DNS Spoofing

DNS protocol

인터넷 연결 시 도메인 주소를 IP주소로 대응시켜 주는 프로토콜

윈도우 머신에서는 domain name과 IP주소 mapping 관리하는 파일이 hosts

 

경로는 C:\Windows\System32\drivers\etc\hosts 

파일 수정을 위해서는 관리자 권한으로 메모장 실행해야 한다. 

 

DNS Spoofing Attack

웹 브라우저에서 어떤 사이트를 입력했을 때 특정 사이트로 이동(리다이렉트)되도록 하는 공격

 

hosts 파일 수정으로 실습 시 웹 브라우저 접속 전 인터넷 사용 기록 삭제가 필요하다. (브라우저에 남아있는 cache 내용 삭제. 캐시에 있는 내용 불러올지도)

 

Local Interception을 통한 Local DNS Spoofing

Man In The Middle 머신을 중간에 설치 (ARP Poisoing 으로 중간에 끼어들기 가능)

논리적으로 Client와 Local DNS 사이에 끼어서 DNS 쿼리가 날아오면 중간에서 가로챔 → DNS Response를 attacker가 응답해줌(client에게. DNS Hijack. 해커가 잘못된 응답을 전해줌)

 

Remote DNS Cache Poisoning (Infrastructure Attack)

Client가 특정 도메인에 접속하려할 때 local DNS에게 묻는다.

→ 이때 local DNS보다 Attacker가 더 빨리 응답해서, 정당한 응답이 날라오기 전에 Attacker가 원하는 사이트로 연결

 

Client가 본적 없는 도메인일 경우 local DNS가 책임지고 외부로 날리는데, 이에 대한 응답을 받아 local DNS 자체의 DB 업데이트 하려고함. 

→ 정당한 응답이 날아오기 전에 Attacker의 응답을 먼저 밀어넣어서, 로컬 DNS의 Cache를 Poisoning (Cache Corruption)

실제로는 공격자가 transaction ID같은 것을 제대로 추측해야 밀어넣기 가능