English

◀◁ 뒤로 취약점ID 19003 위험도 30 포트 53 프로토콜 TCP,UDP 분류 DNS 상세설명 해당 DNS 서버는 임의의 호스트들에 의한 Recursive Query(재귀 질의)를 허용한다. 해당 호스트에 있는 DNS 데이터베이스에서 거짓 레코드를 가지도록 DNS 레코드들을 수정해 놓음으로써, 공격자는 DNS Cache Poisoning(DNS 캐쉬에 거짓정보가 들어가게 함) 공격을 시도할 수 있다. 공격자는 우리의 도메인 네임서버가 거짓 레코드를 가지고 있는 자신의 악의적인 네임서버에 대해 Recursive Query(재귀 질의)를 하게 한다. 그러면 우리의 도메인 네임서버는 그 응답에 포함되어 있는 거짓 레코드를 받아들여 캐쉬에 저장한다. 이는 공격자가 어떤 특정 웹 사이트를 악의적인 웹 사이트로 전환시켜 놓거나, 혹은 MX 레코드를 속여 우리의 도메인 메일 서버의 e-mail들을 자신의 메일 서버로 돌려 놓을 수도 있다. * 알림: 만약 DNS 서버가 내부 사용자들이 사용하는 Internal 네임 서버라면 이 취약점은 무시한다. * 참고 사이트: http://www.cert.org/advisories/CA-1997-22.html * 영향을 받는 플랫폼: DNS Any version 해결책 해당 네임서버를 사용하여야 하는 호스트들 (즉, 같은 네트웍을 사용하는 LAN 상의 호스트들)에 대한 Recursive Query들을 제한하여야 한다. 유닉스 혹은 리눅스 시스템들의 경우: Bind 버전 8을 사용한다면 named.conf 파일의 'options' 섹션에서 'allow-recursive' 명령을 사용할 수 있다. Bind 버전 9를 사용한다면 'allow-recursion' 명령을 사용할 수 있다. 보여 주지 않아도 될 정보가 검색되어 지지 않도록 외부 클라이언트들에게 DNS 서버로부터 서비스되는 정보를 부분적으로 제한할 필요가 있다. 이 정보는 allow-transfer, allow-query, allow-recursive (혹은 allow-recursion) 그리고 version과 같은 옵션들이 해당된다. Global 섹션 (서비스되는 모든 Zone들이 적용됨)이나 per-zone basis 에서 이것을 제한할 수 있다. 예들들어, 서버가 인터넷과 내부 네트웍 (내부 IP가 192.168.1.2)에 연결되어 있고 (기본적으로 Multi-Homed 서버), 내부 호스트들에게만 DNS Lookup을 허용해 주고 인터넷으로는 어떤 서비스도 제공하지 않고자 한다면 /etc/named.conf에 다음 내용을 포함하여 제한할 수 있다: options { allow-query { 192.168.1/24; } ; allow-transfer { none; } ; allow-recursive { 192.168.1/24; } ; listen-on { 192.168.1.2; } ; forward { only; } ; forwarders { A.B.C.D; } ; }; Microsoft Windows의 경우: 1. 레지스트리 편집기를 오픈한다. (Windows 시스템 시작 메뉴에서, 실행 선택, regedit 혹은 regedt32를 타이핑하고 확인을 클릭한다.) 2. 레지스트리 키 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters로 이동한다. 3. 편집 메뉴에서 REG_DWORD 종류로써 값 이름 NoRecursion을 추가한다. 4. DWORD 편집기에서 데이터 값을 1로 설정한다 (True로 Recursion을 Disable 시킨다). 5. DNS 서버를 종료하고 재시작한다. 관련 URL CVE-1999-002 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)