Madison Digital Garden

Search

10. DANE

Apr 03, 2024, 5 min read

서울대학교 컴퓨터공학과 권태경 교수님의 "Topics in Computer Networks" 강의를 필기한 내용입니다.

다소 잘못된 내용과 구어적 표현 이 포함되어 있을 수 있습니다.

DANE

DNS-based Authentication of Named Entities
web server 가 제시할 인증서를 client 가 고를 수 있게 함?
TLSA 라는 새로운 레코드 타입이 있음
- 여기에는 cert association data 가 들어감
- 그리고 몇가지 옵션이 들어가는데
  - cert usage: ca 냐 domain 이냐 self-signed 이냐 인듯
  - selector: 놓침
  - matching type: CSA 에 어떤 값이 들어가 있냐 인증서 원본 혹은 hash?
전반적으로 놓침 - 13”

Why DNSSEC deployment is so low

원본 칼럼: Why DNSSEC deployment remains so low | APNIC Blog
DS (Delegation Sign) record 가 DNSSEC 을 저하한다
TLD 와 그의 하위 zone 에서
- TLD 를 제공해 주는 회사를 registry
- Registrar 는 registry 와 상호작용하며 사용자들에게 도메인을 파는 역할
  - 아마 가비아가 여기 들어가지 않나
- registrar 가 dns operator 인 경우에는 registrar 가 직접 registry 에 ds 를 올리면 됐지만
- domain owner 가 dns operator 인 경우에는 domain owner 가 도메인을 산 후 registrar 에 ds 를 보내 registry 에 올리도록 한다

Research topics

이후 글은 term project 관련 메모임.

1. DNSSEC vs DNS over TLS

DoT 아님 - RecRes 와 AuthServ 간의 통신에서 TLS 사용
DNS over TLS 를 사용할 경우 RRSIG 같은 것을 사용하지 않아도 됨
하지만 TLS handshake 오버헤드가 있다
DNSSEC 이랑 DNS over TLS 의 성능비교
session resumption

2. NS record integrity in DNSSEC

NS 와 Glue record 는 자식 zone 에 소유되기 때문에 RRSIG 을 만들 수는 없다
- 그냥 만들면 안되나

3, DNS exfiltration, tunneling detection

이건 뭔지 알제?
RecRes 를 통해 victim 과 attacker 간의 connection 을 DNS 를 이용해 맺어 방화벽을 뚫고 정보를 정소할 수 있음

4. Lightweight BGPSEC

서브토픽1) BGPSEC 프로토콜 자체를 개선
서브토픽2) BGPSEC 메세지가 non-BGPSEC 에 도달했을 때의 과정

5. SMTP downgrade attack

SMTP 에서의 STARTTLS 메세지를 가로채 client 가 plain text 로 email 을 보내도록 해서 이것을 받는 것

6. HTTPS downgrade attack

MITM 방식; 어떤 놈이 끼어들어서 client 와는 http 로, server 와는 https 로 통신하며 중간 내용을 가로챔
해결책으로 HSTS 가 있지만 부족한 점이 있다

7. Slow DDoS attack

HTTP 로 XML 같은 것을 보내되 거기에 엄청 많은 작업을 하도록 하는 스크립트를 넣어서 서버에 부하를 주는 것
트래픽 부하가 아니기 때문에 slow ddos 인 것이다

8. Lightweight Certificate Transparency

Bloom filter 나 CRLite 같은 자료구조를 이용해 log server 를 최적화?

9. TLS traffic fingerprinting

client 가 bot 인지 확인
ad server 는 누가 client 인지 확인할 때 사용할 수 있음
- google ad 할때의 ad 임
- 지금까지는 third party cookie 를 사용했으나 문제점이 있음
network monitor
- 누가 client 이고 누가 bot 인지 분류?
IP 만 보고 이것을 알아내기는 힘들다; NAT 뒤에 숨어있기 때문

10. Website fingerprinting

server 의 신원을 파악하기 힘들다는 문제점 해결?

11. SDN

Software-defined Network 개선?

12. TLS middlebox

TLS 는 e2e 프로토콜이다
하지만 중간 노드가 개입하면 좋은 경우가 있다
- CDN 같은 경우 CDN 서버가 중간 노드가 되는 셈
- antivirus 프로그램은 브라우저가 어떤 사이트에 접속할 때 트래픽을 대신 받아서 처리한다
  - browser ↔ antivirus ↔ server 이렇게 되는 것
이 때 TLS 를 어떻게 제공해주냐
- middlebox 와 server 가 같은 private key 를 공유? → 힘들다

Graph View

DANE
Why DNSSEC deployment is so low
Research topics
1. DNSSEC vs DNS over TLS
2. NS record integrity in DNSSEC
3, DNS exfiltration, tunneling detection
4. Lightweight BGPSEC
5. SMTP downgrade attack
6. HTTPS downgrade attack
7. Slow DDoS attack
8. Lightweight Certificate Transparency
9. TLS traffic fingerprinting
10. Website fingerprinting
11. SDN
12. TLS middlebox

Backlinks

(서울대) Topics in Computer Networks 강의록

Created with Quartz v4.1.0, © 2025

GitHub
LinkedIn
Email