https://www.koreaminecraft.net/update/3895839

이 게시물과 이어집니다.

자 저희는 도메인과 A, SRV레코드에 대해 알아봤습니다. 이제 SRV는 보안도메인이 아니다...라는것을 알아봤는데 만약 같은 도메인에 A레코드과 SRV레코드가 동시에 있으면 클라이언트는 어느 레코드를 사용해 접속할까요?

정답은 SRV레코드를 통해 접속한다... 입니다.

정확히는 SRV레코드가 존재하지않으면 A레코드를 조회하고 A레코드가 없다면 자주보이는 '알수없는 호스트' 에러가 발생하는것이죠 

여기서 디도스,봇테러를 낚을수 있는 방법이 있습니다. 보통 디도스는 nslookup 서버주소 를 이용해 아이피를 얻고, A레코드가 존재하지않고(NXDOMAIN에러) SRV레코드의 존재를 안다면 SRV레코드를 조회하겠죠 

A레코드를 조회한후 SRV를 조회한다? 클라이언트와 정반대의 접속과정을 거치는것입니다. 따라서 우리는 A레코드를 없애는것이 아닌, 레코드가 가르키는 주소를 변경해 A레코드가 '존재한다'라는것을 알려줌으로써 A레코드의 주소로 디도스가 유입되게 만들어야합니다.

저의 서버를 예로 들었습니다.

다음과 같이 구글을 가르키는 A레코드 minecraft.forgeban.xyz,

서버주소를 가르키는 SRV레코드 _minecraft._tcp.minecraft.forgeban.xyz를 만들었습니다.

이상태에서 nslookup minecraft.forgeban.xyz 를 사용한다면 저의 경우에는 클라우드플레어의 아이피(프록싱됨), 여러분들은 8.8.8.8이 나올것입니다. 하지만 걱정하지마세요 클라이언트로는 정상적으로 접속 가능합니다. 왜냐하면 A레코드를 조회하기전 , 클라이언트는 서버를 가르키는 A레코드를 가르키는 SRV레코드를 먼저 조회해 접속하기 때문입니다. 따라서 다음과 같은 시나리오에서 유효합니다.

1. nslookup만 아는 툴키드

nslookup minecraft.forgeban.xyz > 8.8.8.8 노출 > 구글에 디도스를 날리거나, 구글이라는것을 눈치채고 포기

2. SRV레코드 조회를 할수있는 디도스범

nslookup minecraft.forgeban.xyz > 8.8.8.8 노출 > 포기, 서버주소 재확인등등 보통 A레코드가 존재할때 SRV레코드를 조회하려는 시도를 하지않음