16일

DNS Query 응답 - 토막 지식

• DNS는 여러 Record가 존재한다.
  • A, CNAME, TXT, AAAA
• DNS의 Error 응답은 두가지이다.
  • NXDOMAIN
    • Domain 이 존재하지 않음
  • NoError, NoData
    • Domain 은 존재하지만, 해당 Record에 대한 응답이 없음.
• DNS의 응답이 NXDOMAIN 이면 해당 Domain 전체가 Error 로 Cache 될수 있다.
  • 예를들어 example.com 의 A Record는 존재하지만 CNAME Record 가 존재하지 않을때, CNAME Record Query 에 대해서 NXDOMAIN 으로 응답을 하면, example.com 의 모든 Record 가 존재하지 않는 것으로 간주하고 해당 도메인 Record 전체에 대해 Error 응답임을 cache에 저장 해둔다.
  • 이때 example.com의 A Record 를 조회하면, A Record 가 존재하는데도, DNS cache에서 Error를 응답할수 있다.
  • 이를 이용한 DoS 공격도 있다.
    • https://www.kb.cert.org/vuls/id/714121
• SOA Record
  • 특정 Domain 이 자신의 소관이라고 알려주는 Record 이며 모든 DNS는 이 Record Query 에 대해 적절한 응답을 해야 한다.
  • 그렇지 않으면 일반적인 DNS 는 해당 Nameserver 에 대한 설정을 무시 해버린다.