DNS Hijacking چیست؟ + 11 نوع حمله DNS و 10 روش مقابله با آنها
حملات DNS یکی از متداولترین حملات سایبری است که به بازپیکربندی نام دامنه سرور (Domain Name Server Reconfiguration) نیز شناخته می شود. در این نوع حملات که به صورت عامیانه به ربودن dns معروف هستند، هکر سعی می کند کاربر را به یک لینک آلوده هدایت کند. امروز قصد داریم، حملات DNS را مورد بررسی قرار داده و با راه های مقابله با آن نیز آشنا خواهیم شد پس تا انتهای این مطلب با ما همراه باشید.
حمله DNS چیست؟
حملات DNS که به هدایت DNS نیز معروف است به فرآیندی گفته می شود که هکرها سعی در تغییر سیستم نام دامنه دارند. هکرها معمولاً این کار را با نصب یک بدافزار بر روی سیستم کامپیوتری کاربر انجام می دهند و از این طریق آنها را به وب سایت های آلوده هدایت می کنند. در سال های اخیر حملات DNS Hijacking به عنوان روشی متداول از هک مورد استفاده هکرها قرار گرفته است. هکرها می دانند که DNS مطمئن ترین پروتکل مورد استفاده اکثر سازمان ها است. در واقع، سازمان ها خیلی ترافیک غیرعادی DNS خود را ردیابی نمی کنند، بنابراین مهاجمان این حفره امنیتی را به خوبی شناسایی کرده و برای سرقت اطلاعات یا کلاهبرداری به وب سایت های مختلف حمله می کنند.
امروزه، مقوله DNS در بسیاری از کسب و کارها نقش حیات ایفا می کند، بنابراین سازمان ها برای مقابله با DNS Hijacking و برای استخدام نیروی متخصص و راه اندازی پروتکل های امنیتی هزینه های بسیار زیادی متحمل می شوند. قبل از آشنایی بیشتر با این نوع حملات بهتر است ابتدا با مفهوم DNS آشنا شویم.
DNS چیست؟
سیستم نام دامنه یکی از بخش های داخلی اینترنت است که همه کاربران به صورت آگاهانه یا نا آگاهانه از آن استفاده می کنند. دی ان اس درست شبیه به دفترچه مخاطبین تلفن همراه است که با ذخیره شماره مخاطبین، در زمان تماس اسم آنها را بر روی تلفن همراه نمایش می دهد. اینترنت نیز دفترچه ای مخصوص ذخیره کردن کامپیوترها، سرویس ها و منابع مرتبط خود دارد که با نام DNS شناخته می شود.
زمانی که کاربران می خواهند به اطلاعات اینترنت دسترسی پیدا کنند از دامنه هایی نظیر Google.com یا Bing.com استفاده می کنند. پس از اینکه کاربران نام یک دامنه را تایپ می کنند، مرورگرهای اینترنتی عملیات جستجو را با آدرس پروتکل اینترنتی دستگاه کاربر (IP) تطبیق می دهند.
انواع حملات DNS
1- حملات DNS tunneling
این نوع از حملات در واقع تکنیکی است که از پروتکل DNS برای انتقال داده های رمزگذاری شده استفاده می کند. هکرها از این حملات به دفعات برای پراکنده کردن اطلاعات حساس شرکت های مختلف استفاده کرده اند. در واقع در این نوع حملات هکر از پروتکل DNS برای تونل زدن بدافزارها و سایر داده ها سوء استفاده می کند تا بدافزار یا داده های مخرب مورد نظر خود را از طریق مدل Client-server به کامپیوتر قربانی ارسال کند.
2- حملات Router DNS hijack
در این نوع حملات هکرها یک روتر را با رمز عبور پیش فرض هک می کنند و تنظیمات DNS آن را مجددا بازنویسی می کنند تا بتوانند کاربران متصل به روتر را به سمت سرور مورد نظر خود هدایت کنند.
3- حملات Rogue DNS Server
در این نوع از حملات که مختص سرورهای Rogue می باشد، هکرها نحوه عملکرد سرور DNS را با هک کردن سرور و سپس تغییر سوابق DNS و در نهایت هدایت درخواست ها به سایت های مخرب تغییر می دهند.
4- حملات OnPath DNS Hijacking
هکرها در اینگونه از حملات ارتباط بین سرور DNS و کاربران را مسدود می کنند و به جای آن آدرس IP های مختلفی را ارائه می کنند که به سایت های مخرب اشاره دارند.
5- حملات Local DNS hijack
هکرها در این نوع از حملات بر روی سیستم کاربر نوعی بدافزار یا تروجان نصب می کند که این امکان را به آنها می دهد تا تنظیمات DNS منطقه ای را تغییر داده و کاربر را به سمت سایت مورد نظر خود هدایت کنند.
6- حملات Man in the middle DNS
هکرها در این نوع از حملات از طریق شنود وارد عمل می شوند. در این حملات هکرها به عنوان یک کاربر مانع ارتباط بین سرورهای فرستنده و گیرنده و انتقال داده بین آنها می شوند. در واقع هکرها به عنوان یک شخص ثالث خود را در میان این ارتباط قرار می دهند و به همین دلیل نام این حملات مرد میانی است.
7- حملات DNS Spoofing
هکرها در این نوع حملات DNS را جعل می کنند. یعنی یک درخواست در یک سایت قانونی را به یک سایت مخرب هدایت می کنند. هکر در این حملات سرور DNS را طوری تغییر می دهد تا کاربران به یک سایت مخرب اما مشابه سایت اصلی هدایت شوند و در نهایت هکرها عملیات مورد نظر خود را انجام می دهند که می تواند شامل فیشینگ باشد.
8- حملات DNS Poisoning
برای درک بهتر این حملات ابتدا باید بدانید که سرورها و روترها رکوردهای DNS را در یک کش ذخیره می کنند. هکرها در این نوع حملات سایبری یک ورودی DNS جعلی را وارد می کنند تا کش سرور را مسموم کنند و سپس یک مقصد IP جایگزین برای یک دامنه خاص یا Addon دامنه وارد می کنند و به این شکل ترافیک را به مقصد مورد نظر تغییر می دهند.
9- حملات Zero-day
هکرها در حملات روز صفر از یک آسیب پذیری ناشناخته قبلی در پروتکل DNS یا نرم افزار سرور DNS سوء استفاده می کنند.
10- حملات Fast-flux DNS
هکرها در این نوع حملات رکوردهای DNS را با فرکانس بسیار زیادی به منظور تغییر مسیر درخواستهای DNS و جلوگیری از شناسایی، تعویض میکند.
11- حملات DDOS
در حملات DDoS که مخفف عبارت Distributed Denial-of-Service است، هکر سعی می کند تا با ارسال ترافیک و درخواست های جعلی بسیار زیاد سرور را از کار بی اندازد. اگرچه لزوما حملات DDOS جزء حملات DNS محسوب نمی شوند اما سیستم DNS در این نوع حملات یک هدف محبوب است. حملات DNS flood نیز نوعی از حملات DDoS هستند.
هدف هکر از حملات DNS چیست؟
شاید از خودتان بپرسید که هکرها این نوع حملات را با چه هدفی انجام می دهند. در پاسخ به این سوال باید بگوییم که در پشت حملات DNS در اغلب اوقات اهداف مالی وجود دارد. هکرها به 2 روش زیر از طریق حملات DNS کسب درآمد می کنند:
1- Pharming: در این روش هکر سعی می کند تا ترافیک سایت را به یک سایت مخرب منتقل کند و در آنجا تبلیغات مختلف از جمله تبلیغات کلیکی را نمایش دهد و از این طریق کسب درآمد کند.
2- Phishing: در این روش هدف اصلی هکر کلاهبرداری و سرقت اطلاعات هویتی است. در این روش هکر سعی می کند تا کاربر را به یک درگاه بانکی مشابه اصلی و یا یک صفحه مشابه سایت اصلی هدایت کند و از این طریق از اطلاعات کاربران سوء استفاده کند.
روش های مقابله با حملات DNS
1- محدود کردن دسترسی به نیم سرورها
بسیار مهم است که با استفاده از احراز هویت چند عاملی (MFA)، فایروال ها و سایر اقدامات امنیتی، دسترسی به سرورهای نام DNS را محدود کنید.
2- محدودسازی دسترسی به DNS Resolver
DNS Resolver خود را همیشه خصوصی و محافظت شده نگه دارید. فقط کاربران داخل شبکه باید اجازه دسترسی به ریزالور را داشته باشند.
3- استفاده از سرور اختصاصی DNS
اغلب شرکت ها سرور DNS خودشان را در کنار سرورهای برنامه خود میزبانی می کنند که باعث افزایش احتمال حملات DNS می شود. بنابراین بهتر است که سرویس DNS خود را در یک سرور جداگانه اجرا و میزبانی کنید.
4- محدود کردن منطقه انتقال DNS
اگر محدوده انتقال DNS شما به دست هکرها بی افتد، آنها با درک بهتر ساختار شبکه شما می توانند به سادگی حملات DNS مورد نظر خود را اجرایی کنند. بنابراین به فایل پیکربندی نرم افزار DNS خود مراجعه کنید و منطقه انتقال به آدرس های IP خاص را محدود کنید.
5- بروزرسانی سرورهای DNS
اغلب هکرها با سوء استفاده از آسیب پذیری های نرم افزارهای قدیمی اهداف خود را عملی می کنند. بنابراین بسیار ضروری است که همیشه نرم افزار سرورهای DNS خود را آپدیت و به روز نگه دارید. نرم افزارهایی از جمله Microsoft DNS و BIND در آخرین نسخه خود از مشخصات امنیتی DNSSEC پشتیبانی می کنند که اقدامات احراز هویت و یکپارچگی داده ها را ارائه می کند.
6- استفاده از CDN
اگر سرورهای شما در خطر مورد هدف قرار گرفتن حملات DDoS است، بهتر است از سرویس های کاهش DDoS مثل CDN ها استفاده کنید. بزرگترین و محبوب ترین CDN در دنیا کلادفلر (Cloudflare) نام دارد که در پلن رایگان خود فقط امکان مقابله با حملات DDoS پایه ای را ارائه می دهد و برای مقابله با حملات DDoS پیشرفته شما نیاز به تهیه یکی از پلن های این سرویس خواهید داشت.
7- جداسازی نیم سرور معتبر از resolver ها
سرورهای معتبر نام DNS را از resolver ها اجرا نکنید. آنها را جداگانه اجرا کنید تا از مسمومیت کش جلوگیری کنید.
8- شناخت دقیق معماری DNS
شما باید معماری DNS خود را به خوبی بشناسید و آن را به درستی ایمن کنید.
9- پیکربندی امن DNS
شما باید DNS را به طور کاملا امن و با استفاده از یک Port رندوم به جای یک درگاه استاندارد DNS (پورت UDP 53) پیکربندی کرده و شناسه کوئری ها را نیز رندوم کنید.
10- غیرفعالسازی DNS recursion
DNS recursion به طور پیشفرض در اکثر سرورهای Bind در تمام توزیعهای اصلی لینوکس فعال است و این میتواند منجر به مشکلات امنیتی جدی، مانند حملات مسمومیت با DNS شود.
نتیجه گیری
ما در این مقاله به طور کامل درباره حملات DNS و راه های مقابله با آنها صحبت کردیم. بسیار مهم است که به طور منظم DNS خود را بررسی کنید و اگر این کار را انجام ندهید یک فرصت فوق العاده برای انجام حملات به هکرها می دهید. علاوه بر این همیشه سرورهای DNS و ترافیک دریافتی خود را زیر نظر داشته باشید تا بتوانید فعالیت های مشکوک را سریعا شناسایی کرده و از انجام حملات احتمالی جلوگیری کنید.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.