Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv6용 리커시브 DNS 서버 이해

인터넷상의 모든 위치에 액세스하기 위해 DNS(Domain Name System) 서버는 도메인 이름을 관련 IP 주소로 해결하는 데 중추적인 역할을 합니다. DNS 해상도 서비스는 DHCP 서버에서도 제공할 수 있습니다. 라우터의 라우팅 프로토콜 프로세스(rpd)는 라우터 광고를 생성하여 자동 구성 및 학습 네트워크 정보에서 IPv6 호스트를 용이하게 합니다. IPv6 스테이트리스 자동 구성의 경우, DNS 구성은 라우터 광고를 통해 제공됩니다. 라우터 광고 기반 DNS 구성은 IPv6 호스트의 주소가 IPv6 스테이트리스 주소를 통해 자동 구성되고 기존 DHCPv6 인프라가 없는 네트워크에서 유용합니다.

DNS 서버는 구성에 따라 다음과 같은 유형으로 분류할 수 있습니다.

  • Recursive Domain Name System

  • 비귀성 도메인 이름 시스템

DNS 서버는 재귀적 쿼리 또는 비동기 쿼리를 해결할 수 있습니다. DNS 클라이언트에 의한 재귀 쿼리를 위해 DNS 서버는 도메인 이름 또는 오류와 연관된 IP 주소를 반환합니다. 재귀적 쿼리는 추천을 반환하지 않습니다. 반복적이지 않은 쿼리의 경우 DNS 서버는 도메인 이름의 IP 주소 또는 쿼리 해석을 가질 수 있는 다른 DNS 서버로 오류 또는 추천을 반환합니다.

IPv6 호스트의 경우 최대 3개의 재귀 DNS 서버 주소를 해당 수명과 함께 구성할 수 있습니다. 구성된 재귀성 DNS 서버 주소의 수명에 대한 기본값은 1800초입니다. 구성된 IPv6 호스트는 IPv6 호스트의 주소가 IPv6 스테이트리스 주소를 통해 자동 구성되고 DHCPv6 인프라가 없는 경우 DNS 해석을 위해 지정된 재귀 DNS 서버 주소를 사용합니다.

주의:

재귀적 DNS 서버 구성은 NDP(Neighbor Discovery Protocol)의 일부인 라우터 광고 패킷에 포함됩니다. 일반적으로 보안이 보장되지 않는 구축 시나리오에서 공격자는 부정한 재귀 DNS 서버 주소가 있는 라우터 광고를 보낼 수 있으며, 이는 IPv6 호스트가 DNS 이름 해석을 위해 의도치 않은 DNS 서버에 접촉하는 것으로 오해의 소지가 있습니다. 이러한 공격은 인증되지 않은 DHCP에 대한 이웃 탐색 공격 및 공격과 유사합니다. 인접 검색을 위한 보안 메커니즘으로 SEND(Secure Neighbor Discovery) 프로토콜을 사용하여 재귀 DNS 서버 옵션을 포함한 모든 인접 검색 옵션을 서명에 자동으로 포함할 것을 권장합니다.

SEND 프로토콜 구성에 대한 자세한 내용은 www.juniper.net/documentation/en_US/junos14.1/topics/topic-map/ipv6-secure-neighbor.html

관련 설명서