KR20220131600A - 파밍 dns 분석 방법 및 컴퓨팅 디바이스 - Google Patents

파밍 dns 분석 방법 및 컴퓨팅 디바이스 Download PDF

Info

Publication number
KR20220131600A
KR20220131600A KR1020210036398A KR20210036398A KR20220131600A KR 20220131600 A KR20220131600 A KR 20220131600A KR 1020210036398 A KR1020210036398 A KR 1020210036398A KR 20210036398 A KR20210036398 A KR 20210036398A KR 20220131600 A KR20220131600 A KR 20220131600A
Authority
KR
South Korea
Prior art keywords
response
dns
address
domain
inspection
Prior art date
Application number
KR1020210036398A
Other languages
English (en)
Other versions
KR102582837B1 (ko
Inventor
문성권
Original Assignee
주식회사 엘지유플러스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지유플러스 filed Critical 주식회사 엘지유플러스
Priority to KR1020210036398A priority Critical patent/KR102582837B1/ko
Publication of KR20220131600A publication Critical patent/KR20220131600A/ko
Application granted granted Critical
Publication of KR102582837B1 publication Critical patent/KR102582837B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

파밍 DNS 분석 방법 및 컴퓨팅 디바이스가 개시된다. 본 발명의 일 실시예에 따른 파밍 DNS 분석 방법은, 단말로부터 인터넷망으로 전달된 하나 이상의 도메인 쿼리에 대한 응답을 수신하는 단계, 상기 응답에 포함된 응답 IP 어드레스 및 응답 TTL에 기반하여 DNS 파밍 여부를 결정하는 단계를 포함한다. 본 발명에 따라 면밀하고 오류없이 비정상 DNS를 판단할 수 있다.

Description

파밍 DNS 분석 방법 및 컴퓨팅 디바이스{PHARMING DNS ANALYSIS METHOD AND COMPUTING DEVICE THEREFOR}
본 발명은 파밍 DNS 분석 방법 및 컴퓨팅 디바이스에 관한 것이다.
종래에는 인터넷에 있는 서버 또는 서비스와 통신을 하기 위해서는 서버 또는 서비스의 도메인에 해당하는 IP 주소를 얻어야 하므로, 단말은 DNS 서버에 입력된 도메인 네임의 IP 어드레스를 쿼리한다. DNS 서버는 쿼리에 응답하여 도메인 네임에 해당하는 서버의 IP 어드레스를 응답하고, 단말은 수신된 IP 어드레스를 통해 상기 서버와 접속하여, 의도한 콘텐츠를 얻을 수 있다.
하지만, 악성코드에 감염 또는 해킹 등에 의한 비정상적인 단말의 경우, DNS 서버 주소가 비정상적인 DNS 서버로 변경될 수 있다. 이때, 단말은 인터넷과 통신하기 위해 DNS 서버로 도메인 네임을 쿼리하나, 비 정상 DNS 서버 즉 파밍 DNS는 정상 도메인 네임과 무관한 비정상 서버의 IP 어드레스를 응답한다. 단말은 비정상 IP로 접속하게 되며, 공격자가 의도한 대로 보안에 위험한 콘텐츠를 다운로드 받고 수행하게 된다. 이로 인해 단말 내 데이터를 강제로 암호화하여 비트코인 등 금품을 갈취하는 랜섬웨어에 걸리게 되거나, 단말 내 주요 데이터나 영상정보 등을 외부로 반출하기도 하며, DDoS 등 다른 단말을 공격하는 수단으로 악용되기도 한다.
현재까지는, 파밍 DNS 를 탐지하고 대응하기 위한 보안 장비와 표준 기술이 부재하여, 파밍 DNS 의 탐지 및 대응은 주로 통신사가 자체 기술로 대응하고 있는 실정이다. 일 예로, 통신사의 자체 기술은 DNS 서버로 쿼리한 결과와 파밍 DNS 서버로 쿼리한 결과를 비교하여 두 결과의 동일 여부를 확인함으로써 파밍 DNS 여부를 판단한다. 하지만, 캐시 서비스나 클라우드 등 새로운 서비스에서는 쿼리한 결과를 단순히 비교하여서는 오류가 발생할 수 있다는 한계가 있다.
본 발명은 전술한 필요성 및/또는 문제점을 해결하는 것을 목적으로 한다.
또한, 본 발명은 가짜 DNS 서버와 통신하는 트래픽을 분석하여 공격에 사용되는 DNS 서버의 상태, 가짜 DNS 서버와 통신하는 비정상적인 단말의 수 및 공격에 동원되는 악성코드의 종류 등을 사전에 파악할 수 하는 파밍 DNS 분석 방법 및 컴퓨팅 디바이스를 구현하는 것을 목적으로 한다.
본 발명의 일 실시예에 따른 DNS 분석 방법은, 인터넷망에 포함된 컴퓨팅 디바이스에 의한 파밍 DNS 분석 방법으로, 단말로부터 인터넷망으로 전달된 하나 이상의 도메인 쿼리에 대한 응답을 수신하는 단계; 및 상기 응답에 포함된 응답 IP 어드레스 및 응답 TTL에 기반하여 DNS 파밍 여부를 결정하는 단계를 포함한다.
일 실시예에 따르면, 결정하는 단계에서, 상기 DNS 파밍은, 정상적인 DNS 캐시 정보에 포함된 정상 IP 어드레스와 상기 응답 IP 어드레스를 비교하는 제1 프로세스, 응답 IP 어드레스가 위치하는 국가와 도메인이 위치한 국가를 비교하는 제2 프로세스, 2 이상의 서로 다른 도메인 쿼리에 대한 응답으로 동일한 응답 IP 어드레스가 수신되는 지 확인하는 제3 프로세스, 히든 플래그(hidden flag) DNS 서버로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 상기 검사용 도메인 쿼리에 상응하는 IP 어드레스를 비교하는 제4 프로세스, 시간 간격을 둔 적어도 둘 이상의 도메인 쿼리에 대한 응답 TTL들을 비교하는 제5 프로세스 중 적어도 일부에 기반하여 결정되는 것일 수 있다.
일 실시예에 따르면, 상기 DNS 파밍은, 정상적인 DNS 캐시 정보에 포함된 정상 IP 어드레스와 응답 IP 어드레스가 서로 다르거나, 응답 IP 어드레스가 위치한 국가와 도메인 이 위치한 국가가 서로 다르거나, 2 이상의 서로 다른 도메인 쿼리에 대한 응답으로 동일한 응답 IP 어드레스가 수신되거나, 히든 플래그 DNS 서버로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 검사용 도메인 쿼리에 상응하는 IP 어드레스가 서로 다르거나, 시간 간격을 둔 적어도 둘 이상의 도메인 쿼리에 대한 응답 TTL들이 변하지 않으면 DNS 파밍된 것으로 결정할 수 있다.
일 실시예에 따르면, 검사용 도메인 쿼리는 히든 플래그 DNS 서버로만 전송되는 것일 수 있다.
본 발명의 다른 실시예에 따른 컴퓨팅 디바이스는, 파밍 DNS를 분석하기 위한 컴퓨팅 디바이스로서, 메모리; 단말로부터 인터넷망으로 전달된 하나 이상의 도메인 쿼리에 대한 응답을 수신하는 트랜시버; 및 응답에 포함된 응답 IP 어드레스와 응답 TTL에 기반하여 DNS 파밍 여부를 결정하는 프로세서를 포함한다.
일 실시예에 따르면, 상기 DNS 파밍은 정상적인 DNS 캐시 정보에 포함된 정상 IP 어드레스와 상기 응답 IP 어드레스를 비교하는 제1 프로세스, 응답 IP 어드레스가 위치하는 국가와 도메인이 위차한 국가를 비교하는 제2 프로세스, 2 이상의 서로 다른 도메인 쿼리에 대한 응답으로 동일한 응답 IP 어드레스가 수신되는 지 확인하는 제3 프로세스, 히든 플래그(hidden flag) DNS 서버로 전송된 검사용 도멩인 쿼리에 대한 응답 IP 어드레스와 상기 검사용 도메인 쿼리에 상응하는 IP 어드레스를 비교하는 제4 프로세스, 또는 시간 간격을 둔 적어도 둘 이상의 도메인 쿼리에 대한 응답 TTL들을 비교하는 제5 프로세스 중 적어도 일부에 기반하여 결정되는 것일 수 있다.
일 실시예에 따르면, 상기 DNS 파밍은 정상적인 DNS 캐시 정보에 포함된 정상 IP 어드레스와 응답 IP 어드레스가 서로 다르거나, 응답 IP 어드레스가 위치한 국가와 도메인 이 위치한 국가가 서로 다르거나, 2 이상의 서로 다른 도메인 쿼리에 대한 응답으로 동일한 응답 IP 어드레스가 수신되거나, 히든 플래그 DNS 서버로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 검사용 도메인 쿼리에 상응하는 IP 어드레스가 서로 다르거나, 시간 간격을 둔 적어도 둘 이상의 도메인 쿼리에 대한 응답 TTL들이 변하지 않으면, DNS 파밍된 것으로 결정하는 것일 수 있다.
일 실시예에 따르면, 검사용 DNS 쿼리는 히든 플래그 DNS 서버로만 전송될 수 있다.
본 발명의 일 실시예에 따른 파밍 DNS 분석 방법 및 컴퓨팅 디바이스의 효과에 대해 설명하면 다음과 같다.
본 발명은 가짜 DNS 서버와 통신하는 트래픽을 분석하여 공격에 사용되는 DNS 서버의 상태, 가짜 DNS 서버와 통신하는 비정상적인 단말의 수 및 공격에 동원되는 악성코드의 종류 등을 사전에 파악함에 따라 인터넷망을 보호하며 대규모 단말의 보안사고를 미연에 예방할 수 있다.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부 도면은 본 발명에 대한 실시예를 제공하고, 상세한 설명과 함께 본 발명의 기술적 특징을 설명한다.
도 1은 본 발명의 일 실시예에 따른 컴퓨팅 디바이스의 블록도이다.
도 2는 본 발명의 일 실시예에 따른 DNS 분석 방법의 순서도이다.
이하, 첨부된 도면을 참조하여 본 발명에 개시된 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다. 또한, 본 발명에 개시된 실시예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명에 개시된 실시예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 발명에 개시된 실시예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 발명에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
본 출원에서, "포함한다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
용어 "파밍 DNS(Pharming DNS)"는 악성 코드 및 해킹을 목적으로 준비된 가짜 서버로 접속을 유도하기 위한 비정상 DNS 서버를 칭한다. 파밍 DNS는 단말(예를 들어, PC, 스마트폰, 공유기, IoT 등)의 주요 정보를 탈취하거나 다른 단말의 해킹을 위한 수단으로 사용되거나, DDoS 와 같이 서비스나 네트워크를 공격하기 위한 수단으로 사용된다.
본 발명은 상술한 기술적 과제를 해결하기 위한 것으로, 인터넷망에서 DNS 파밍을 방지하기 위한 DNS 분석 방법 및 그를 위한 컴퓨팅 디바이스에 관한 것이다.
도 1은 본 발명의 일 실시예에 따른 컴퓨팅 디바이스의 블록도이다.
도 1을 참조하면, 컴퓨팅 디바이스(1)는 메모리(10), 트랜시버(20) 및 프로세서(30)를 포함한다.
메모리(10)는 프로세서와 연결될 수 있고, 다양한 형태의 데이터, 신호, 메?, 정보, 프로그램, 코드 또는 명령을 저장할 수 있다. 메모리는 ROM, RAM, EPROM, 플래시 메모리, 하드 드라이브, 레지스터, 캐쉬 메모리, 컴퓨터 판독 저장 매체 및/또는 이들의 조합으로 구성될 수 있다. 메모리는 프로세서의 내부 및/또는 외부에 위치할 수 있다. 또한 메모리는 유선 또는 무선 연결과 같은 다양한 기술을 통해 프로세서와 연결될 수 잇다.
트랜시버(20)는 다른 장치에게 사용자 데이터, 제어 정보, 무선 신호/채널 등을 전송하거나 수신할 수 있다. 예를 들어, 트랜시버는 프로세서와 연결될 수 있고, 무선 신호를 송수신할 수 있다. 예를 들어, 프로세서는 트랜시버가 다른 장치에게 사용자 데이터, 제어 정보 또는 무선 신호를 전송하도록 제어할 수 있다. 또한, 프로세서는 트랜시버가 다른 장치로부터 사용자 데이터, 제어 정보 또는 무선 신호를 수신하도록 제어할 수 있다. 또한, 트랜시버는 안테나와 연결될 수 있고, 트랜시버는 안테나를 통해 사용자 데이터, 제어 정보, 무선 신호/채널 등을 송수신하도록 설정될 수 있다.
프로세서(30)는 컨트롤러, 마이크로 컨트롤러, 마이크로 프로세서 또는 마이크로 컴퓨터로 지칭될 수 있다. 프로세서는 하드웨어, 펌웨어, 소프트웨어, 또는 이들의 조합에 의해 구현될 수 있다. 일 예로, ASIC(Application Specific Integrated Circuit), DSP(Digital Siganl Processor), DSPD(Digital Signal Processing Device), PLD(Programmable Logic Device) 또는 FPGA(Field Programmable Gate Arrays)가 프로세서에 포함될 수 있다. 본 발명의 다양한 실시예에 따른 방법들은 펌웨어 또는 소프트웨어를 사용하여 구현될 수 있고, 펌웨어 또는 소프트웨어는 모듈, 절차, 기능 등을 포함하도록 구현될 수 있다. 본 발명의 다양한 실시예에 따른 방법을 수행하도록 설정된 펌웨어 또는 소프트웨어는 프로세서에 포함되거나 메모리에 저장되어 프로세서에 의해 구동될 수 있다.
본 발명의 일 실시예에 따른 컴퓨팅 디바이스(1)는 인터넷망에 포함된 것이며, 브라우저 단말이나 DNS 서버로 한정되지 않는다. 본 발명의 일 실시예에 따른 컴퓨팅 디바이스(1)는 상술한 메모리, 트랜시버 및 프로세서를 이용하여 이하의 파밍 DNS를 분석하는 방법을 실현할 수 있으며, 도 2를 참조하여 설명한다.
도 2는 본 발명의 일 실시예에 따른 DNS 분석 방법의 순서도이다.
도 2를 참조하면, 단말(2)로부터 인터넷망으로 전달된 하나 이상의 도메인 쿼리에 대한 응답을 수신할 수 있다(S110).
여기서, 도메인 쿼리는 서비스 서버(4a)(예를 들어, 웹 서버)의 도메인 이름에 대한 실제 IP 어드레스를 파악하기 위해서, 게이트웨이를 거쳐 DNS 서버(3a)로 전송되는 IP 어드레스의 요청이다. 그러면, DNS 서버(3a)는 해당 도메인 네임에 해당하는 IP 어드레스를 파악하여 도메인 쿼리를 전송한 단말(2)로 전달한다. 이후에 단말(2)은 파악된 IP 어드레스를 이용하여 게이트웨이를 거쳐 서비스 서버(4a)로 TCP/IP 프로토콜에 의한 데이터 전송을 요청할 수 있다. 즉, 도메인 쿼리에 대한 응답은 IP 어드레스를 포함할 수 있다.
한편, 상기 응답은 TTL(Time to Live) 값을 더 포함할 수 있다. TTL은 DNS 서버(3a)에 등록된 시간 값(예를 들어, 캐싱 유지 시간 값 1800 sec)으로서, 모든 도메인 정보에는 TTL 이 설정되어 있다. 정상적인 DNS 서버(3a)의 경우, TTL은 단말(2)에 의해 쿼리될 때마다 값이 감소하도록 설정된다.
컴퓨팅 디바이스(1)는 상기 응답에 포함된 응답 IP 어드레스와 응답 TTL에 기반하여 DNS 파밍 여부를 결정할 수 있다(S120).
여기서, 응답 IP 어드레스는 응답에 포함된 IP 어드레스를 포함하며, 응답을 전송하는 DNS 서버가 정상적인 DNS 서버(3a)라면 정상 IP 어드레스일 것이고, 가짜 DNS 서버(3b)라면 가짜 IP 어드레스일 것이다. 즉, 응답 어드레스는 DNS 파밍 여부에 따라 정상 IP 어드레스와 가짜 IP 어드레스로 구분될 수 있다. 만약 단말(2)이 가짜 IP 어드레스를 수신받아 인터넷망과 접속하는 경우, 단말(2)은 정삭적인 서비스 서버(4a)가 아닌 다른 가짜 서비스 서버(4b)와 접속하게 된다.
한편, 응답 TTL도 DNS 파밍 여부에 따라 정상 TTL과 가짜 TTL로 구분될 수 있다. 정상적인 경우 TTL은 시간의 흐름 및 단말(2)로부터 쿼리를 수신하는 것에 따라 값이 감소되도록 설정되어있다. 따라서, 정상 TTL은 시간의 경과 및 수신되는 쿼리의 수에 따라 값이 감소하는 것을 지칭하며, 가짜 TTL는 값이 일정하게 유지되며, 해킹 대상이 선택 또는 변경될 때 변하는 특징이 있다.
컴퓨팅 디바이스(1)는 응답에 포함된 IP 어드레스와 TTL을 이용하여 DNS 파밍 여부를 결정할 수 있으며, 이하에서 DNS 파밍 여부를 결정하기 위한 프로세스들을 설명한다. 상기 DNS 파밍 여부를 결정하기 위한 프로세스들은 정상적인 DNS 캐시 정보에 포함된 정상 IP 어드레스와 상기 응답 IP 어드레스를 비교하는 제1 프로세스, 응답 IP 어드레스가 위치하는 국가와 도메인이 위치한 국가를 비교하는 제2 프로세스, 2 이상의 서로 다른 도메인 쿼리에 대한 응답으로 동일한 응답 IP 어드레스가 수신되는 지 확인하는 제3 프로세스, 히든 플래그(hidden flag) DNS 서버(3c)로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 상기 검사용 도메인 쿼리에 상응하는 IP 어드레스를 비교하는 제4 프로세스, 시간 간격을 둔 적어도 둘 이상의 도메인 쿼리에 대한 응답 TTL들을 비교하는 제5 프로세스를 포함한다. 컴퓨팅 디바이스(1)는 제1 내지 제5 프로세스 중 적어도 일부에 따라 DNS 파밍 여부를 결정할 수 있으며, 바람직하게는 제1 내지 제5 프로세스 중 적어도 셋, 보다 바람직하게는 적어도 넷, 특히 바람직하게는 제1 내지 제5 프로세스 모두에 기반하여 DNS 파밍 여부를 결정할 수 있다.
제1 프로세스는 DNS 캐시 정보에 기록된 정상 IP 어드레스와 응답에 포함된 IP 어드레스를 비교하여 서로 다른 경우 DNS 파밍된 것으로 결정하는 것이다. 제1 프로세서는 가장 기본적인 전체 조건이다. 다만, 최근에는 클라우드 서비스 등이 제공되기 때문에 단순히 제1 프로세스 만으로 DNS 파밍된 것으로 판단하는 것에 어려움이 있으며, 이하에서의 제2 내지 제5 프로세스, 특히 제2 내지 제4 프로세스가 요구된다.
제2 프로세스는 응답 IP 가 위치하는 국가와 도메인이 위치한 국가를 비교하여 서로 다른 경우 DNS 파밍된 것으로 결정하는 것이다. 예를 들어, www.naver.com 이라는 도메인 네임에 대해 1.1.1.1 이라는 한국의 IP 어드레스가 있는데, 응답하는 IP 어드레스가 10.10.10.10 이고 이 IP의 위치가 중국에 있다고 가정하면, IP 어드레스를 통해 판단되는 소재지가 서로 달라, 이 경우 IP 어드레스에 기초하여 결정되는 국가를 비교하여 DNS 파밍된 것으로 결정할 수 있다.
제3 프로세스는 2 이상의 서로 다른 도메인 쿼리에 대한 응답으로 동일한 응답 IP 어드레스가 수신되는 경우 DNS 파밍된 것으로 결정하는 것이다. 예를 들어, www.naver.com 으로 쿼리한 것과, daum.net 으로 쿼리한 것에 대하여 정상적인 경우라면, 서로 다른 IP 어드레스로 응답될 것이나 파밍된 경우 가짜 DNS 서버(3b)는 같은 IP 어드레스로 응답하게 되므로, 이 경우는 DNS 파밍된 것으로 결정될 수 있다.
제4 프로세스는 제3자가 쿼리할 이유가 없는 소정의 쿼리를 이용하는 것으로, 히든 플래그 DNS 서버(3c)로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 검사용 도메인 쿼리에 상응하는 IP 어드레스가 서로 다르면 DNS 파밍된 것으로 결정하는 것이다. 예를 들어, 히든 플래그 DNS 서버(3c)는 본 발명의 DNS 파밍 여부를 결정하기 위해서 미리 마련된 것으로서, 검사자 이외에는 쿼리하지 않는 것이다. 히든 플래그 DNS 서버(3c)로 쿼리하기 위해서는 미리 마련된 소정의 검사용 도메인 쿼리를 전송하여야하며, 이때 히든 플래그 DNS 서버(3c)는 소정의 검사용 도메인 쿼리에 상응하는 검사용 IP 어드레스를 응답하도록 설정되어 있다. 컴퓨팅 디바이스(1)는 상기 검사용 도메인 쿼리와 검사용 IP 어드레스에 관련된 정보를 저장하고 있으며, 클라우드나 캐시에 적용을 하지 않고 통신망 특정 내부에 위치하여 IP가 달라질 수 있는 원인이 없는 서버이므로, 검사용 도메인 쿼리에 응답하여 수신되어야 할 검사용 IP 어드레스와 실제로 수신된 IP 어드레스를 비교하여 DNS 파밍 여부를 결정할 수 있다. 만약, 검사용 도메인 쿼리에 대하여 미리 세팅된 검사용 IP 어드레스가 아닌 다른 IP 어드레스가 수신되면, 이 경우는 DNS 파밍된 것으로 결정될 수 있다.
제5 프로세스는 DNS 프로토콜의 규칙에 관련된 것으로, TTL은 시간의 경과 및 쿼리의 수신에 응답하여 값이 감소하여야 할 것이나, 동일한 도메인 쿼리를 시간 간격을 두고 연속적으로 송신하였음에도 불구하고 인접하여 수신된 적어도 둘 이상의 응답 TTL들이 변하지 않으면, DNS 파밍된 것으로 결정된다. 예를 들어, 가짜 DNS 서버(3b)와 접속되는 경우, 일정 시간을 두고 쿼리하면 두 개의 응답 TTL의 값은 변하지 않을 것이나, 정상적인 DNS 서버(3a)와 접속된 경우, 수신되는 두 개의 응답 TTL의 값은 변할 것이다.
본 발명에 따르면, 인터넷망에 포함된 컴퓨팅 디바이스(1)는 비정상적인 파밍 DNS 를 정확하게 파악할 수 있고, 나아가 파밍 DNS 서버(3b)와 통신하는 단말(2) 트래픽을 분석하여 통신망의 위협 여부 및 공격 예측에 활용할 수 있다.
전술한 본 발명은, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 매체의 예로는, HDD(Hard Disk Drive), SSD(Solid State Disk), SDD(Silicon Disk Drive), ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.

Claims (9)

  1. 인터넷망에 포함된 컴퓨팅 디바이스에 의한 파밍 DNS 분석 방법에 있어서,
    단말로부터 인터넷망으로 전달된 하나 이상의 도메인 쿼리에 대한 응답을 수신하는 단계; 및
    상기 응답에 포함된 응답 IP 어드레스 및 응답 TTL에 기반하여 DNS 파밍 여부를 결정하는 단계;
    를 포함하는, DNS 분석 방법.
  2. 제1항에 있어서,
    결정하는 단계에서, 상기 DNS 파밍은,
    정상적인 DNS 캐시 정보에 포함된 정상 IP 어드레스와 상기 응답 IP 어드레스를 비교하는 제1 프로세스, 응답 IP 어드레스가 위치하는 국가와 도메인이 위치한 국가를 비교하는 제2 프로세스, 2 이상의 서로 다른 도메인 쿼리에 대한 응답으로 동일한 응답 IP 어드레스가 수신되는 지 확인하는 제3 프로세스, 히든 플래그(hidden flag) DNS 서버로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 상기 검사용 도메인 쿼리에 상응하는 IP 어드레스를 비교하는 제4 프로세스, 시간 간격을 둔 적어도 둘 이상의 도메인 쿼리에 대한 응답 TTL들을 비교하는 제5 프로세스 중 적어도 일부에 기반하여 결정되는 것인, DNS 분석 방법.
  3. 제1항에 있어서,
    상기 DNS 파밍은,
    정상적인 DNS 캐시 정보에 포함된 정상 IP 어드레스와 응답 IP 어드레스가 서로 다르거나, 응답 IP 어드레스가 위치한 국가와 도메인 이 위치한 국가가 서로 다르거나, 2 이상의 서로 다른 도메인 쿼리에 대한 응답으로 동일한 응답 IP 어드레스가 수신되거나, 히든 플래그 DNS 서버로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 검사용 도메인 쿼리에 상응하는 IP 어드레스가 서로 다르거나, 시간 간격을 둔 적어도 둘 이상의 도메인 쿼리에 대한 응답 TTL들이 변하지 않으면 DNS 파밍된 것으로 결정하는 것인, DNS 분석 방법.
  4. 제2항 또는 제3항에 있어서,
    검사용 도메인 쿼리는 히든 플래그 DNS 서버로만 전송되는 것인, DNS 분석 방법.
  5. 파밍 DNS를 분석하기 위한 컴퓨팅 디바이스에 있어서,
    메모리;
    단말로부터 인터넷망으로 전달된 하나 이상의 도메인 쿼리에 대한 응답을 수신하는 트랜시버; 및
    응답에 포함된 응답 IP 어드레스와 응답 TTL에 기반하여 DNS 파밍 여부를 결정하는 프로세서를 포함하는, 컴퓨팅 디바이스.
  6. 제5항에 있어서,
    상기 DNS 파밍은,
    정상적인 DNS 캐시 정보에 포함된 정상 IP 어드레스와 상기 응답 IP 어드레스를 비교하는 제1 프로세스, 응답 IP 어드레스가 위치하는 국가와 도메인이 위차한 국가를 비교하는 제2 프로세스, 2 이상의 서로 다른 도메인 쿼리에 대한 응답으로 동일한 응답 IP 어드레스가 수신되는 지 확인하는 제3 프로세스, 히든 플래그(hidden flag) DNS 서버로 전송된 검사용 도멩인 쿼리에 대한 응답 IP 어드레스와 상기 검사용 도메인 쿼리에 상응하는 IP 어드레스를 비교하는 제4 프로세스, 또는 시간 간격을 둔 적어도 둘 이상의 도메인 쿼리에 대한 응답 TTL들을 비교하는 제5 프로세스 중 적어도 일부에 기반하여 결정되는 것인, 컴퓨팅 디바이스.
  7. 제5항에 있어서,
    상기 DNS 파밍은,
    정상적인 DNS 캐시 정보에 포함된 정상 IP 어드레스와 응답 IP 어드레스가 서로 다르거나, 응답 IP 어드레스가 위치한 국가와 도메인 이 위치한 국가가 서로 다르거나, 2 이상의 서로 다른 도메인 쿼리에 대한 응답으로 동일한 응답 IP 어드레스가 수신되거나, 히든 플래그 DNS 서버로 전송된 검사용 도메인 쿼리에 대한 응답 IP 어드레스와 검사용 도메인 쿼리에 상응하는 IP 어드레스가 서로 다르거나, 시간 간격을 둔 적어도 둘 이상의 도메인 쿼리에 대한 응답 TTL들이 변하지 않으면, DNS 파밍된 것으로 결정하는 것인, 컴퓨팅 디바이스.

  8. 제6항 또는 제7항에 있어서,
    검사용 DNS 쿼리는 히든 플래그 DNS 서버로만 전송되는 것인, 컴퓨팅 디바이스.
  9. DNS 분석 방법을 컴퓨터에서 실행하기 위한 프로그램이 기록된 컴퓨터로 판독가능한 기록매체에 있어서,
    상기 DNS 분석 방법은, 단말로부터 인터넷망으로 전달된 하나 이상의 도메인 쿼리에 대한 응답을 수신하는 동작, 및 응답에 포함된 응답 IP 어드레스 및 응답 TTL에 기반하여 DNS 파밍 여부를 결정하는 동작을 포함하는, 컴퓨터로 판독가능한 기록매체.
KR1020210036398A 2021-03-22 2021-03-22 파밍 dns 분석 방법 및 컴퓨팅 디바이스 KR102582837B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210036398A KR102582837B1 (ko) 2021-03-22 2021-03-22 파밍 dns 분석 방법 및 컴퓨팅 디바이스

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210036398A KR102582837B1 (ko) 2021-03-22 2021-03-22 파밍 dns 분석 방법 및 컴퓨팅 디바이스

Publications (2)

Publication Number Publication Date
KR20220131600A true KR20220131600A (ko) 2022-09-29
KR102582837B1 KR102582837B1 (ko) 2023-09-25

Family

ID=83462109

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210036398A KR102582837B1 (ko) 2021-03-22 2021-03-22 파밍 dns 분석 방법 및 컴퓨팅 디바이스

Country Status (1)

Country Link
KR (1) KR102582837B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116319113A (zh) * 2023-05-23 2023-06-23 阿里云计算有限公司 一种域名解析异常的检测方法和电子设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080060054A1 (en) * 2006-09-05 2008-03-06 Srivastava Manoj K Method and system for dns-based anti-pharming
KR20140035678A (ko) * 2012-09-14 2014-03-24 한국전자통신연구원 학습 가능한 dns 분석기 및 분석 방법
KR20180019457A (ko) * 2016-08-16 2018-02-26 주식회사 케이티 공유기의 dns 주소 변조를 통한 파밍 공격 방지 방법 및 단말

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080060054A1 (en) * 2006-09-05 2008-03-06 Srivastava Manoj K Method and system for dns-based anti-pharming
KR20140035678A (ko) * 2012-09-14 2014-03-24 한국전자통신연구원 학습 가능한 dns 분석기 및 분석 방법
KR20180019457A (ko) * 2016-08-16 2018-02-26 주식회사 케이티 공유기의 dns 주소 변조를 통한 파밍 공격 방지 방법 및 단말

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116319113A (zh) * 2023-05-23 2023-06-23 阿里云计算有限公司 一种域名解析异常的检测方法和电子设备
CN116319113B (zh) * 2023-05-23 2023-08-11 阿里云计算有限公司 一种域名解析异常的检测方法和电子设备

Also Published As

Publication number Publication date
KR102582837B1 (ko) 2023-09-25

Similar Documents

Publication Publication Date Title
US11108799B2 (en) Name translation monitoring
US10708226B2 (en) Domain name resolution
US9083716B1 (en) System and method for detecting address resolution protocol (ARP) spoofing
CN108632221B (zh) 定位内网中的受控主机的方法、设备及系统
CN105323210A (zh) 一种检测网站安全的方法、装置及云服务器
US9444830B2 (en) Web server/web application server security management apparatus and method
CN108063833B (zh) Http dns解析报文处理方法及装置
US20210112093A1 (en) Measuring address resolution protocol spoofing success
US20160269380A1 (en) Vpn communication terminal compatible with captive portals, and communication control method and program therefor
US20230328063A1 (en) Method for Determining Trusted Terminal and Related Apparatus
US20180227763A1 (en) Internet connection device, central management server, and internet connection method
US10097418B2 (en) Discovering network nodes
KR20220131600A (ko) 파밍 dns 분석 방법 및 컴퓨팅 디바이스
KR101494329B1 (ko) 악성 프로세스 검출을 위한 시스템 및 방법
CN116708041B (zh) 伪装代理方法、装置、设备及介质
CN112398796B (zh) 一种信息处理方法、装置、设备及计算机可读存储介质
CN110611678B (zh) 一种识别报文的方法及接入网设备
US8572731B1 (en) Systems and methods for blocking a domain based on the internet protocol address serving the domain
CN113938317A (zh) 一种网络安全监测方法及计算机设备
CN110071936B (zh) 一种识别代理ip的系统及方法
CN108768937B (zh) 一种用于检测无线局域网中arp欺骗的方法与设备
KR20180005359A (ko) Dns 주소의 변조 진단 방법 및 이를 위한 단말 장치
KR101997181B1 (ko) Dns관리장치 및 그 동작 방법
CN117478417A (zh) 基于dns的恶意网页拦截系统及方法
US20230269236A1 (en) Automatic proxy system, automatic proxy method and non-transitory computer readable medium

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant