'dns'에 해당되는 글 3건
2008/03/20 23:10
[IT이야기]
This change has happened just hours ago - perhaps by the hacker guessing a password for the DNS management system or by using social engineering to get a provider to change the DNS ip address.
실제 ns1~ns2.oxyhostsfree.com DNS서버에서는 malaysiangp.com.my 도메인 설정이 없는 것으로 보인다. 현재 lookup해 본 결과 IP를 찾지 못한다. DNS trace 해봤는데, IP를 찾지 못한다.
... 생략 ...
malaysiangp.com.my. 86400 IN NS ns1.oxyhostsfree.com.
malaysiangp.com.my. 86400 IN NS ns2.oxyhostsfree.com.
;; Received 120 bytes from 61.6.38.139#53(ns5.jaring.my) in 196 ms
;; Received 36 bytes from 64.191.50.45#53(ns2.oxyhostsfree.com) in 253 ms
malaysiangp.com.my. 86400 IN NS ns1.oxyhostsfree.com.
malaysiangp.com.my. 86400 IN NS ns2.oxyhostsfree.com.
;; Received 120 bytes from 61.6.38.139#53(ns5.jaring.my) in 196 ms
;; Received 36 bytes from 64.191.50.45#53(ns2.oxyhostsfree.com) in 253 ms
정상적인 서버의 IP는 202.157.186.171 이다. DNS lookup만 못했을 뿐 접속해보면 정상적으로 잘 나온다.
whois 결과 다음과 같이 나왔다. 'Record Last Modified'시간이 최근으로 변경되어 있다.
a [Domain Name] malaysiangp.com.my
b [MYNIC Registration No.] D1A021681
c [Record Created] 03-OCT-2001
d [Record Expired] 03-OCT-2009
e [Record Last Modified] 19-MAR-2008
k [Primary Name Server]
ns1.oxyhostsfree.com 64.191.50.36 SVA016558
l [Secondary Name Server]
ns2.oxyhostsfree.com 64.191.50.45 SVA016559
b [MYNIC Registration No.] D1A021681
c [Record Created] 03-OCT-2001
d [Record Expired] 03-OCT-2009
e [Record Last Modified] 19-MAR-2008
k [Primary Name Server]
ns1.oxyhostsfree.com 64.191.50.36 SVA016558
l [Secondary Name Server]
ns2.oxyhostsfree.com 64.191.50.45 SVA016559
혹시나 저 URL이 공식 홈페이지는 아닐까 싶어서 구글에서 'Sepang Circuit'로 검색해봤다. 검색 결과 첫번째 나오고, 위키페디아에서도 저 URL로 표시되었다. 공식 홈페이지가 맞다.
이런 DNS해킹을 보면, 비밀번호는 역시 추측하기 어려운 것으로 해야한다는 것과 사회공학적 기법으로 인한 피해를 입지 않도록 주의해야한다는 것을 일깨워준다. 요즘 보이스피싱의 증가 추세라고 한다. 우리세대보다 부모님세대가 걱정이다. 며칠전에도 부모님에게 전화오면 조심하라고 말씀드렸지만, 다시 한 번 말씀드려야 겠다.
이올린에 북마크하기
이올린에 추천하기'IT이야기' 카테고리의 다른 글
| kernel.org가 4월 2일쯤 서버를 전부 내린다고? (5) | 2008/04/01 |
|---|---|
| 2mb.co.kr 도메인이 있었네 (6) | 2008/03/22 |
| F1 경기장, 세팡 서킷(Sepang Circuit) 사이트 DNS 해킹당해 (0) | 2008/03/20 |
| DDoS 대응과 botnet 동향 (CONCERT 2008 보안 세미나 후기) (2) | 2008/03/16 |
| 웹기반의 DDoS botnet, BlackEnergy (2) | 2008/02/21 |
| 미코노미(MEconomy) 시대 (6) | 2008/02/10 |
Trackback Address :: http://truefeel.tistory.com/trackback/98
|
Tracked from 순디자인기술지원센터 | 2008/03/21 21:03 | DEL
광고에서 타게팅이 갖는 중요성은 이제 더이상 입이 아프도록 설명하지 않아도 될 정도입니다. 어린이용 신발을 중장년층에게 노출해야 의미없고 강원도 철원에 새로 오픈한 불가마 싸우나를 전라도 지역에 광고할 필요는 없으니까요.. '보이스 피싱'의 진화속도가 이처럼 빠를 수 있을까요? 전화를 받는 타겟의 정보를 미리 입수해 타겟팅된 정보로 유혹을 하니 걸려드는 사람들이 획기적으로 늘 수 밖에요. 자녀가 유학가 있는 가정에 "자녀를 납치했으니 돈을 보내라"라.. |
2007/02/16 00:05
[시스템이야기]
매일경제 DNS의 SPF 레코드 설정에 잘 못된 부분이 있다. SPF는 메일주소를 위조해서 보내는 것을 방지하기 위한 스팸 필터링 정책중의 하나로, SPF에 대한 자세한 것은 '스팸필터링을 위한 SPF 설정과 운영'에 적어둔게 있으니 참고하기 바란다.
설정 실수와 관련하여
- 지난 1월에 메일을 4번(1.9, 1.13, 1.17 2번)
- 매일경제 홈페이지의 '서비스 문의'에서 2번
을 알려드렸으나 수정이 없었다. 제가 직접적으로 접근할 방법이 없는 관계로 이 글을 읽고, 매경쪽에 아시는 분이 있면 전달해 주기를 바라면서...
DNS lookup한 결과이다.
위의 'ipv4:220.73.139.81' 과 'ipv4:203.238.57.6' 은 'ip4:220.73.139.81' 과 'ip4:203.238.57.6' 로 수정해야 한다. ip4를 ipv4로 잘 못 표기한 것이다. @mk.co.kr 에서 오는 메일을 받는 분 중에서는 경우에 따라 필터링되어 못 보는 경우가 생길 수 있다. (못 보는 경우가 있다는 것은 수신측 필터링 강도(softfail까지 모두 필터링해라)에 따라 달라질 수 있음을 의미함) 저는 매경 메일을 whitelist에 넣어서 잘 받고 있지만, 읽고 싶어도 필터링되어서 못 읽는 안타까운 분들이 없기를 바라는 맘이다.
SPF 레코드를 설정하신 엔지니어는 1) 본인의 설정은 잘 못된 것은 없는지, 2) 그리고 송신할 메일서버의 IP는 빠짐없이 SPF 레코드에 등록을 했는지 다시 한번 확인해보기 바란다.
설정 실수와 관련하여
- 지난 1월에 메일을 4번(1.9, 1.13, 1.17 2번)
- 매일경제 홈페이지의 '서비스 문의'에서 2번
을 알려드렸으나 수정이 없었다. 제가 직접적으로 접근할 방법이 없는 관계로 이 글을 읽고, 매경쪽에 아시는 분이 있면 전달해 주기를 바라면서...
DNS lookup한 결과이다.
$ dig mk.co.kr txt
; <<>> DiG 9.2.4 <<>> mk.co.kr txt
;; global options: printcmd
... 생략 ...
;; QUESTION SECTION:
;mk.co.kr. IN TXT
;; ANSWER SECTION:
mk.co.kr. 86400 IN TXT "v=spf1 ip4:220.73.139.52 ipv4:220.73.139.81 ip4:220.73.139.82 ip4:220.73.139.201 ip4:203.238.57.9 ipv4:203.238.57.6 ~all"
;; AUTHORITY SECTION:
mk.co.kr. 86400 IN NS ns.mk.co.kr.
mk.co.kr. 86400 IN NS ns2.mk.co.kr.
; <<>> DiG 9.2.4 <<>> mk.co.kr txt
;; global options: printcmd
... 생략 ...
;; QUESTION SECTION:
;mk.co.kr. IN TXT
;; ANSWER SECTION:
mk.co.kr. 86400 IN TXT "v=spf1 ip4:220.73.139.52 ipv4:220.73.139.81 ip4:220.73.139.82 ip4:220.73.139.201 ip4:203.238.57.9 ipv4:203.238.57.6 ~all"
;; AUTHORITY SECTION:
mk.co.kr. 86400 IN NS ns.mk.co.kr.
mk.co.kr. 86400 IN NS ns2.mk.co.kr.
위의 'ipv4:220.73.139.81' 과 'ipv4:203.238.57.6' 은 'ip4:220.73.139.81' 과 'ip4:203.238.57.6' 로 수정해야 한다. ip4를 ipv4로 잘 못 표기한 것이다. @mk.co.kr 에서 오는 메일을 받는 분 중에서는 경우에 따라 필터링되어 못 보는 경우가 생길 수 있다. (못 보는 경우가 있다는 것은 수신측 필터링 강도(softfail까지 모두 필터링해라)에 따라 달라질 수 있음을 의미함) 저는 매경 메일을 whitelist에 넣어서 잘 받고 있지만, 읽고 싶어도 필터링되어서 못 읽는 안타까운 분들이 없기를 바라는 맘이다.
SPF 레코드를 설정하신 엔지니어는 1) 본인의 설정은 잘 못된 것은 없는지, 2) 그리고 송신할 메일서버의 IP는 빠짐없이 SPF 레코드에 등록을 했는지 다시 한번 확인해보기 바란다.
'시스템이야기' 카테고리의 다른 글
| 어떤 웜메일이 많을까? (2007년 2월) (0) | 2007/03/02 |
|---|---|
| 2007년 1월 웜메일 건수와 비율은? (0) | 2007/02/22 |
| 매일경제 DNS의 SPF 레코드 설정 오류 (3) | 2007/02/16 |
| KISA 동향정보 게시판에... (1) | 2007/02/14 |
| 오픈소스 NAS 서버, FreeNAS 설치 화면 (0) | 2007/02/13 |
| php에서 업로드 파일 바이러스 검사하기 (2) | 2007/01/20 |
Trackback Address :: http://truefeel.tistory.com/trackback/22
2007/02/09 11:13
[IT이야기]
RIPE NCC의 DNSMON 페이지를 보면 13 root DNS 서버중에 g.root-servers.net와 l.root-servers.net DNS서버에서 대략 12시간정도 공격을 받은 것으로 보입니다. 06번이 G root서버 (DDN 관리), 11번이 L root서 버 (ICANN 관리)입니다. L root서버는 중간에 공격이 줄었다가 재차 공격을 시도를 했습니다.
* RIPE NCC의 DNSMON 페이지 (root DNS, 2007.2.5~2.7, 48시간)
org DNS 서버는 tld1.ultradns.net, tld2.ultradns.net, tld3.ultradns.org, tld4.ultradns.org, tld5.ultradns.info, tld6.ultradns.co.uk 6대가 골고루 공격을 당했습니다.
* RIPE NCC의 DNSMON 페이지 (org DNS, 2007.2.5~2.7, 48시간)
Team Cymu의 DNS Query Time Graph에는 정확히 확인하기 쉽지 않지만 G root 서버에서 Response Time이 그 시간대에 순간 올라갔음을 확인할 수 있습니다.
* DNS Query Response Time Graphs (Chicago, g.root-servers.net)
[ Tokyo와 Chicago와 회선에서 체크한 결과 ]
기사에도 나와있네요. ^^*. 처음 보도때는 없던데, 글을 늦게 쓰다보니깐 이러네요. ^^*
* 인터넷 백본, 집중 공격에도 난공불락임을 입증 ( Zdnet, 2007.2.8 )
* 참고 : Huge DNS attack goes virtually unnoticed
* RIPE NCC의 DNSMON 페이지 (root DNS, 2007.2.5~2.7, 48시간)
org DNS 서버는 tld1.ultradns.net, tld2.ultradns.net, tld3.ultradns.org, tld4.ultradns.org, tld5.ultradns.info, tld6.ultradns.co.uk 6대가 골고루 공격을 당했습니다.
* RIPE NCC의 DNSMON 페이지 (org DNS, 2007.2.5~2.7, 48시간)
Team Cymu의 DNS Query Time Graph에는 정확히 확인하기 쉽지 않지만 G root 서버에서 Response Time이 그 시간대에 순간 올라갔음을 확인할 수 있습니다.
* DNS Query Response Time Graphs (Chicago, g.root-servers.net)
[ Tokyo와 Chicago와 회선에서 체크한 결과 ]
기사에도 나와있네요. ^^*. 처음 보도때는 없던데, 글을 늦게 쓰다보니깐 이러네요. ^^*
* 인터넷 백본, 집중 공격에도 난공불락임을 입증 ( Zdnet, 2007.2.8 )
DNS 시스템을 겨냥한 것으로 보이는 데이터는 6일 오전 2시 30분(미국 시간)에 집중적으로 쏟아지기 시작했다. 람잔은 “여러 대의 루트 서버에 트래픽이 폭발적으로 증가했다. 미 국방성에서 가동하는 「G」서 버와 ICANN에서 가동하는 「L」서버가 주로 공격을 받은 것 같다.”고 말했다. ICANN의 크레인 역시 그런 느낌을 받았다고 확인해주었다.
* 참고 : Huge DNS attack goes virtually unnoticed
'IT이야기' 카테고리의 다른 글
| 엠파스는 뭔일이지... (접속이 잘 안되네요) (1) | 2007/02/11 |
|---|---|
| linux everywhere (Delta 항공의 기내) (1) | 2007/02/11 |
| 어떤 root DNS서버가 공격당했나? (0) | 2007/02/09 |
| DDoS공격 언론보도와 찾아본 사례들 (4) | 2007/02/08 |
| 싸이월드2 (C2) 리드유저 초대장이 받았다. (2) | 2007/01/31 |
| 네이버 뉴스 됐다 안됐다... (1시 정상화, 내용 update) (0) | 2007/01/24 |
Trackback Address :: http://truefeel.tistory.com/trackback/16
