0xNews - 공개된 DNS 서버를 중단시킬 수 있을 새로운 버그 발견

네덜란드와 뉴질랜드 국가 최상위 인터넷 도메인 .nl / .nz 를 관리하는 SIDN Labs 와 InternetNZ 연구팀 발표

TsuNAME 명명

공개되어 신뢰할 수 있는 DNS 서버에 대한 리플렉션 기반 reflection-based DoS 공격이 가능한 버그 발견

해당 버그는 DNS 리졸버 resolvers 에 영향을 미침

TsuNAME 은 도메인 이름이 주기적 종속 DNS 레코드로 잘못 구성될 때 발생

취약한 리졸버가 이러한 잘못된 구성에 접속하면 루핑 looping 이 시작

권한이 있는 서버와 기타 리졸버로 DNS 쿼리를 빠르게 전송

재귀 DNS 리졸버에 포함된 핵심 구성 요소 중 하나인 DNS 확인 resolution

142.250.71.36 같은 컴퓨터 친화적인 IP 주소로 같은 www.google.com 같은 호스트 이름을 변환

이를 달성하기 위해 요청된 DNS 레코드에 대한 권한 있는 DNS 네임 서버에 도달할 때까지 일련의 요청을 만들어 웹 페이지에 대한 클라이언트 요청에 응답

신뢰할 수 있는 DNS 서버는 조회 중인 도메인의 정확한 IP 주소를 보유하는 사전과 유사

cloudflare 의 DNS 관련 상세 설명 사이트 링크

하지만 TsuNAME 을 사용하면 도메인 등록 중 잘못된 구성으로 인해 두 영역에 대한 네임 서버 레코드가 서로를 가리키도록 주기적 종속성이 생성되어 취약한 확인자가 단순히 영역간에 반송되어 권한있는 사용자에게 논스톱 쿼리 전송

두 상위 영역의 서버로 인해 상위 영역 권한 서버를 더 큰 권한으로 이용

이것이 어떻게 발생하는지에 관해서는 모두 순환 리졸버가 순환을 알지 못하는 것으로 귀결

주기적으로 종속 된 이름 레코드를 캐싱하지 않음

.nz 도메인에서 수집된 데이터에 따르면 두개의 잘못 구성된 도메인만으로 .nz 의 권한 있는 서버의 전체 트래픽 볼륨이 50% 증가

GDNS Google Public DNS 와 Cisco OpenDNS 에서는 이후 DNS 리졸버 소프트웨어에서 이 문제를 보고 후 처리 완료

2020년 .nz 와 .nl 도메인을 대상으로 악용된 것으로 확인

DNS 서버 운영자와 관리자가 TsuNAME 의 영향을 완화하기 위해 주기적 종속성을 감지할 수 있도록하는 CycleHunter 로 명명된 오픈 소스 도구 공개

CycleHunter 의 Github 사이트 링크

연구팀은 이번 버그 분석을 위해 7개 대규모 최상위 도메인과 360만개 고유 네임서버 레코드의 1억 8400만개 도메인 분석

1435개의 도메인 이름이 사용되는 44개의 순환 종속성 발견

네임 서버 레코드가 언제든지 변경될 수 있기에 영구적인 해결책은 없음

즉, DNS 영역에 시간에 주기적으로 종속된 NS 레코드가 없는 경우 이 영역이 특정시간에만 취약하지 않음을 의미

따라서 레지스트라는 도메인 네임 등록 프로세스의 일부로 등록 기관에서 정기적으로 CycleHunter 을 실행하는 것을 추천

openLab