difficult to determine that DNS has been farmed simply through the first process, and the second to fifth processes below, especially the second to fourth processes, are required.

제2 프로세스는 응답 IP 가 위치하는 국가와 도메인이 위치한 국가를 비교하여 서로 다른 경우 DNS 파밍된 것으로 결정하는 것이다. 예를 들어, www.naver.com 이라는 도메인 네임에 대해 1.1.1.1 이라는 한국의 IP 어드레스가 있는데, 응답하는 IP 어드레스가 10.10.10.10 이고 이 IP의 위치가 중국에 있다고 가정하면, IP 어드레스를 통해 판단되는 소재지가 서로 달라, 이 경우 IP 어드레스에 기초하여 결정되는 국가를 비교하여 DNS 파밍된 것으로 결정할 수 있다.The second process is to compare the country where the response IP is located and the country where the domain is located, and if they are different, determine that the country is DNS farmed. For example, for the domain name www.naver.com, there is a Korean IP address called 1.1.1.1. Assuming that the responding IP address is 10.10.10.10 and the location of this IP is in China, the IP address is used to determine Since the locations are different, in this case, it can be determined that DNS farming has occurred by comparing the countries determined based on the IP address.

제3 프로세스는 2 이상의 서로 다른 도메인 쿼리에 대한 응답으로 동일한 응답 IP 어드레스가 수신되는 경우 DNS 파밍된 것으로 결정하는 것이다. 예를 들어, www.naver.com 으로 쿼리한 것과, daum.net 으로 쿼리한 것에 대하여 정상적인 경우라면, 서로 다른 IP 어드레스로 응답될 것이나 파밍된 경우 가짜 DNS 서버(3b)는 같은 IP 어드레스로 응답하게 되므로, 이 경우는 DNS 파밍된 것으로 결정될 수 있다.The third process is to determine that DNS is farmed when the same response IP address is received in response to two or more different domain queries. For example, in a normal case, a query to www.naver.com and a query to daum.net would be responded to with different IP addresses, but if pharmed, the fake DNS server (3b) would respond to the same IP address. Therefore, in this case, it can be determined that DNS is farmed.

제4 프로세스는 제3자가 쿼리할 이유가 없는 소정의 쿼리를 이용하는 것으로, 히든 플래그 DNS 서버(3c)로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 검사용 도메인 쿼리에 상응하는 IP 어드레스가 서로 다르면 DNS 파밍된 것으로 결정하는 것이다. 예를 들어, 히든 플래그 DNS 서버(3c)는 본 발명의 DNS 파밍 여부를 결정하기 위해서 미리 마련된 것으로서, 검사자 이외에는 쿼리하지 않는 것이다. 히든 플래그 DNS 서버(3c)로 쿼리하기 위해서는 미리 마련된 소정의 검사용 도메인 쿼리를 전송하여야하며, 이때 히든 플래그 DNS 서버(3c)는 소정의 검사용 도메인 쿼리에 상응하는 검사용 IP 어드레스를 응답하도록 설정되어 있다. 컴퓨팅 디바이스(1)는 상기 검사용 도메인 쿼리와 검사용 IP 어드레스에 관련된 정보를 저장하고 있으며, 클라우드나 캐시에 적용을 하지 않고 통신망 특정 내부에 위치하여 IP가 달라질 수 있는 원인이 없는 서버이므로, 검사용 도메인 쿼리에 응답하여 수신되어야 할 검사용 IP 어드레스와 실제로 수신된 IP 어드레스를 비교하여 DNS 파밍 여부를 결정할 수 있다. 만약, 검사용 도메인 쿼리에 대하여 미리 세팅된 검사용 IP 어드레스가 아닌 다른 IP 어드레스가 수신되면, 이 경우는 DNS 파밍된 것으로 결정될 수 있다.The fourth process uses a predetermined query that there is no reason for a third party to query, and the IP address in response to the query for the domain for inspection sent to the hidden flag DNS server 3c and the IP address corresponding to the query for the domain for inspection are each other. If it is different, it is determined that DNS has been farmed. For example, the hidden flag DNS server 3c is prepared in advance to determine whether to do DNS farming according to the present invention, and does not query anyone other than the inspector. In order to query the hidden flag DNS server (3c), a predetermined inspection domain query must be transmitted, and at this time, the hidden flag DNS server (3c) is set to respond with a inspection IP address corresponding to the predetermined inspection domain query. It is done. The computing device 1 stores information related to the domain query for inspection and the IP address for inspection, and is a server that does not apply to the cloud or cache and is located inside a specific communication network, so there is no cause for the IP to change, so it is a server for inspection. You can determine whether to do DNS farming by comparing the inspection IP address that should be received in response to the domain query and the IP address actually received. If an IP address other than the preset IP address for inspection is received in response to a domain query for inspection, this case may be determined to be DNS farming.

제5 프로세스는 DNS 프로토콜의 규칙에 관련된 것으로, TTL은 시간의 경과 및 쿼리의 수신에 응답하여 값이 감소하여야 할 것이나, 동일한 도메인 쿼리를 시간 간격을 두고 연속적으로 송신하였음에도 불구하고 인접하여 수신된 적어도 둘 이상의 응답 TTL들이 변하지 않으면, DNS 파밍된 것으로 결정된다. 예를 들어, 가짜 DNS 서버(3b)와 접속되는 경우, 일정 시간을 두고 쿼리하면 두 개의 응답 TTL의 값은 변하지 않을 것이나, 정상적인 DNS 서버(3a)와 접속된 경우, 수신되는 두 개의 응답 TTL의 값은 변할 것이다.The fifth process is related to the rules of the DNS protocol, and the TTL value should decrease in response to the passage of time and the reception of queries, but even if the same domain query is sent consecutively at intervals, at least If two or more response TTLs do not change, it is determined that DNS is farmed. For example, when connected to a fake DNS server (3b), the values of the two response TTLs will not change if queried over a certain period of time, but when connected to a normal DNS server (3a), the values of the two response TTLs received will not change. Values will change.

본 발명에 따르면, 인터넷망에 포함된 컴퓨팅 디바이스(1)는 비정상적인 파밍 DNS 를 정확하게 파악할 수 있고, 나아가 파밍 DNS 서버(3b)와 통신하는 단말(2) 트래픽을 분석하여 통신망의 위협 여부 및 공격 예측에 활용할 수 있다.According to the present invention, the computing device 1 included in the Internet network can accurately identify abnormal pharming DNS, and further analyzes the traffic of the terminal 2 communicating with the pharming DNS server 3b to determine whether there is a threat to the communication network and predict attacks. It can be used for.

전술한 본 발명은, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 매체의 예로는, HDD(Hard Disk Drive), SSD(Solid State Disk), SDD(Silicon Disk Drive), ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.The above-described present invention can be implemented as computer-readable code on a program-recorded medium. Computer-readable media includes all types of recording devices that store data that can be read by a computer system. Examples of computer-readable media include HDD (Hard Disk Drive), SSD (Solid State Disk), SDD (Silicon Disk Drive), ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage device, etc. It also includes those implemented in the form of carrier waves (e.g., transmission via the Internet). Accordingly, the above detailed description should not be construed as restrictive in all respects and should be considered illustrative. The scope of the present invention should be determined by reasonable interpretation of the appended claims, and all changes within the equivalent scope of the present invention are included in the scope of the present invention.

Claims (9)

인터넷망에 포함된 컴퓨팅 디바이스에 의한 파밍 DNS 분석 방법에 있어서,
단말로부터 인터넷망으로 전달된 하나 이상의 도메인 쿼리에 대한 응답을 수신하는 단계; 및
상기 응답에 포함된 응답 IP 어드레스 및 응답 TTL에 기반하여 DNS 파밍 여부를 결정하는 단계;
를 포함하고,
결정하는 단계에서, 상기 DNS 파밍은,
응답 IP 어드레스가 위치하는 국가와 도메인이 위치한 국가를 비교하는 제2 프로세스, 히든 플래그(hidden flag) DNS 서버로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 상기 검사용 도메인 쿼리에 상응하는 IP 어드레스를 비교하는 제4 프로세스 중 적어도 일부에 기반하여 결정되며,
응답 IP 어드레스가 위치한 국가와 도메인이 위치한 국가가 서로 다르거나, 히든 플래그 DNS 서버로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 검사용 도메인 쿼리에 상응하는 IP 어드레스가 서로 다르면 DNS 파밍된 것으로 결정하는 것인, DNS 분석 방법.
In the method of pharming DNS analysis by a computing device included in the Internet network,
Receiving a response to one or more domain queries transmitted from a terminal to an Internet network; and
determining whether to do DNS farming based on the response IP address and response TTL included in the response;
Including,
In the decision step, the DNS farming is,
A second process for comparing the country in which the response IP address is located and the country in which the domain is located, a hidden flag: a response IP address to a query for a domain for inspection sent to a DNS server and an IP address corresponding to the query for a domain for inspection is determined based on at least some of the fourth process of comparing,
If the country where the response IP address is located and the country where the domain is located are different, or if the response IP address to the inspection domain query sent to the hidden flag DNS server is different from the IP address corresponding to the inspection domain query, it is determined to be DNS farming. DNS analysis method.
 삭제delete 삭제delete 제1항에 있어서,
검사용 도메인 쿼리는 히든 플래그 DNS 서버로만 전송되는 것인, DNS 분석 방법.
According to paragraph 1,
A DNS analysis method in which domain queries for inspection are sent only to hidden flag DNS servers.
 파밍 DNS를 분석하기 위한 컴퓨팅 디바이스에 있어서,
메모리;
단말로부터 인터넷망으로 전달된 하나 이상의 도메인 쿼리에 대한 응답을 수신하는 트랜시버; 및
응답에 포함된 응답 IP 어드레스와 응답 TTL에 기반하여 DNS 파밍 여부를 결정하는 프로세서를 포함하고,
상기 DNS 파밍은,
응답 IP 어드레스가 위치하는 국가와 도메인이 위치한 국가를 비교하는 제2 프로세스, 히든 플래그(hidden flag) DNS 서버로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 상기 검사용 도메인 쿼리에 상응하는 IP 어드레스를 비교하는 제4 프로세스 중 적어도 일부에 기반하여 결정되며,
응답 IP 어드레스가 위치한 국가와 도메인이 위치한 국가가 서로 다르거나, 히든 플래그 DNS 서버로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 검사용 도메인 쿼리에 상응하는 IP 어드레스가 서로 다르면 DNS 파밍된 것으로 결정하는 것인, 컴퓨팅 디바이스.
In a computing device for analyzing pharming DNS,
Memory;
A transceiver that receives a response to one or more domain queries transmitted from the terminal to the Internet network; and
It includes a processor that determines whether to do DNS farming based on the response IP address and response TTL included in the response,
The DNS farming is
A second process for comparing the country in which the response IP address is located and the country in which the domain is located, a hidden flag: a response IP address to a query for a domain for inspection sent to a DNS server and an IP address corresponding to the query for a domain for inspection is determined based on at least some of the fourth process of comparing,
If the country where the response IP address is located and the country where the domain is located are different, or if the response IP address to the inspection domain query sent to the hidden flag DNS server is different from the IP address corresponding to the inspection domain query, it is determined to be DNS farming. A computing device that does something.
 삭제delete 삭제delete 제5항에 있어서,
검사용 DNS 쿼리는 히든 플래그 DNS 서버로만 전송되는 것인, 컴퓨팅 디바이스.
According to clause 5,
A computing device in which DNS queries for inspection are sent only to a hidden flag DNS server.
 DNS 분석 방법을 컴퓨터에서 실행하기 위한 프로그램이 기록된 컴퓨터로 판독가능한 기록매체에 있어서,
상기 DNS 분석 방법은, 단말로부터 인터넷망으로 전달된 하나 이상의 도메인 쿼리에 대한 응답을 수신하는 동작, 및 응답에 포함된 응답 IP 어드레스 및 응답 TTL에 기반하여 DNS 파밍 여부를 결정하는 동작을 포함하고,
상기 DNS 파밍은,
응답 IP 어드레스가 위치하는 국가와 도메인이 위치한 국가를 비교하는 제2 프로세스, 히든 플래그(hidden flag) DNS 서버로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 상기 검사용 도메인 쿼리에 상응하는 IP 어드레스를 비교하는 제4 프로세스 중 적어도 일부에 기반하여 결정되며,
응답 IP 어드레스가 위치한 국가와 도메인이 위치한 국가가 서로 다르거나, 히든 플래그 DNS 서버로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 검사용 도메인 쿼리에 상응하는 IP 어드레스가 서로 다르면 DNS 파밍된 것으로 결정하는 것인, 컴퓨터로 판독가능한 기록매체.In the computer-readable recording medium on which a program for executing a DNS analysis method on a computer is recorded,
The DNS analysis method includes receiving a response to one or more domain queries transmitted from a terminal to an Internet network, and determining whether to do DNS farming based on the response IP address and response TTL included in the response,
The DNS farming is
A second process for comparing the country in which the response IP address is located and the country in which the domain is located, a hidden flag: a response IP address to a query for a domain for inspection sent to a DNS server and an IP address corresponding to the query for a domain for inspection is determined based on at least some of the fourth process of comparing,
If the country where the response IP address is located and the country where the domain is located are different, or if the response IP address to the inspection domain query sent to the hidden flag DNS server is different from the IP address corresponding to the inspection domain query, it is determined to be DNS farming. A computer-readable recording medium.
KR1020210036398A 2021-03-22 2021-03-22 Pharming dns analysis method and computing device therefor KR102582837B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210036398A KR102582837B1 (en) 2021-03-22 2021-03-22 Pharming dns analysis method and computing device therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210036398A KR102582837B1 (en) 2021-03-22 2021-03-22 Pharming dns analysis method and computing device therefor

Publications (2)

Publication Number Publication Date
KR20220131600A KR20220131600A (en) 2022-09-29
KR102582837B1 true KR102582837B1 (en) 2023-09-25

Family

ID=83462109

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210036398A KR102582837B1 (en) 2021-03-22 2021-03-22 Pharming dns analysis method and computing device therefor

Country Status (1)

Country Link
KR (1) KR102582837B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116319113B (en) * 2023-05-23 2023-08-11 阿里云计算有限公司 Domain name resolution abnormality detection method and electronic equipment

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080060054A1 (en) * 2006-09-05 2008-03-06 Srivastava Manoj K Method and system for dns-based anti-pharming

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140035678A (en) * 2012-09-14 2014-03-24 한국전자통신연구원 Learning-based dns analyzer and analysis method
KR20180019457A (en) * 2016-08-16 2018-02-26 주식회사 케이티 Method for protecting attack of pharming based on change of domain name system address of access point

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080060054A1 (en) * 2006-09-05 2008-03-06 Srivastava Manoj K Method and system for dns-based anti-pharming

Also Published As

Publication number Publication date
KR20220131600A (en) 2022-09-29

Similar Documents

Publication Publication Date Title
US11108799B2 (en) Name translation monitoring
US11057422B2 (en) System and method for strategic anti-malware monitoring
CN110445770B (en) Network attack source positioning and protecting method, electronic equipment and computer storage medium
US10587647B1 (en) Technique for malware detection capability comparison of network security devices
KR102580898B1 (en) System and method for selectively collecting computer forensics data using DNS messages
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
CN104468632A (en) Loophole attack prevention method, device and system
CN109639705B (en) Cloud platform security detection method
US20210112093A1 (en) Measuring address resolution protocol spoofing success
WO2021067425A1 (en) In-line detection of algorithmically generated domains
KR102582837B1 (en) Pharming dns analysis method and computing device therefor
US10547638B1 (en) Detecting name resolution spoofing
KR101494329B1 (en) System and Method for detecting malignant process
KR100439170B1 (en) Attacker traceback method by using edge router's log information in the internet
KR20210089592A (en) METHOD FOR DETECTING DRDoS ATTACK, AND APPARATUSES PERFORMING THE SAME
Seo et al. Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling
US8572731B1 (en) Systems and methods for blocking a domain based on the internet protocol address serving the domain
US11683337B2 (en) Harvesting fully qualified domain names from malicious data packets
US11789743B2 (en) Host operating system identification using transport layer probe metadata and machine learning
Jeong et al. ASD: ARP spoofing detector using openwrt
CN113904843A (en) Method and device for analyzing abnormal DNS (Domain name Server) behaviors of terminal
Cao et al. Covert Channels in SDN: Leaking Out Information from Controllers to End Hosts
KR20110060859A (en) Unified security gateway device
US11451584B2 (en) Detecting a remote exploitation attack
CN117478417A (en) Malicious webpage interception system and method based on DNS

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant