본문 바로가기
서버/Linux

네임서버 기본 보안 설정 - bind

by WYYOON 2023. 2. 2.
728x90
반응형
SMALL
=== bind 로그 파일 ===
network unreachable resolving 'ns2-36.azure-dns.net/A/IN': 2620:1ec:8ec:700::3#53
network unreachable resolving 'ns2-34.azure-dns.net/A/IN': 2620:1ec:8ec:700::3#53
network unreachable resolving 'tm1.dns-tm.com/A/IN': 2603:1061:0:10::22#53
network unreachable resolving 'tm2.dns-tm.com/A/IN': 2603:1061:0:10::22#53
network unreachable resolving 'ns2-36.azure-dns.net/AAAA/IN': 2620:1ec:8ec:700::3#53
network unreachable resolving 'ns2-34.azure-dns.net/AAAA/IN': 2620:1ec:8ec:700::3#53
network unreachable resolving 'tm1.dns-tm.com/AAAA/IN': 2603:1061:0:10::22#53
network unreachable resolving 'tm2.dns-tm.com/AAAA/IN': 2603:1061:0:10::22#53
network unreachable resolving 'onedscolprdcus09.centralus.cloudapp.azure.com/A/IN': 2620:1ec:bda:700::c9#53

...

위와 같이 bind 로그가 보인다면 네임서버가 DNS 증폭 공격(DNS Amplification DDos Attack) 등에 참여하게 되어 다른 서버를 공격하거나 공격 받고 있다고 보면된다. 실제로 흔하게 발생하는 로그이다.

 

위의 예에서 모든 주소가 IPv6의 형태이며, 이는 IPv6에 대한 네트워크가 구성되어 있지 않기 때문에 나타나는 것으로 보일 수 있다. 하지만 핵심은 네임서버를 OPEN DNS(recursion DNS)로 사용하기 때문에 공격의 대상이나 도구로 이용되는 것이다.

 

위의 로그가 보인다면 /etc/sysconfig/named에 OPTIONS="-4"를 한 줄 추가하는것으로 간단하게 해결할 수 있다.

# vi /etc/sysconfig/named 


# BIND named process options
# ~~~~~~~~~~~~~~~~~~~~~~~~~~
#
# OPTIONS="whatever"     --  These additional options will be passed to named
#                            at startup. Don't add -t here, enable proper
#                            -chroot.service unit file.
#
# NAMEDCONF=/etc/named/alternate.conf
#                        --  Don't use -c to change configuration file.
#                            Extend systemd named.service instead or use this
#                            variable.
#
# DISABLE_ZONE_CHECKING  --  By default, service file calls named-checkzone
#                            utility for every zone to ensure all zones are
#                            valid before named starts. If you set this option
#                            to 'yes' then service file doesn't perform those
#                            checks.
OPTIONS="-4"

- named 재시동 후 로그를 확인해보면 더 이상 network unreachable resolving 로그는 발생하지 않을것이다. 

728x90
반응형
SMALL

'서버 > Linux' 카테고리의 다른 글

리눅스 네트워크 속도 제한  (0) 2023.02.02
[리눅스] bind bad owner name (check-names)  (0) 2023.02.02
리눅스 DNS 서버 구축  (0) 2023.02.02
[CentOS7] SWAP 메모리 늘리기  (0) 2023.02.02
sendmail 큐에 쌓인 메일 바로 발송하기  (0) 2021.07.29

관련글

티스토리툴바