336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

[싱크홀] DNS 싱크홀 설정방법






# DNS sinkhole (DNS 싱크홀) 이란?


sinkhole 은 "(땅 속의) 빗물에 패인 구멍" 이라는 사전적 의미를 가지고 있습니다.




해커는 좀비PC 들을 제어하기 위해 C&C 서버를 이용합니다.


이러한 C&C 서버는 보통 악용된 도메인으로 이루어집니다.


DNS 싱크홀은 좀비PC가 C&C 주소로 접속을 할 때 미리 설정된 DNS를 통해 C&C 도메인이 아닌 사용자가 설정된


도메인으로 접속하게 끔 변경하는 기술입니다.




비슷한 기술로 DDoS 공격 시 라우터에서 설정하는 Null Routing 즉, 블랙홀 라우팅이 있습니다.


블랙홀 라우팅을 흔히 싱크홀 라우팅이라고도 합니다.




다만 DNS 싱크홀은 라우터가 아닌 DNS 서버를 변경하여 좀비PC가 접속하는 C&C 주소를 변경하는 기술이 되겠습니다.






# 설정 방법


DNS 서버에서 C&C 주소를 포워딩하게끔 설정하시면 됩니다.


이는 수동으로 설정해야 하지만 아래 S4를 사용하시면 자동으로 이를 관리할 수 있습니다.




현재 KISA 에서 DNS를 자체적으로 운영하고 있는 기업 및 기관을 대상으로 싱크홀 서비스를 하고 있습니다.


바로 Sinkhole Status Share System ( S4 ) 라고 하며 회원제로 운영됩니다.


https://s4.knsp.org 사이트에 접속하여 회원가입을 합니다.




(출처) https://s4.knsp.org




xbot@kisa.or.kr 로 회원가입을 하시면 인증과정을 거친 후 DNS 설정변경에 대한 답을 받게 됩니다.


이 때 AS Number 및 DNS 서버의 IP 를 설정합니다.




(출처) https://s4.knsp.org




업데이트 되는 블랙리스트 정보는 관리하는 AS Number 및 싱크홀 접근 서버 IP 가 승인된 후 확인이 가능합니다.






# DNS 싱크홀 적용안내서 / 출처 : KrCERT




# 윈도우 DNS 싱크홀 설정방법 / 출처 : KrCERT


윈도우_싱크홀_적용가이드.pdf






# 리눅스 DNS 싱크홀 설정방법 / 출처 : KrCERT


Bind_싱크홀_적용_가이드.pdf






위 적용가이드를 통해 DNS 싱크홀을 설정하시면,


봇에 감염된 PC가 해커와 연결을 시도할 때 해커의 시스템이 아니라 KISA의 싱크홀 서버로 접속하게 됩니다.


따라서 더 이상 해커부터 좀비 PC가 악용되지 않게 되며,


이러한 수집정보를 통해 보다 체계적인 감염 PC 관리 및 봇에 대한 정보 공유가 가능하게 되었습니다.


+ Recent posts