게시일: 2024년 1월 30일
기고자: Camilo Quiroz Vazquez, Michael Goodwin
DNS 서버는 사용자가 웹 브라우저에서 검색하는 웹사이트 도메인 이름을 해당하는 숫자 IP 주소로 변환합니다. 이 프로세스를 DNS 확인이라고 합니다.
DNS(도메인 이름 시스템)를 사용하면 사용자는 복잡한 숫자로 된 인터넷 프로토콜(IP) 주소 대신 도메인 이름과 URL을 사용하여 웹사이트에 액세스할 수 있습니다. DNS는 재귀 DNS 서버, 루트 이름 서버, 최상위 도메인 이름 서버 및 권한 있는 이름 서버의 네 가지 유형의 통합 DNS 서버를 통해 가능합니다.
사용자는 www.example.com과 같은 호스트 이름을 검색 브라우저의 주소 표시줄에 입력하여 DNS 쿼리를 시작합니다. 이 경우 DNS 조회라는 일련의 기능이 도메인 이름을 지정된 IP 주소와 일치시키기 시작합니다. IP 주소는 인터넷에 연결된 모든 장치와 네트워크를 식별하는 데 사용되는 숫자 식별 번호입니다. IP 주소는 93.184.216.34와 같은 IPv4 주소이거나 2001:db8:3333:4444:5555:6666:7777:8888과 같은 IPv6 주소입니다.
이와 같은 복잡한 숫자는 도메인을 정리하는 데 도움이 되지만, 사용자가 이러한 숫자를 추적하거나 이를 사용하여 인터넷을 쉽게 검색하는 것은 기대할 수 없습니다. DNS를 사용하면 브랜딩 및 간소화된 사용자 환경과 같은 기능적 목적에 맞게 도메인 이름을 사용자 지정할 수 있습니다. DNS 서버는 사용자가 이 프로세스를 원활하게 처리하는 동시에 많은 트래픽을 수용하고 도메인 이름과 IP 주소를 변경할 수 있도록 설계되었습니다. DNS 확인 프로세스는 부하 분산, 서버 및 사용자 위치, 인터넷 연결 강도 등의 변수에 따라 달라집니다.
DNS 및 실제 사용자 모니터링(RUM) 데이터가 어떻게 더 낮은 비용으로 더 많은 기능을 제공하는지 알아보세요.
관측 가능성에 대한 오해에 관한 eBook 구독하기
사용자 검색을 IP 주소로 변환하는 과정에는 네 가지 유형의 DNS 서버가 관여합니다. 서버는 프로세스를 빠르고 안전하게 유지하기 위해 서로 다른 기능을 수행하며 상호 의존적으로 작동합니다.
DNS 쿼리는 나열된 순서대로 다음 네 개의 서버를 통과합니다.
DNS 리커서 또는 재귀 DNS 확인자라고도 하는 이 기능은 재귀 쿼리(한 DNS 서버가 다른 DNS 서버와 통신하여 IP 주소를 찾아 반환하는 프로세스)의 첫 번째 중지점입니다. 이 서버는 DNS 쿼리를 수신하고 캐시된 데이터를 사용하여 사용자를 원하는 사이트에 연결하거나, 사이트 데이터가 캐시되지 않은 경우 DNS 이름 서버에 후속 요청을 보낼 수 있습니다.
이름 서버로부터 정보를 다시 받으면 재귀 확인자는 사용자를 올바른 사이트에 연결합니다. 검색할 때마다 서버는 데이터를 저장하는 DNS 캐시를 생성합니다. 이를 통해 검색 및 반환 프로세스가 가속화되고 사용자가 올바른 웹 페이지에 더 빠르게 액세스할 수 있습니다. 대부분의 DNS 반복자는 인터넷 서비스 공급자(ISP)에서 제공됩니다.
재귀 DNS 서버에 캐시된 데이터가 없는 경우 DNS 루트 이름 서버로 DNS 쿼리를 보냅니다. 루트 이름 서버는 쿼리를 수락하고 최상위 도메인(TLD) 이름 서버로 전달합니다. 쿼리가 전달되는 TLD 서버는 원하는 사이트 확장자에 따라 다릅니다. 예를 들면 .com, .org 또는 .net 등이 있습니다. 인터넷 주소 자원 관리 기구(ICANN)에서 운영하는 13개의 주요 DNS 루트 서버가 있습니다.
TLD 이름 서버에는 동일한 확장자를 가진 도메인 이름과 관련된 데이터가 포함되어 있습니다. 이는 확장자가 .com, .org, .net인 웹사이트에 대해 지정된 TLD 서버가 있음을 의미합니다. 쿼리가 올바른 TLD 이름 서버에 도달하면 권한이 있는 이름 서버로 연결됩니다.
일반적으로 IP 주소를 검색하는 프로세스의 마지막 단계인 권한 있는 DNS 서버는 특정 도메인 이름과 관련된 정보를 DNS 리소스 레코드에 저장합니다. 이러한 DNS 레코드에는 특정 도메인 및 해당 IP 주소에 대한 정보가 포함되어 있습니다. 올바른 IP 주소를 찾으면 재귀 확인자로 다시 전송됩니다. 찾을 수 없는 경우 사용자에게 오류 메시지가 표시됩니다.
각 기능은 복잡하지만 제대로 작동하는 DNS 서비스는 사용자가 인식할 수 없어야 하며 검색 프로세스는 단 몇 초밖에 걸리지 않습니다. 네 가지 유형의 서버를 보유하면 로드 밸런싱 프로세스 또는 여러 서버에 네트워크 트래픽을 분산하여 한 서버에 과중한 작업이 발생하지 않도록 하는 데 도움이 됩니다.
DNS는 종종 도메인 이름 및 관련 IP 주소의 기록을 보유하는 "인터넷의 전화번호부"로 간주됩니다. DNS 서버는 DNS 클라이언트의 IP 주소 검색을 구동하는 엔진입니다. DNS 클라이언트는 스마트폰 또는 데스크톱 장치의 라우터 및 운영 체제에 내장되어 있으며 로컬 장치와 서버 간의 통로 역할을 합니다. 대부분의 라우터에는 장애로부터 보호하기 위해 인터넷 공급자를 통해 구성된 기본 및 보조 DNS 서버가 있습니다.
사용자가 도메인을 검색하면 DNS 요청은 DNS 서버로 연결되는 DNS 쿼리를 시작합니다. 여기서 두 가지 일이 발생할 수 있습니다. 첫 번째는 DNS 캐싱에서 쿼리를 반환하는 것입니다. DNS 캐싱은 DNS 서버 또는 기타 장치에서 이전에 검색한 DNS 레코드를 임시로 저장하는 것입니다. DNS 캐시를 사용하면 쿼리가 긴 DNS 조회를 건너뛰고 임시 DNS 캐시에 이미 저장되어 있는 DNS 레코드를 반환하여 더 빠른 응답을 제공할 수 있습니다. DNS 설정에 따라 웹 서버는 TTL(time-to-live)이라고 하는 지정된 시간 동안 이 정보를 캐시합니다.
캐시된 정보가 없는 경우 DNS 쿼리는 네 가지 유형의 서버(위 섹션에서 설명한 프로세스)를 통과하여 올바른 IP 주소를 찾아 반환합니다.
DNS는 퍼블릭 또는 프라이빗일 수 있습니다. 퍼블릭 DNS 서버는 인터넷을 사용하는 모든 사람이 사용할 수 있으며 일반적으로 인터넷 서비스 제공업체에서 설정합니다. 퍼블릭 DNS 서비스는 네트워크 성능을 개선하는 트래픽 조정 및 로드 밸런싱을 지원하여 권한 있는 이름 서버를 관리하는 데 도움이 됩니다.
프라이빗 DNS는 방화벽 뒤에 설정되며 내부 웹사이트에 기록을 유지합니다. 이들은 종종 내부 IP 주소만 저장하는 가상 사설망(VPN)을 통해 연결됩니다. 프라이빗 DNS는 조직의 권한 있는 구성원만 액세스할 수 있으므로 외부 위협에 대한 노출이 제한되지만 조직 또는 프라이빗 DNS 공급자가 관리해야 합니다.
DNS 서버는 도메인에 대한 액세스를 거부하거나, 트래픽으로 서버를 압도하거나, DNS 인프라를 장악하는 공격의 대상이 될 수 있습니다. IBM NS1 Connect 와 같은 DNS 공급자는 이러한 유형의 공격으로부터 보호하기 위해 관리형 DNS 서비스를 제공합니다.
일반적인 DNS 공격 유형은 다음과 같습니다.
플러드 공격
분산 서비스 거부(DDoS) 공격은 트래픽 폭주로 권한 있는 이름 서버를 압도합니다. 권한 있는 서버는 악성 트래픽으로 인해 합법적인 DNS 쿼리를 처리할 수 없습니다.
무작위 하위 도메인 공격
이는 NXDomain 공격이라고도 하는 서비스 거부 공격입니다. 이 공격은 존재하지 않는 하위 도메인에 대한 권한 있는 이름 서버 요청을 전송하여 실제 쿼리에 응답할 수 없게 합니다.
DNS 증폭 공격(DNS 플러드)
DDoS 공격을 증폭시키는 도구인 DNS 플러드는 DNS 서버가 쿼리를 완료하기 위해 실행해야 하는 워크로드를 인위적으로 부풀려 중단을 일으킬 수 있습니다.
캐시 포이즈닝
이 공격에서 위조된 DNS 데이터는 DNS 확인자의 캐시에 침투하여 도메인에 잘못된 IP 주소를 생성함으로써 사용자를 예기치 않은 웹사이트로 연결합니다. 이러한 웹사이트는 사용자를 멀웨어나 피싱 시도에 노출시킬 수 있습니다.
DNS 프로토콜 공격
DNS 서버가 잘못된 패킷을 처리하도록 하여 DNS 서버를 표적으로 삼는 공격입니다. 이로 인해 합법적인 쿼리를 처리할 수 없게 됩니다.
BGP 하이재킹 공격
이 공격은 보더 게이트웨이 프로토콜(BGP)을 통해 사용자를 합법적인 도메인에서 악의적인 목적으로 자주 설정되는 도메인으로 다시 라우팅합니다.
DNS 터널링
이 공격에서 DNS 인프라는 방화벽을 통과하여 멀웨어나 도난당한 데이터를 전달하는 경로가 됩니다.
DNS 하이재킹(자격 증명 도용)
DNS 서버 관리에 대한 무단 액세스 권한을 얻어 DNS 영역 데이터를 변경하거나 파괴하는 공격입니다.
도메인 도난
도메인 도난에서 공격자는 도메인 등록 기관에 대한 무단 액세스를 통해 도메인 이름의 소유권을 탈취합니다.
IBM NS1 Connect는 프리미엄 DNS 및 사용자 정의 가능한 고급 트래픽 조정을 통해 전 세계 어디서나 사용자에게 빠르고 안전한 연결을 제공합니다. 상시 가동되는 API 우선 아키텍처를 통해 IT 팀은 네트워크를 보다 효율적으로 모니터링하고, 변경 사항을 배포하고, 일상적인 유지 관리를 수행할 수 있습니다.
IBM NS1 Connect 관리형 DNS 서비스는 네트워크 중단을 방지하고 비즈니스를 항상 온라인 상태로 유지할 수 있도록 탄력적이고 빠르며 신뢰할 수 있는 DNS 연결을 제공합니다.
DNS 관측 가능성 데이터를 기반으로 하는 맞춤형 실시간 보고서를 통해 잘못된 구성과 보안 문제를 신속하게 식별합니다.