편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
1번째 줄: | 1번째 줄: | ||
{{youtube|72snZctFFtA|||center}}<br/> | |||
'''도메인 네임 시스템'''(Domain Name System)은 [[알파벳]]으로 된 [[도메인]]을 숫자로 된 [[IP 주소]]로 바꿔주는 시스템이다. 약칭은 '''DNS'''. 이를 운영하는 [[서버]]가 DNS 서버이며, 우리가 [[인터넷]]을 편리하게 이용할 수 있게 해주는 주요 시스템 중 하나이다. | '''도메인 네임 시스템'''(Domain Name System)은 [[알파벳]]으로 된 [[도메인]]을 숫자로 된 [[IP 주소]]로 바꿔주는 시스템이다. 약칭은 '''DNS'''. 이를 운영하는 [[서버]]가 DNS 서버이며, 우리가 [[인터넷]]을 편리하게 이용할 수 있게 해주는 주요 시스템 중 하나이다. | ||
== 용어 == | == 용어 == | ||
* 질의 | * 질의 | ||
** 정방향 질의 : 도메인을 물어보면 [[인터넷 프로토콜 | ** 정방향 질의 : 도메인을 물어보면 [[인터넷 프로토콜]](IP)를 답하는 질의. 대부분의 DNS 용도는 이것이다. | ||
** 역방향 질의 : | ** 역방향 질의 : IP를 물어보면 도메인을 답하는 질의. 일반인은 쓸 일이 없다. | ||
* 레코드 종류 | * 레코드 종류 | ||
** A 또는 AAAA : 도메인과 IPv4/v6를 매칭해놓은 레코드 | ** A 또는 AAAA : 도메인과 IPv4/v6를 매칭해놓은 레코드 | ||
** CNAME : 같은 | ** CNAME : 같은 서버 내에서 다른 레코드를 가리키는 레코드 | ||
** | ** NS : 다른 네임서버를 가리키는 레코드 | ||
==원리== | ==원리== | ||
DNS의 원리는 다음과 같다: | DNS의 원리는 다음과 같다: | ||
# 위키러가 [[웹 브라우저]] 주소창에 | # 위키러가 [[웹 브라우저]] 주소창에 lib.wiki를 입력한다. | ||
# 브라우저는 | # 브라우저는 네트워크 설정을 참고하여 ISP의 DNS 서버에 물어본다. | ||
## ISP DNS 서버에 lib.wiki의 IP 정보가 있다면 브라우저에게 알려준다. - 끝 | |||
# ISP DNS | ## ISP DNS 서버에 lib.wiki의 IP 정보가 없다면 상위 DNS 서버(.wiki DNS)에 물어본다. - 아래로 | ||
#상위 DNS 서버가 lib.wiki의 IP정보를 ISP DNS 서버에게 알려준다. | |||
# ISP DNS 서버에 | # ISP DNS 서버가 lib.wiki의 IP 정보를 받아 브라우저에게 알려준다. - 끝<br/> | ||
# | |||
# ISP DNS 서버가 | |||
DNS의 전 과정은 기본적으로 평문(비암호화) 상태에서 이뤄진다. 때문에 [[warning.or.kr]] 같은 검열에 취약한데, 이를 해결하기 위해 DNS를 암호화하는 기술이 등장했다. | DNS의 전 과정은 기본적으로 평문(비암호화) 상태에서 이뤄진다. 때문에 [[warning.or.kr]] 같은 검열에 취약한데, 이를 해결하기 위해 DNS를 암호화하는 기술이 등장했다. “DNS over HTTPS”와 “DNS over TLS”는 [[TLS]]의 기술을 사용하여 DNS 서버간 통신을 하는 것으로, 서드파티 프로그램이나 [[모질라 파이어폭스]] 같은 웹 브라우저에서 사용할 수 있다. | ||
== 이야깃거리 == | == 이야깃거리 == | ||
* 주요 공격목표 | * 주요 공격목표 | ||
*: 현대 인터넷은 평문 도메인을 기반으로 작동하는 만큼 DNS 서버의 마비는 사실상 인터넷 자체의 마비로 이어진다. 대표적인 예가 [[2003년]] [[1월 25일]] 슬래머 웜 대란으로, 대한민국 내의 모든 DNS 서버가 [[DDoS]] 공격에 무너지면서 DNS기반의 인터넷 사이트 이용이 모두 정지되었다.{{ㅈ|IP를 직접 입력하는 방식으로 동작하는 배틀넷 등은 정상 작동함}} | *: 현대 인터넷은 평문 도메인을 기반으로 작동하는 만큼 DNS 서버의 마비는 사실상 인터넷 자체의 마비로 이어진다. 대표적인 예가 [[2003년]] [[1월 25일]] 슬래머 웜 대란으로, 대한민국 내의 모든 DNS 서버가 [[DDoS]] 공격에 무너지면서 DNS기반의 인터넷 사이트 이용이 모두 정지되었다.{{ㅈ|IP를 직접 입력하는 방식으로 동작하는 배틀넷 등은 정상 작동함}} {{날짜/출력|2014-11-29}}에는 [[SK 브로드밴드]] DNS 서버가 알 수 없는 이유로 마비되어 SKBB 회선이 불통되기도 했다. | ||
*: 또한 주 서비스 서버를 공격하지 않아도 DNS 서버를 공격하여 트래픽을 우회시키면 주 서비스 서버를 해킹한 것과 유사한 효과가 난다. 일례로 2017년 2월 [[아시아나항공]] DNS 서버가 변조돼 몇시간 동안 flyasiana.com 도메인이 외국 사이트로 연결되었다.{{ㅈ|[http://www.ajunews.com/view/20170220235921818 아시아나항공 홈페이지 해킹 당시 DNS,정체불명 서버로 변경..보안상 취약점 존재 추정], 아주경제, 2017.2.21}} | *: 또한 주 서비스 서버를 공격하지 않아도 DNS 서버를 공격하여 트래픽을 우회시키면 주 서비스 서버를 해킹한 것과 유사한 효과가 난다. 일례로 2017년 2월 [[아시아나항공]] DNS 서버가 변조돼 몇시간 동안 flyasiana.com 도메인이 외국 사이트로 연결되었다.{{ㅈ|[http://www.ajunews.com/view/20170220235921818 아시아나항공 홈페이지 해킹 당시 DNS,정체불명 서버로 변경..보안상 취약점 존재 추정], 아주경제, 2017.2.21}} | ||
* 검열의 수단 | * 검열의 수단 | ||
*: 어지간한 통신은 [[TLS]]로 암호화되어 돌아다니는 상황에도 DNS 요청은 암호화가 늦고 있다. 웹서버와 접촉해야 암호화를 시작할 수 있기 때문에 웹서버로 가는 길을 묻는 DNS 질의는 암호화될 수 없는 것이다. 그렇기 때문에 도중에 쉽게 열어볼 수 있고 내용을 변조해두면 웹사이트 접속도 차단할 수 있다. [[warning.or.kr]]이 처음엔 DNS 검열 방식을 사용했는 데, DNS서버를 바꾸면 된다는 헛점으로 인해 URL 필터링으로 바뀌었다. 하지만 2010년대 들어 암호화 통신을 하는 불법 사이트가 성행해 URL 필터링으로 걸러낼 수 없게 되자 2018년부터 DNS 검열로 회귀했으며 해외에 위치하는 DNS 서버를 이용해도 통신 도중 값을 변조해 무력화한다. | *: 어지간한 통신은 [[TLS]]로 암호화되어 돌아다니는 상황에도 DNS 요청은 암호화가 늦고 있다. 웹서버와 접촉해야 암호화를 시작할 수 있기 때문에 웹서버로 가는 길을 묻는 DNS 질의는 암호화될 수 없는 것이다. 그렇기 때문에 도중에 쉽게 열어볼 수 있고 내용을 변조해두면 웹사이트 접속도 차단할 수 있다. [[warning.or.kr]]이 처음엔 DNS 검열 방식을 사용했는 데, DNS서버를 바꾸면 된다는 헛점으로 인해 URL 필터링으로 바뀌었다. 하지만 2010년대 들어 암호화 통신을 하는 불법 사이트가 성행해 URL 필터링으로 걸러낼 수 없게 되자 2018년부터 DNS 검열로 회귀했으며 해외에 위치하는 DNS 서버를 이용해도 통신 도중 값을 변조해 무력화한다. | ||
{{각주}} | {{각주}} | ||
[[분류:도메인 | [[분류:도메인 네임 시스템| ]] [[분류:인터넷]] |