🛵 Route53 Geolocation

작성자 : gasida.cloudnet@

AWS Document Route53

• Route53 설명서
• Route53 등록 가능 도메인
• Route53 라우팅 정책
• Amazon Route 53에서 EDNS0을 사용하여 사용자의 위치를 예측하는 방법
• Route53 점검방법1
• Route53 점검방법2
• Route53 쿼리 로깅 설정

DNS GeoLocation 및 기타

• DNS 와 CDN 의 동작 (넷매니아즈 2011)
• RFC 7871 - Client Subnet in DNS Queries
• Windows DNS - 위치기반
• IP 로 위치 찾기
• Public DNS List
• DNS Cache check (OpenDNS)

💡 AWS 서비스 관련해서는 항상 최우선으로 ‘AWS 설명서’ 를 읽어보는 것을 추천한다. 한글 번역이 매끄럽지 못하면 English 로 변경 후 읽어보기를 바란다.

---

1. AWS Route 53 & Geolocation Routing Policy

• AWS Route 53 은 AWS 관리형의 DNS(Domain Name Server) 이다.
  • Hosted private or public zones (including subdomains)
  • Health checks, routing policies and failovers
• 도메인 등록, DNS 라우팅, 상태 확인을 조합하여 실행할 수 있다.

1.1 Amazon Route 53이 도메인의 트래픽을 라우팅하는 방법

• 사용자가 웹 서버에 접속 시 DNS 서버를 통하여 도메인 주소를 IP 주소로 전달 받은 후 해당 IP로 접속을 한다

  

  그림 출처 https://amzn.to/3aDOdzK

1.2 Geolocation Routing Policy

• EDNS 를 지원하는 Local DNS 서버에 따라서 동작 방식이 달라진다

1.2.1 Local DNS 서버가 EDNS 를 미지원 하는 경우

• Geolocation 정책은 기본적으로 DNS 질의(Query)를 하는 Local DNS Server(예, KT DNS 등)의 IP의 위치를 기반하여 AWS Route 53에 지정된 IP 정보를 전달(Answer)한다

• 아래처럼 한국에 PC에서 한국 DNS서버(168.126.63.1)로 www.gsida.net 질의 시 한국 DNS서버는 자신의 IP로 AWS Route53에 질의하게 된다.

• 이때 Route53은 한국DNS 서버의 IP를 확인하고 위치가 한국인 것을 알고 Seoul-Web 의 IP정보인 60.1.1.1 을 전달한다.

  

1.2.2 Local DNS 서버가 EDNS 를 지원 하는 경우

• DNS 서버(예. 구글DNS 8.8.8.8)가 ENDS 를 지원하는 경우 사용자가 DNS 질의 시 사용자의 IP대역을 DNS 확장 헤더에 담아서 AWS Route 53에 질의를 하게 된다.

• AWS Route 53 역시 EDNS 를 지원하므로 DNS 확장 헤더의 Client-Subnet 의 대역의 IP의 위치를 기준하여 결정한다

  

---

2. DNS 동작에 대한 오해

• DNS 서버로 데이터 트래픽(웹 트래픽)이 전달 된다.
  • 🙅🏻‍♀️No! 위 그림 동작을 보면 알겠지만 DNS 트래픽은 사람이 알기 쉬운 ‘도메인 주소(예. www.daum.net)' 에 대한 ‘IP 주소’를 알아오는 과정이다.
  • 실제 ‘IP주소’ 를 알아온 이후에는 해당 단말PC에서 ‘웹서버 IP’ 로 직접 데이터 트래픽(웹 트래픽) 통신을 시작한다.
• DNS 서버는 사용자의 IP를 기반으로 정확한 위치를 알 수 있다.
  • 🙅🏻‍♀️꼭 그렇지만은 않는다. 예를 들면 한국에 단말PC에 미국DNS서버를 설정하게 되면 DNS질의 시 미국DNS서버 IP이므로 미국웹서버 IP를 알려준다.
  • 즉, Geolocation 의 기본 동작은 최종 DNS Query 하는 소스IP의 위치(일반적인 로컬DNS서버)를 기반하여 ‘IP주소’ 값을 반환한다
• 그럼 사용자의 IP를 알 수 있는 방법이 없나요?
  • 그래서 DNS에 확장 필드 EDNS 에 Client Subnet 필드를 통해서 ‘최종 사용자’의 IP 대역 정보를 전달함으로써 DNS서버가 사용자의 위치를 알 수 있다

---

3. Lab Topology

• Route 53 DNS - GeoLocation Policy → geolo.gasida.net

  • Query IP가 한국 일 경우 → 한국 위치한 웹서버 IP 정보를 전달
  • Query IP가 미국 일 경우 → 미국 위치한 웹서버 IP 정보를 전달

• 단말

  • 한국 위치 단말 : IP주소(한국 위치 IP), DNS서버(한국 위치한 DNS 서버 IP)

  • 미국 위치 단말 : IP주소(미국 위치 IP), DNS서버(미국 위치한 DNS 서버 IP)

    

---

4. Config Geolocation Policy & Logging

4.1 AWS Web EC2 설정

• Seoul-Web : 서울리전, Public Subnet 에 생성 및 웹 서버 설치 → EC2 Public IP 3.34.3.33

EC2 생성 시 User Data 에 입력 : 웹 서버 설치, index.html 생성

#!/bin/bash
AZ=`curl -s http://169.254.169.254/latest/meta-data/placement/availability-zone`
IP=`curl -s http://169.254.169.254/latest/meta-data/local-ipv4`
yum install -y httpd
service httpd start
chkconfig httpd on
echo "<html><h1>Hello from Web Server - Region ( "$AZ" ) - Private IP ( "$IP" )</h1></html>" > /var/www/html/index.html

• Virginia-Web : 버지니아리전, Public Subnet 에 생성 및 웹 서버 설치 → EC2 Public IP 18.206.97.145

EC2 생성 시 User Data 에 입력 : 웹 서버 설치, index.html 생성

#!/bin/bash
AZ=`curl -s http://169.254.169.254/latest/meta-data/placement/availability-zone`
IP=`curl -s http://169.254.169.254/latest/meta-data/local-ipv4`
yum install -y httpd
service httpd start
chkconfig httpd on
echo "<html><h1>Hello from Web Server - Region ( "$AZ" ) - Private IP ( "$IP" )</h1></html>" > /var/www/html/index.html

4.2 단말 설정

• 한국 위치 단말 : 자신의 PC를 활용, DNS서버 (168.126.63.1) → 220.117.X.Y
• 미국 위치 단말 : 필자는 GCP 활용, DNS서버(192.221.159.0) → 35.186.188.100

VM Instance 생성 시 시작 스크립트에 입력 : DNS 관련 툴 설치, 기본 DNS를 변경

#!/bin/bash
yum -y install bind-utils traceroute dig jq
sed -i "s/^nameserver 169.254.169.254/nameserver 192.221.159.0/g" /etc/resolv.conf

4.3 AWS Route 53 설정

• [Route 53 - 호스팅 영역 - 레코드 세트 생성] geolo.gasida.net

한국 위치 시 한국 웹서버 전달 레코드 생성

- 이름: **geolo**.gasida.net
- 유형: **A - IPv4 주소**
- 별침: **아니요**
- TTL(초): **300**
- 값: **3.34.3.33**
- 라우팅 정책: **지리적 위치**
    - 위치: **대한민국**
    - 세트 ID(*설명, 일종의 주석*): **한국IP만 허용**
- 상태 검사와 연결: **아니요**
    - 하단 `생성` 클릭

미국 위치 시 한국 웹서버 전달 레코드 생성

- 이름: **geolo**.gasida.net
- 유형: **A - IPv4 주소**
- 별침: **아니요**
- TTL(초): **300**
- 값: **18.206.97.145**
- 라우팅 정책: **지리적 위치**
    - 위치: **미국**
        - 하위 위치: skip → 미국의 경우 주별로 제한 설정 가능
    - 세트 ID(*설명, 일종의 주석*): **미국IP만 허용**
- 상태 검사와 연결: **아니요**
    - 하단 `생성` 클릭

• 위치를 ‘기본값’ 을 설정을 해야 위 ‘한국과 미국 위치’ 제외한 나머지 곳에서 접속이 가능하다 ⇒ 즉, 지리적 접속 제한 가능

  

• 해당 호스팅 영역 ‘쿼리 로깅’ 설정

  • [Route 53 - 호스팅 영역] 도메인 선택 후 우측 하단에 쿼리 로깅 설정 : 동작 발생 후 50초 정도 후에 CloudWatch Log 로 수집된다

    • 새 로그 그룹 생성 : /aws/route53/hosted-zone-name (필자는 gasida 로 설정)
    • 새 리소스 정책 생성

    

---

5. Verify

5.1 기본 정보 확인

• 단말 : 자신의 공인IP 정보와 위치 정보를 확인, DNS서버 확인, 웹 서비스 확인(EC2 Public IP)

  # 한국 위치 단말 (윈도우 단말의 경우 dig 대신 nslookup 사용)
  curl https://checkip.amazonaws.com/
  curl https://ipvigilante.com/220.117.X.Y
  curl -s https://ipvigilante.com/$(curl -s checkip.amazonaws.com) | jq '.data.country_name, .data.city_name, .data.ipv4'
  "Republic of Korea"
  "Seoul"
  "220.117.X.Y"
  
  dig www.google.com |grep SERVER
  ;; SERVER: 168.126.63.1#53(168.126.63.1)
  
  # 미국 위치 단말
  curl -s https://ipvigilante.com/$(curl -s checkip.amazonaws.com) | jq '.data.country_name, .data.city_name, .data.ipv4'
  "United States"
  "Ann Arbor"
  "35.245.140.130"
  
  dig www.google.com |grep SERVER
  ;; SERVER: 192.221.159.0#53(192.221.159.0)
  
  # EC2 웹서비스 확인
  curl 3.34.3.33
  <html><h1>Hello from MCN Web Server - Seoul Area</h1></html>
  curl 18.206.97.145
  <html><h1>Hello from MCN Web Server - Virgina Area</h1></html>

5.2 geolo.gasida.net DNS조회 및 접속 확인

• 한국 위치 단말(한국 DNS서버)와 미국 위치 단말(미국 DNS서버)가 각각 가까운 위치의 웹 서버로 접속됨을 확인

  # 한국 단말 (윈도우 단말의 경우 dig 대신 nslookup 사용)
  curl geolo.gasida.net
  <html><h1>Hello from MCN Web Server - Seoul Area</h1></html>
  
  dig geolo.gasida.net +short
  3.34.3.33
  
  # 미국 단말
  curl geolo.gasida.net
  <html><h1>Hello from MCN Web Server - Virgina Area</h1></html>
  
  dig geolo.gasida.net +short
  18.206.97.145

• DNS Query Log ( 로그그룹보기, 필터 geolo -“AAAA” )

  • KT DNS서버 에서 소스IP를 121.138.224.3(한국IP) 로 AWS Route53(gasida.net)로 질의를 했음 ⇒ Seoul-Web IP 정보를 전달

  • 미국 DNS서버 에서 소스IP를 192.221.159.15(미국IP) 로 AWS Route53(gasida.net)로 질의를 했음 ⇒ Virginia-Web IP 정보를 전달

    

    geolo.gasida.net A NOERROR UDP ICN51-C1 (121.138.224.3 = 한국 KT IP)
    geolo.gasida.net A NOERROR UDP ATL51-C1 (192.221.159.15 = 미국 Lv3 LLC IP)

(옵션) 5.3 한국과 미국이 아닌 타 나라의 사용자에서 접속 확인

현재 '한국 , 미국' 이외에 타 나라(예, 중국 단말에서 테스트)에서는 DNS Query 에 대한 응답을 하지 않는다

• 이럴 경우에 위치를 기본값 을 선택하게 되면 지리 위치에 매칭되지 않는 모든 경우에 기본값에 정의된 IP 정보를 전달해준다

# 중국 단말
curl -s https://ipvigilante.com/$(curl -s checkip.amazonaws.com) | jq '.data.country_name, .data.city_name, .data.ipv4'
"China"
"Suzhou"
"103.125.234.199"

curl geox.gasida.net
curl: (6) Could not resolve host: geox.gasida.net

dig geox.gasida.net +short

---

6. Issue

• VPN, CDN 환경이나 혹은 아래 처럼 다른 지역의 DNS서버를 설정 할 경우 Issue 가 발생한다

  # 미국 단말 DNS서버를 KT DNS로 변경
  cat /etc/resolv.conf |grep ^name
  nameserver 192.221.159.0
  
  sed -i "s/^nameserver 192.221.159.0/nameserver 168.126.63.1/g" /etc/resolv.conf
  
  dig www.google.com |grep SERVER
  ;; SERVER: 168.126.63.1#53(168.126.63.1)

  

• 아래 처럼 실제로는 미국에 위치한 단말에서 웹 접속 시 자신의 위치와 떨어진 미국에 위치한 웹서버로 접속을 한다

  # 미국 단말
  curl -s https://ipvigilante.com/$(curl -s checkip.amazonaws.com) | jq '.data.country_name, .data.city_name, .data.ipv4'
  "United States"
  "Ann Arbor"
  "35.245.140.130"
  
  curl geolo.gasida.net
  <html><h1>Hello from MCN Web Server - Seoul Area</h1></html>
  
  dig geolo.gasida.net +short
  3.34.3.33

• Route Query Log 확인하면 KT DNS IP가 Query를 했음므로 한국에 위치한 웹서버 IP 주소를 전달했다

  

---

7. EDNS Client Subnet

• 사용자의 위치(IP)를 최종 DNS서버가 알기 위해서 DNS에 확장 필드 EDNS 에 Client Subnet 필드를 통해서 ‘최종 사용자’의 IP 대역 정보를 전달할 수 있다

  • Client Subnet in DNS Queries (RFC 7871)

• EDNS 기능을 제공하는 DNS 서버 : 구글 DNS 서버( 8.8.8.8 8.8.8.4 ) , OpenDNS 서버 ( 208.67.222.222 208.67.220.220)

  • EDNS 기능 제공 확인

    # EDNS 제공 시
    dig +nocl TXT o-o.myaddr.l.google.com @8.8.8.8 +short
    "2607:f8b0:4004:c02::102"
    "edns0-client-subnet 35.245.140.0/24"
    dig +nocl TXT o-o.myaddr.l.google.com @8.8.4.4 +short
    dig +nocl TXT o-o.myaddr.l.google.com @208.67.222.222 +short
    dig +nocl TXT o-o.myaddr.l.google.com @208.67.220.220 +short
    
    # EDNS 미 제공 시
    dig +nocl TXT o-o.myaddr.l.google.com @168.126.63.1 +short
    "59.18.51.28"

7.1 ENDS 미제공 환경에서 테스트

• 아래 처럼 미국 위치 단말이 MPLS VPN 등 환경으로 한국을 반드시 경유하는 환경이다

  • DNS 서버를 한국 KT DNS(EDNS 미제공)를 설정하고 접속 시 한국에 위치한 웹서버로 접속을 한다

    

    # 미국 위치 단말
    curl -s https://ipvigilante.com/$(curl -s checkip.amazonaws.com) | jq '.data.country_name, .data.city_name, .data.ipv4'
    "United States"
    null
    "34.64.138.144"
    dig www.google.com |grep SERVER
    ;; SERVER: 168.126.63.1#53(168.126.63.1)
    
    curl geolo.gasida.net
    <html><h1>Hello from MCN Web Server - Seoul Area</h1></html>
    
    dig geolo.gasida.net +short
    3.34.3.33

  • Route 53 Query Log 확인 : 아래 59. IP는 한국 위치 IP 이다

    

7.2 EDNS 제공 환경에서 테스트

• 구글 DNS 경우 EDNS 를 제공하기 때문에 DNS Query 시 확장헤더에 사용자의 공인IP대역을 담아서 전달하여 Route53에서 인식 후 미국 위치 웹 서버 IP를 전달 해줌

  

  sed -i "s/^nameserver 168.126.63.1/nameserver 8.8.8.8/g" /etc/resolv.conf
  dig www.google.com |grep SERVER
  ;; SERVER: 8.8.8.8#53(8.8.8.8)
  
  # 아래처럼 EDNS 제공 여부 확인 할 수 있다
  dig +nocl TXT o-o.myaddr.l.google.com  +short
  "173.194.168.5"
  "edns0-client-subnet 34.64.138.0/24"
  
  curl geolo.gasida.net
  <html><h1>Hello from MCN Web Server - Virgina Area</h1></html>
  
  dig geolo.gasida.net +short
  18.206.97.145

  • EDNS 의 패킷 내용은 대략 아래와 같다

    # 아래 처럼 실행 후 패킷 캡쳐 해서 확인 해보자
    dig +nocl TXT o-o.myaddr.l.google.com @8.8.8.8 +short +subnet=34.64.138.0/24
    "2404:6800:400b:c002::101"
    "edns0-client-subnet 34.64.138.0/24"

    

---

8. The bottom line

• 일반적인 사용자의 환경에서는 DNS GeoLocation 정책에 Issue 가 발생하지 않아서 DNS서버가 반드시 EDNS 를 제공하는것 필요 없다
• 다만, VPN CDN 등의 환경에서 EDNS Client Subnet 을 제공 시 정확한 사용자의 위치를 기반하기 때문에 제공을 권장한다

💡 전 세계 모든 DNS 서버에 EDNS 확장 기능을 제공하기 위해서 2019 DNS Flag Day 에 적용을 하였다. 참고링크