구글 퍼블릭 DNS가 캐시 포이징 공격에 대응하는 방법

도메인 이름 시스템(DNS)은 도메인 이름을 IP 주소로 번역하여 장치들이 인터넷에서 통신할 수 있도록 합니다. DNS는 원래 보안 조치를 고려하지 않고 설계되어 캐시 중독 공격과 같은 공격에 취약합니다. 이러한 공격에서는 공격자들이 사용자를 다른 곳으로.redirect하는 가짜 응답을 보내게 됩니다. 구글 퍼블릭 DNS는 캐시 중독을 완화하는 다양한 기법을 사용합니다. RFC 5452에 설명된 것처럼 소스 포트 및 쿼리 ID 난수화, DNS 쿠키 구현 등이 있습니다. 그러나 저희는 권위 있는 서버들 사이에서 DNS 쿠키에 대한 제한된 지원을 발견했습니다. 2008년에 제안된 쿼리 이름 케이스 난수화는 효과적임이 입증되어 구글 퍼블릭 DNS에서 기본적으로 구현되었습니다. 이는 UDP 트래픽의 90% 이상을 포함하는 이름 서버에 대한 쿼리에 적용됩니다. 구글 퍼블릭 DNS는 또한 권위 있는 이름 서버와의 암호화 통신을 위해 DNS-over-TLS(ADoT)를 구현했습니다. 이렇게 하면 보안 및 프라이버시가 제공됩니다. 이러한 대응 조치를 구현하여 구글 퍼블릭 DNS는 안전하고 신뢰할 수 있는 DNS 해석 서비스를 제공하고자 합니다. 저희는 DNS 서버 운영자들이 이러한 보안 메커니즘을 채택하고 DNS 보안을 개선하는 데 협력할 것을 권장합니다. 구글 퍼블릭 DNS는 90% 이상의 권위 있는 쿼리에 대한 수동 캐시 중독 공격을 보호합니다. DNS 서버 운영자들은 DNS 보안을 개선하는 데 여러 보안 메커니즘을 지원할 것을 권장합니다. 구글 퍼블릭 DNS는 DNS-OARC 38 및 40에서 발표된 것과 같이 DNS 보안 표준을 개선하는 데 적극적으로 참여하고 있습니다. 자세한 기술 정보는 DNS-OARC 38 및 40에서 발표된 자료를 참조하세요.