KR20180005359A - Dns 주소의 변조 진단 방법 및 이를 위한 단말 장치 - Google Patents

Dns 주소의 변조 진단 방법 및 이를 위한 단말 장치 Download PDF

Info

Publication number
KR20180005359A
KR20180005359A KR1020160085315A KR20160085315A KR20180005359A KR 20180005359 A KR20180005359 A KR 20180005359A KR 1020160085315 A KR1020160085315 A KR 1020160085315A KR 20160085315 A KR20160085315 A KR 20160085315A KR 20180005359 A KR20180005359 A KR 20180005359A
Authority
KR
South Korea
Prior art keywords
domain information
dns
dns address
address
addresses
Prior art date
Application number
KR1020160085315A
Other languages
English (en)
Other versions
KR101874815B1 (ko
Inventor
조상현
강준용
Original Assignee
네이버 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 네이버 주식회사 filed Critical 네이버 주식회사
Priority to KR1020160085315A priority Critical patent/KR101874815B1/ko
Publication of KR20180005359A publication Critical patent/KR20180005359A/ko
Application granted granted Critical
Publication of KR101874815B1 publication Critical patent/KR101874815B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

DNS 주소 변조 검사의 수행을 위해 단말 장치 또는 공유기에 설정된 DNS 주소의 DNS 서버로 적어도 2개의 기 설정된 도메인 정보를 전송하는 단계; 적어도 2개의 기 설정된 도메인 정보에 해당하는 IP 주소들을 획득하는 단계; 및 획득한 IP 주소들 간의 대응 여부에 기초하여, DNS 주소의 변조 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 본 발명의 일 실시예에 따른 DNS 주소의 변조 진단 방법이 개시된다.

Description

DNS 주소의 변조 진단 방법 및 이를 위한 단말 장치{METHOD FOR EXAMINING CHANGE OF DNS ADDRESS AND TERMINAL APPARATUS FOR THE SAME}
본 발명은 보안 분야에 관한 것이다. 보다 구체적으로, 본 발명은 DNS 주소의 변조를 진단하여 단말 장치의 보안을 향상시키는 방법 및 장치에 관한 것이다.
최근, 컴퓨터 또는 공유기 등에 설정된 DNS(domain name system) 정보를 변조시켜, 주요 사이트에 대한 잘못된 응답으로 악성 코드 유포 및 피싱(fishing) 사이트로 유도하는 공격이 빈번하게 발생하고 있다.
컴퓨터에 저장된 호스트(host) 파일 자체에 대한 변조를 진단하는 것과, 호스트 파일에 대한 변조를 차단하는 방법은, 호스트 파일이 로컬에 저장된다는 점에서 비교적 간단하나, DNS 정보를 변조시켜 악의의 DNS 서버에 접속시키는 공격에 대해서는 아직까지 진단 방법이 제안되고 있지 않다.
본 발명의 일 실시예에 따른 DNS 주소의 변조 진단 방법 및 이를 위한 단말 장치는 간단한 방안으로 DNS 주소의 변조 여부를 진단하는 것을 목적으로 한다.
또한, 본 발명의 일 실시예에 따른 DNS 주소의 변조 진단 방법 및 이를 위한 단말 장치은 DNS 주소 변조 검사를 보다 정확하게 수행하는 것을 목적으로 한다.
본 발명의 일 실시예에 따른 DNS 주소의 변조 진단 방법은,
DNS 주소 변조 검사의 수행을 위해 단말 장치 또는 공유기에 설정된 DNS 주소의 DNS 서버로 적어도 2개의 기 설정된 도메인 정보를 전송하는 단계; 상기 적어도 2개의 기 설정된 도메인 정보에 해당하는 IP 주소들을 획득하는 단계; 및 상기 획득한 IP 주소들 간의 대응 여부에 기초하여, 상기 DNS 주소의 변조 여부를 판단하는 단계를 포함할 수 있다.
상기 DNS 주소의 변조 여부를 판단하는 단계는, 상기 획득한 IP 주소들이 동일한 경우, 상기 DNS 주소가 변조된 것으로 판단하는 단계를 포함할 수 있다.
상기 DNS 주소의 변조 여부를 판단하는 단계는, 상기 획득한 IP 주소들 각각에서 동일한 자리수에 위치하는 일정 개수 이상의 숫자가 서로 동일한 경우, 상기 DNS 주소가 변조된 것으로 판단하는 단계를 포함할 수 있다.
상기 DNS 주소의 변조 여부를 판단하는 단계는, 상기 획득한 IP 주소들 중 적어도 하나의 IP 주소가 블랙 리스트에 포함된 IP 주소에 대응하는 경우, 상기 DNS 주소가 변조된 것으로 판단하는 단계를 포함할 수 있다.
상기 DNS 주소의 변조 진단 방법은, 상기 DNS 주소가 변조된 것으로 판단된 경우, 상기 DNS 주소가 변조되었다는 것을 나타내는 메시지를 출력하는 단계를 더 포함할 수 있다.
상기 DNS 서버로 적어도 2개의 기 설정된 도메인 정보를 전송하는 단계는, 사용자로부터 임의의 도메인으로의 접속 요청이 수신되면, 상기 임의의 도메인에 접속하기 전에 상기 DNS 서버로 상기 적어도 2개의 기 설정된 도메인 정보를 전송하는 단계를 포함할 수 있다.
상기 DNS 서버로 적어도 2개의 기 설정된 도메인 정보를 전송하는 단계는, 이전의 DNS 주소 변조 검사를 수행한 이후, 소정 시간이 경과한 경우 자동적으로 상기 DNS 서버로 상기 적어도 2개의 기 설정된 도메인 정보를 전송하는 단계를 포함할 수 있다.
상기 단말 장치는, 상기 단말 장치에 설치된 프로그램의 제어에 따라 동작하되, 상기 프로그램이 실행됨에 따라 상기 DNS 주소 변조 검사를 수행할 수 있다.
상기 프로그램은, 브라우져 어플리케이션, 툴 바 어플리케이션 또는 변조 검사 어플리케이션으로 구현될 수 있다.
상기 단말 장치에는 복수의 기 설정된 도메인 정보가 저장되되, 상기 DNS 서버로 적어도 2개의 기 설정된 도메인 정보를 전송하는 단계는, 상기 복수의 기 설정된 도메인 정보 중에서 상기 적어도 2개의 기 설정된 도메인 정보를 랜덤으로 선택하는 단계를 포함할 수 있다.
상기 단말 장치에는 복수의 기 설정된 도메인 정보가 저장되되, 상기 DNS 주소의 변조 진단 방법은, 상기 복수의 기 설정된 도메인 정보에 기초하여, 소정 시간 간격마다 상기 DNS 서버로 전송할 적어도 2개의 기 설정된 도메인 정보를 변경하는 단계를 더 포함할 수 있다.
상기 단말 장치에는 복수의 기 설정된 도메인 정보가 저장되되, 상기 DNS 주소의 변조 진단 방법은, 상기 복수의 기 설정된 도메인 정보에 기초하여, DNS 주소 변조 검사가 수행될 때마다 상기 DNS 서버로 전송할 적어도 2개의 기 설정된 도메인 정보를 변경하는 단계를 더 포함할 수 있다.
상기 IP 주소들을 획득하는 단계는, 상기 DNS 서버로부터 상기 적어도 2개의 기 설정된 도메인 정보에 해당하는 IP 주소들을 수신하는 단계를 포함할 수 있다.
상기 IP 주소들을 획득하는 단계는, 상기 DNS 서버에 의해 라우팅되는 호스트로 핑(ping) 테스트를 하여 상기 적어도 2개의 기 설정된 도메인 정보에 해당하는 IP 주소들을 획득하는 단계를 포함할 수 있다.
본 발명의 다른 실시예에 따른 단말 장치는,
적어도 2개의 기 설정된 도메인 정보를 저장하는 메모리; DNS 주소 변조 검사의 수행을 위해 단말 장치 또는 공유기에 설정된 DNS 주소의 DNS 서버로 적어도 2개의 기 설정된 도메인 정보를 전송하는 통신부; 및 상기 적어도 2개의 기 설정된 도메인 정보에 해당하는 IP 주소들을 획득하고, 상기 획득한 IP 주소들의 대응 여부에 기초하여, 상기 DNS 주소의 변조 여부를 판단하는 제어부를 포함할 수 있다.
본 발명의 일 실시예에 따른 DNS 주소의 변조 진단 방법 및 이를 위한 단말 장치가 달성할 수 있는 일부의 효과는 다음과 같다.
i) 간단한 방안으로 DNS 주소의 변조 여부를 진단할 수 있다.
ii) DNS 주소 변조 검사를 보다 정확하게 수행할 수 있다.
다만, 본 발명의 일 실시예에 따른 DNS 주소의 변조 진단 방법 및 이를 위한 단말 장치가 달성할 수 있는 효과는 이상에서 언급한 것들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 DNS 주소의 변조 진단 방법이 수행되는 환경을 나타내는 예시적인 도면이다.
도 2는 본 발명의 일 실시예에 따른 DNS 주소의 변조 진단 방법을 설명하기 위한 순서도이다.
도 3은 사용자 단말이 적어도 2개의 기 설정된 도메인 정보에 대응하여 획득한 IP 주소들을 나타내는 도면이다.
도 4는 블랙 리스트를 나타내는 예시적인 도면이다.
도 5는 사용자 단말에 저장된 기 설정된 도메인 정보를 나타내는 예시적인 도면이다.
도 6은 본 발명의 일 실시예에 따른 단말 장치의 구성을 나타내는 블록도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고, 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명은 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제 1, 제 2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.
또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.
또한, 본 명세서에서 '~부(유닛)', '모듈' 등으로 표현되는 구성요소는 2개 이상의 구성요소가 하나의 구성요소로 합쳐지거나 또는 하나의 구성요소가 보다 세분화된 기능별로 2개 이상으로 분화될 수도 있다. 또한, 이하에서 설명할 구성요소 각각은 자신이 담당하는 주기능 이외에도 다른 구성요소가 담당하는 기능 중 일부 또는 전부의 기능을 추가적으로 수행할 수도 있으며, 구성요소 각각이 담당하는 주기능 중 일부 기능이 다른 구성요소에 의해 전담되어 수행될 수도 있음은 물론이다.
이하에서는, 도면을 참조하여 본 발명의 기술적 사상에 따른 예시적인 실시예들에 대해 설명한다.
도 1은 본 발명의 일 실시예에 따른 DNS 주소의 변조 진단 방법이 수행되는 환경을 나타내는 예시적인 도면이다.
사용자 단말(100)은 네트워크(10)를 통해 소정 도메인에 대응하는 IP 주소를 갖는 호스트(또는, 웹 서버)(30)에 접속한다. 사용자 단말(100)은 유선 또는 무선 공유기(200)를 통해 네트워크(10)에 연결될 수도 있다. 본 발명에서 사용자 단말(100)은 네트워크 접속 기능을 갖는 데스크탑 PC, 노트북, 스마트폰, PDA, 스마트워치 등을 포함할 수 있으나, 이에 한정되는 것은 아니다. 또한, 네트워크(10)는 유선 네트워크와 무선 네트워크를 포함할 수 있으며, 구체적으로, 근거리 네트워크(LAN: Local Area Network), 도시권 네트워크(MAN: Metropolitan Area Network), 광역 네트워크(WAN: Wide Area Network) 등의 다양한 네트워크를 포함할 수 있다. 또한, 네트워크(10)는 공지의 월드 와이드 웹(WWW: World Wide Web)을 포함할 수도 있다. 그러나, 본 발명에 따른 네트워크(10)는 상기 열거된 네트워크에 국한되지 않고, 공지의 무선 데이터 네트워크나 공지의 전화 네트워크, 공지의 유무선 텔레비전 네트워크를 적어도 일부로 포함할 수도 있다.
사용자 단말(100)은 사용자가 웹 브라우져의 주소창에 도메인을 입력하거나, 사용자가 도메인이 연결된 링크 메뉴를 선택하는 경우, 사용자 단말(100) 또는 공유기(200)에 설정된 DNS 주소에 따라 DNS 서버(20)에 접속하여 도메인에 대응하는 IP 주소를 획득하고, 획득한 IP 주소에 기초하여 호스트(30)에 접속한다.
DNS 서버(20)는 여러 도메인과, 각 도메인에 대응하는 IP 주소를 저장하고 있을 수 있으며, 사용자 단말(100)의 요청에 따라 IP 주소를 사용자 단말(100)로 반환한다.
앞서 설명한 바와 같이, 사용자 단말(100)이나 공유기(200)에 설정된 DNS 주소가 해킹 등에 의해 변조되는 경우, 사용자 단말(100)은 변조된 DNS 주소에 대응하는 서버에 접속하게 된다. 해당 서버는 해킹 프로그램이 저장된 호스트의 IP 주소나 사용자의 피싱을 목적으로 하는 호스트의 IP 주소를 사용자 단말(100)로 전송함으로써, 사용자에게 큰 피해를 줄 수 있다.
본 발명의 일 실시예에서는 사용자 단말(100)이나 공유기(200)에 설정된 DNS 주소에 변조가 발생하였는지를 감지할 수 있는데, 일 실시예에 따른 DNS 주소의 변조 감지 방법에 대해서는 도 2 이하를 참조하여 상세히 설명한다.
도 2는 본 발명의 일 실시예에 따른 DNS 주소의 변조 진단 방법을 설명하기 위한 순서도이다.
S210 단계에서, 사용자 단말(100)은 DNS 주소 변조 검사의 수행을 위해 사용자 단말(100) 또는 공유기(200)에 설정된 DNS 주소의 DNS 서버(20)로 적어도 2개의 기 설정된 도메인 정보를 전송한다.
적어도 2개의 기 설정된 도메인 정보는 예를 들어, 공신력이 있는 은행, 대기업, 공기업, 정부 기관 등의 도메인 정보로서, 일반적으로 신뢰성이 인정되는 호스트의 도메인 정보를 포함할 수 있다. 상기 적어도 2개의 기 설정된 도메인 정보는 서로 간에 상이한 도메인 정보일 수 있다.
일반적으로, 상기 적어도 2개의 기 설정된 도메인 정보가 사용자 단말(100)의 호스트 파일 내에 기록되어 있는 경우에는, 호스트 파일에 등록된 IP 주소에 따라 호스트로 접속하게 되지만, 본 발명의 실시예에 따른 사용자 단말(100)은 상기 적어도 2개의 기 설정된 도메인 정보가 호스트 파일에 기록되어 있더라도 DNS 서버(20)로 도메인 정보를 전송할 수 있다.
S220 단계에서, 사용자 단말(100)은 적어도 2개의 기 설정된 도메인 정보에 해당하는 IP(internet protocol) 주소들을 획득한다. IP 주소는 복수의 자리수의 숫자로 이루어진다.
IP 주소들을 획득하는 일 방법으로서, 사용자 단말(100)은 2개의 기 설정된 도메인 정보에 해당하는 IP 주소들을 DNS 서버(20)로부터 직접 수신 및 해독하여 획득할 수 있다.
다만, 이 방법에 의하면, 사용자 단말(100)에 악성 코드 등이 설치되어 사용자 단말(100)이 2개의 기 설정된 도메인 정보에 해당하는 IP 주소들을 정확하게 해독하지 못하는 경우가 있을 수 있다. 따라서, 다른 방법으로는, 사용자 단말(100)은 2개의 기 설정된 도메인 정보에 따라 DNS 서버(20)에 의해 라우팅되는 호스트로 접속하고, 직접 핑(ping) 테스트를 하여 응답 패킷을 통해 호스트의 IP 주소들을 획득할 수도 있다.
S230 단계에서, 사용자 단말(100)은 상기 획득한 IP 주소들에 기초하여 DNS 주소의 변조 여부를 판단한다. 예를 들어, 사용자 단말(100)은 획득한 IP 주소들이 서로 간에 동일하거나, 상당히 유사한 경우, DNS 주소에 변조가 발생한 것이라고 판단할 수 있다. 구현예에 따라서, 사용자 단말(100)은 적어도 2개의 기 설정된 도메인 정보에 해당하는 IP 주소들을 획득하고, 획득한 IP 주소들 중 적어도 2개의 IP 주소들이 서로 간에 동일하거나, 상당히 유사한 경우, DNS 주소에 변조가 발생한 것이라고 판단할 수 있다.
일반적으로, 변조된 DNS 주소에 대응하는 악성 서버는 어떠한 도메인 정보가 수신되더라도, 해킹 등을 위한 호스트의 IP 주소를 반환하므로, 본 발명의 일 실시예에서는 악성 서버가 반환하는 IP 주소는 거의 동일하다는 것에 착안하여 DNS 주소에 변조가 발생하였는지를 판단하는 것이다.
DNS 주소에 변조가 발생한 것으로 판단한 사용자 단말(100)은 DNS 주소가 변조되었다는 것을 나타내는 메시지를 출력하여 사용자에게 알리고, 구현예에 따라서는 변조된 DNS 주소를 변조 전의 DNS 주소로 변경하거나, 기 설정된 외부 호스트(예를 들어, 보안 서버)에 관련 정보를 전송할 수도 있다.
도 3은 사용자 단말이 적어도 2개의 기 설정된 도메인 정보에 대응하여 획득한 IP 주소들을 나타내는 도면이다.
도 3a는 사용자 단말(100)이 기 설정된 도메인 정보로서, www.abc.com과 www.efg.com을 DNS 서버(20)로 전송한 경우이며, 이 때, 서로 다른 도메인 정보를 DNS 서버로 전송하였음에도 획득되는 IP 주소가 모두 1.2.3.4으로 동일하므로 사용자 단말(100)은 DNS 주소에 변조가 발생한 것으로 판단할 수 있다.
또한, 도 3b에 도시된 바와 같이, www.abc.com에 대응하는 IP 주소가 1.2.3.4이고, www.efg.com에 대응하는 IP 주소가 1.2.3.6인 경우, 두 IP 주소가 완전히 동일하지 않더라도 예를 들어, 다른 숫자는 모두 동일하나 끝자리의 숫자만이 상이한 경우에는 DNS 주소에 변조가 발생하였다고 판단할 수 있다. 즉, 다시 말하면, 사용자 단말(100)은 획득한 IP 주소들 각각에서 동일한 자리수에 위치하는 일정 개수(예를 들어, 10개) 이상의 숫자가 서로 동일한 경우, DNS 주소가 변조된 것으로 판단할 수 있는 것이다.
만약, 사용자 단말(100)이 획득한 IP 주소들이 서로 간에 동일하거나 유사하지 않더라도, 적어도 하나의 IP 주소가 사용자 단말(100)에 저장된 블랙 리스트에 포함된 IP 주소와 동일 또는 유사한 경우 DNS 주소에 변조가 발생한 것으로 판단할 수도 있다.
도 4는 블랙 리스트(400)를 나타내는 예시적인 도면으로서, 도 4에 도시된 바와 같이, 사용자 단말(100)은 악성의 IP 주소를 미리 저장하고 있을 수 있으며, 이들 IP 주소들에 대응하는 IP 주소가 DNS 서버(20)로부터 획득되는 경우, DNS 주소에 변조가 발생한 것으로 판단할 수 있는 것이다. 도 4에 도시된 블랙 리스트(400)는 보안 서버 등과의 통신 등을 통해 갱신될 수 있다.
한편, 본 발명의 사용자 단말(100)은 사용자 단말(100)에 설치된 프로그램에 따라 DNS 주소 변조 검사를 수행할 수 있는데, 상기 프로그램은 브라우져(browser) 어플리케이션, 툴 바(tool bar) 어플리케이션 또는 독립적인 변조 검사 어플리케이션으로 구현될 수 있다. 상기 사용자 단말(100)에 설치된 프로그램이 실행됨에 따라 도 2에 도시된 DNS 주소 변조 검사가 수행될 수 있다.
사용자 단말(100)은 사용자로부터 임의의 도메인에 대한 접속 요청이 수신되는 경우, 해당 도메인에 접속하기 전에 상기 적어도 2개의 기 설정된 도메인 정보를 DNS 서버(20)로 전송함으로써 DNS 주소 변조 검사를 수행할 수 있다. 즉, 사용자에게 불의의 피해를 입하지 않기 위해 미리 DNS 주소 변조 검사를 수행하는 것이다.
또한, 사용자 단말(100)은 이전의 DNS 주소 변조 검사를 수행한 이후, 소정 시간(예를 들어, 1달)이 경과한 경우, 자동적으로 상기 적어도 2개의 기 설정된 도메인 정보를 DNS 서버(20)로 전송하여 DNS 주소 변조 검사를 수행할 수도 있다.
한편, 본 발명의 일 실시예에 따른 사용자 단말(100)이 DNS 서버(20)로 전송하는 기 설정된 도메인 정보가 항상 동일한 경우, 악성 서버를 이용하는 해커는 본 발명에 따른 DNS 주소 변조 검사를 쉽게 악용할 수도 있다. 예를 들어, 악성 서버는 사용자 단말(100)이 전송하는 항상 동일한 도메인 정보에 대해서는 올바른 IP 주소를 반환하고, 그 외에 도메인 정보에 대해서는 악성 호스트의 IP 주소를 반환할 수 있는 것이다.
이를 방지하기 위하여, 본 발명의 일 실시예에 따른 사용자 단말(100)은 도 5에 도시된 바와 같이, 복수의 도메인 정보(500)를 미리 저장해 놓고, 이들 도메인 정보들 중 DNS 서버(20)로 전송할 도메인 정보를 가변적으로 선택할 수도 있다.
일 방법으로, 사용자 단말(100)은 DNS 주소 변조 검사를 수행할 때마다 복수의 도메인 정보(500) 중에서 적어도 2개의 도메인 정보를 랜덤으로 선택하여 DNS 서버(20)로 전송할 수 있다.
다른 방법으로, 사용자 단말(100)은 복수의 도메인 정보(500) 중에서 소정 시간 간격마다 DNS 서버(20)로 전송할 적어도 2개의 기 설정된 도메인 정보를 변경할 수 있다. 예를 들어, 도 5에 도시된 복수의 도메인 정보(500) 중 DNS 주소 변조 검사를 위해 DNS 서버(20)로 www.aaa.com과 www.bbb.com을 전송하였다면, 소정 시간 이후에 검사를 할 때에는 www.ccc.com과 www.ddd.com을 DNS 서버(20)로 전송하는 것이다.
또 다른 방법으로, 사용자 단말(100)은 DNS 주소 변조 검사가 수행될 때마다 적어도 2개의 도메인 정보를 변경하여 DNS 서버(20)로 전송할 수 있다.
상기 방법들에 따라, 해커는 사용자 단말(100)이 DNS 서버(20)로 전송하는 도메인을 예측할 수 없게 되므로, DNS 주소 변조 검사의 정확성은 더 향상될 수 있다.
도 6은 본 발명의 일 실시예에 따른 사용자 단말(600)의 구성을 나타내는 블록도이다.
도 6을 참조하면, 사용자 단말(600)은 메모리(610), 통신부(630), 제어부(650) 및 디스플레이(670)를 포함할 수 있다. 메모리(610), 통신부(630) 및 제어부(650)는 적어도 하나의 프로세서로 구현될 수 있으며, 메모리(610)에 저장된 프로그램에 따라 동작할 수 있다.
메모리(610)는 DNS 주소 변조 검사 수행시 DNS 서버(20)로 전송할 기 설정된 도메인 정보를 저장한다. 메모리(610)는 복수의 도메인 정보를 저장할 수 있다.
통신부(630)는 DNS 주소 변조 검사의 수행을 위해 사용자 단말(600) 또는 공유기(200)에 설정된 DNS 주소의 DNS 서버(20)로 메모리(610)에 저정된 적어도 2개의 기 설정된 도메인 정보를 전송한다.
제어부(650)는 메모리(610), 통신부(630) 및 디스플레이(670)를 제어한다. 제어부(650)는 적어도 2개의 기 설정된 도메인 정보에 해당하는 IP 주소들을 획득하고, 획득한 IP 주소들 간의 대응 여부에 기초하여 DNS 주소의 변조 여부를 판단할 수 있다. 또한, 제어부(650)는 DNS 주소가 변조된 것으로 판단한 경우, 이를 알리는 메시지를 디스플레이(670), 스피커 등을 통해 출력할 수도 있다. 또한, 제어부(650)는 통신부(630)가 DNS 서버(20)로 전송할 적어도 2개의 기 설정된 도메인 정보를 메모리(610)에 저장된 정보로부터 선택할 수도 있다.
적어도 2개의 기 설정된 도메인 정보를 선택하는 방법 및 DNS 주소의 변조 여부를 판단하는 방법에 대해서는 상술하였는바, 상세한 설명을 생략한다.
본 발명의 일 실시예에 따른 DNS 주소의 변조 진단 방법 및 이를 위한 단말 장치는 간단한 방안으로 정확하게 DNS 주소의 변조 여부를 진단할 수 있다.
한편, 상술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성가능하고, 작성된 프로그램은 매체에 저장될 수 있다.
상기 매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등) 및 캐리어 웨이브(예를 들면, 인터넷을 통한 전송)와 같은 저장매체를 포함할 수 있으나, 이에 한정되는 것은 아니다.
첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
20: DNS 서버
30: 호스트
100, 600: 사용자 단말
200: 공유기
610: 메모리
630: 통신부
650: 제어부
670: 디스플레이

Claims (16)

  1. 단말 장치 또는 공유기에 설정된 DNS 주소의 DNS 서버로 적어도 2개의 기 설정된 도메인 정보를 전송하는 단계;
    상기 적어도 2개의 기 설정된 도메인 정보에 해당하는 IP 주소들을 획득하는 단계; 및
    상기 획득한 IP 주소들에 기초하여, 상기 DNS 주소의 변조 여부를 판단하는 단계를 포함하는 것을 특징으로 하는, 단말 장치에 의한 DNS 주소의 변조 진단 방법.
  2. 제1항에 있어서,
    상기 DNS 주소의 변조 여부를 판단하는 단계는,
    상기 획득한 IP 주소 중 적어도 두 개의 IP 주소가 동일한 경우, 상기 DNS 주소가 변조된 것으로 판단하는 단계를 포함하는 것을 특징으로 하는 DNS 주소의 변조 진단 방법.
  3. 제1항에 있어서,
    상기 DNS 주소의 변조 여부를 판단하는 단계는,
    상기 획득한 IP 주소들 중 적어도 두 개의 IP 주소 각각에서 동일한 자리수에 위치하는 일정 개수 이상의 숫자가 서로 동일한 경우, 상기 DNS 주소가 변조된 것으로 판단하는 단계를 포함하는 것을 특징으로 하는 DNS 주소의 변조 진단 방법.
  4. 제1항에 있어서,
    상기 DNS 주소의 변조 여부를 판단하는 단계는,
    상기 획득한 IP 주소들 중 적어도 하나의 IP 주소가 블랙 리스트에 포함된 IP 주소에 대응하는 경우, 상기 DNS 주소가 변조된 것으로 판단하는 단계를 포함하는 것을 특징으로 하는 DNS 주소의 변조 진단 방법.
  5. 제1항에 있어서,
    상기 DNS 주소의 변조 진단 방법은,
    상기 DNS 주소가 변조된 것으로 판단된 경우, 상기 DNS 주소가 변조되었다는 것을 나타내는 메시지를 출력하는 단계를 더 포함하는 것을 특징으로 하는 DNS 주소의 변조 진단 방법.
  6. 제1항에 있어서,
    상기 DNS 서버로 적어도 2개의 기 설정된 도메인 정보를 전송하는 단계는,
    사용자로부터 임의의 도메인으로의 접속 요청이 수신되면, 상기 임의의 도메인에 접속하기 전에 상기 DNS 서버로 상기 적어도 2개의 기 설정된 도메인 정보를 전송하는 단계를 포함하는 것을 특징으로 하는 DNS 주소의 변조 진단 방법.
  7. 제1항에 있어서,
    상기 DNS 서버로 적어도 2개의 기 설정된 도메인 정보를 전송하는 단계는,
    이전의 DNS 주소 변조 검사를 수행한 이후, 소정 시간이 경과한 경우 자동적으로 상기 DNS 서버로 상기 적어도 2개의 기 설정된 도메인 정보를 전송하는 단계를 포함하는 것을 특징으로 하는 DNS 주소의 변조 진단 방법.
  8. 제1항에 있어서,
    상기 단말 장치는, 상기 단말 장치에 설치된 프로그램의 제어에 따라 동작하되, 상기 프로그램이 실행됨에 따라 상기 DNS 주소 변조 검사를 수행하는 것을 특징으로 하는 DNS 주소의 변조 진단 방법.
  9. 제1항에 있어서,
    상기 프로그램은,
    브라우져 어플리케이션, 툴 바 어플리케이션 또는 변조 검사 어플리케이션으로 구현되는 것을 특징으로 하는 DNS 주소의 변조 진단 방법.
  10. 제1항에 있어서,
    상기 단말 장치에는 복수의 기 설정된 도메인 정보가 저장되되,
    상기 DNS 서버로 적어도 2개의 기 설정된 도메인 정보를 전송하는 단계는,
    상기 복수의 기 설정된 도메인 정보 중에서 상기 적어도 2개의 기 설정된 도메인 정보를 랜덤으로 선택하는 단계를 포함하는 것을 특징으로 하는 DNS 주소의 변조 진단 방법.
  11. 제1항에 있어서,
    상기 단말 장치에는 복수의 기 설정된 도메인 정보가 저장되되,
    상기 DNS 주소의 변조 진단 방법은,
    상기 복수의 기 설정된 도메인 정보에 기초하여, 소정 시간 간격마다 상기 DNS 서버로 전송할 적어도 2개의 기 설정된 도메인 정보를 변경하는 단계를 더 포함하는 것을 특징으로 하는 DNS 주소의 변조 진단 방법.
  12. 제1항에 있어서,
    상기 단말 장치에는 복수의 기 설정된 도메인 정보가 저장되되,
    상기 DNS 주소의 변조 진단 방법은,
    상기 복수의 기 설정된 도메인 정보에 기초하여, DNS 주소 변조 검사가 수행될 때마다 상기 DNS 서버로 전송할 적어도 2개의 기 설정된 도메인 정보를 변경하는 단계를 더 포함하는 것을 특징으로 하는 DNS 주소의 변조 진단 방법.
  13. 제1항에 있어서,
    상기 IP 주소들을 획득하는 단계는,
    상기 DNS 서버로부터 상기 적어도 2개의 기 설정된 도메인 정보에 해당하는 IP 주소들을 수신하는 단계를 포함하는 것을 특징으로 하는 DNS 주소의 변조 진단 방법.
  14. 제1항에 있어서,
    상기 IP 주소들을 획득하는 단계는,
    상기 DNS 서버에 의해 라우팅되는 호스트로 핑(ping) 테스트를 하여 상기 적어도 2개의 기 설정된 도메인 정보에 해당하는 IP 주소들을 획득하는 단계를 포함하는 것을 특징으로 하는 DNS 주소의 변조 진단 방법.
  15. 하드웨어와 결합하여 제1항 내지 제14항 중 어느 하나의 항의 DNS 주소의 변조 진단 방법을 실행시키기 위하여 매체에 저장된 프로그램.
  16. 적어도 2개의 기 설정된 도메인 정보를 저장하는 메모리;
    DNS 주소 변조 검사의 수행을 위해 단말 장치 또는 공유기에 설정된 DNS 주소의 DNS 서버로 적어도 2개의 기 설정된 도메인 정보를 전송하는 통신부; 및
    상기 적어도 2개의 기 설정된 도메인 정보에 해당하는 IP 주소들을 획득하고, 상기 획득한 IP 주소들의 대응 여부에 기초하여, 상기 DNS 주소의 변조 여부를 판단하는 제어부를 포함하는 것을 특징으로 하는 단말 장치.
KR1020160085315A 2016-07-06 2016-07-06 Dns 주소의 변조 진단 방법 및 이를 위한 단말 장치 KR101874815B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160085315A KR101874815B1 (ko) 2016-07-06 2016-07-06 Dns 주소의 변조 진단 방법 및 이를 위한 단말 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160085315A KR101874815B1 (ko) 2016-07-06 2016-07-06 Dns 주소의 변조 진단 방법 및 이를 위한 단말 장치

Publications (2)

Publication Number Publication Date
KR20180005359A true KR20180005359A (ko) 2018-01-16
KR101874815B1 KR101874815B1 (ko) 2018-07-06

Family

ID=61066886

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160085315A KR101874815B1 (ko) 2016-07-06 2016-07-06 Dns 주소의 변조 진단 방법 및 이를 위한 단말 장치

Country Status (1)

Country Link
KR (1) KR101874815B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11206277B1 (en) 2020-11-24 2021-12-21 Korea Internet & Security Agency Method and apparatus for detecting abnormal behavior in network
WO2022085839A1 (ko) * 2020-10-19 2022-04-28 주식회사 에이아이스페라 악성 dns 서버 탐지 장치 및 그 제어방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011049745A (ja) * 2009-08-26 2011-03-10 Toshiba Corp Dnsキャッシュ・ポイズニング攻撃を防御する装置
KR101228896B1 (ko) * 2011-06-27 2013-02-06 주식회사 안랩 도메인의 신뢰 ip 주소를 이용한 업데이트 서버 접속 장치 및 방법
KR101623570B1 (ko) * 2014-09-02 2016-05-23 주식회사 케이티 위조 사이트 검출 방법과 이에 대한 보안 시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022085839A1 (ko) * 2020-10-19 2022-04-28 주식회사 에이아이스페라 악성 dns 서버 탐지 장치 및 그 제어방법
US11206277B1 (en) 2020-11-24 2021-12-21 Korea Internet & Security Agency Method and apparatus for detecting abnormal behavior in network

Also Published As

Publication number Publication date
KR101874815B1 (ko) 2018-07-06

Similar Documents

Publication Publication Date Title
CN109309657B (zh) 未授权访问点探测系统及方法、用于其的用户终端及计算机程序
US20190258805A1 (en) Computer-implemented method and data processing system for testing device security
EP2769570B1 (en) Mobile risk assessment
US20100235917A1 (en) System and method for detecting server vulnerability
US10805340B1 (en) Infection vector and malware tracking with an interactive user display
US11489853B2 (en) Distributed threat sensor data aggregation and data export
CN114145004B (zh) 用于使用dns消息以选择性地收集计算机取证数据的系统及方法
CN111106983B (zh) 一种检测网络连通性的方法及装置
US20160134658A1 (en) Unauthorized access detecting system and unauthorized access detecting method
KR101541244B1 (ko) Pc 및 공유기 등의 dns 변조를 통한 파밍 공격 방지 방법 및 시스템
CN110768951B (zh) 验证系统漏洞的方法及装置、存储介质、电子装置
CN110138731B (zh) 一种基于大数据的网络防攻击方法
US20210344726A1 (en) Threat sensor deployment and management
JP2012008732A (ja) インストール制御装置およびプログラム
US20200213856A1 (en) Method and a device for security monitoring of a wifi network
CN109818972B (zh) 一种工业控制系统信息安全管理方法、装置及电子设备
KR101874815B1 (ko) Dns 주소의 변조 진단 방법 및 이를 위한 단말 장치
CN111314370B (zh) 一种业务漏洞攻击行为的检测方法及装置
KR101494329B1 (ko) 악성 프로세스 검출을 위한 시스템 및 방법
KR102102256B1 (ko) 공유기 관리 장치, 그리고 서버를 포함하는 공유기 관리 시스템 및 이를 이용한 관리 방법
CN108282786B (zh) 一种用于检测无线局域网中dns欺骗攻击的方法与设备
US11689551B2 (en) Automatic identification of applications that circumvent permissions and/or obfuscate data flows
Mannan et al. Privacy report card for parental control solutions
CN109714371B (zh) 一种工控网络安全检测系统
US10812537B1 (en) Using network locality to automatically trigger arbitrary workflows

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)