حملات DNS
حملات DNS هر نوع حمله ای است که شامل سیستم نام دامنه (DNS) می شود . روش های مختلفی وجود دارد که مهاجمان می توانند از نقاط ضعف DNS استفاده کنند. بیشتر این حملات بر سوءاستفاده از DNS برای جلوگیری از دسترسی کاربران اینترنتی به وب سایت های خاص متمرکز شده است. اینها زیر حملات انکار سرویس (DoS) قرار دارند.نقاط ضعف DNS همچنین می تواند برای هدایت بازدید کنندگان سایت به صفحات مخرب ، در آنچه به عنوان ربودن DNS شناخته می شود ، اعمال شود. مهاجمان همچنین می توانند از پروتکل DNS برای فریب دادن اطلاعات حساس به سازمانها ، مانند تونل سازی DNS استفاده کنند.اما ما باید یک قدم عقب برداریم تا بتوانیم در دامنه وسیعی از حملات DNS به عمق بپردازیم. ما قبل از انتقال به مباحث فردی در مورد هر نوع حمله ، با ارائه مبانی ، توضیح خواهیم داد که DNS چیست و چگونه کار می کند.
سیستم نام دامنه (DNS) یک دفترچه تلفن است
یکی از محبوب ترین و ساده ترین قیاس های DNS ، فکر کردن به عنوان یک دفترچه تلفن است. شاید کمی تاریخ باشد زیرا کتابهای تلفنی عمدتاً منسوخ هستند ، اما بیایید لحظه ای دلتنگ شویم (یا از والدین خود بپرسید که آیا شما خیلی جوان هستید که قبلاً از آنها استفاده کرده اید.چرا مردم از کتاب تلفن استفاده کردند؟ زیرا آنها می خواستند با شخصی تماس بگیرند که نام او را بشناسد ، اما شماره آنها را نشناسد. دانستن نام شخصی ، اما تعداد آنها اینگونه اتفاق عادی نبود که ما برای حل مشکل همه خانه های مختلف درست کردیم.
اما آیا تا به حال کتاب تلفنی معکوس داشته اید؟ احتمالاً شما به یاد نمی آورید که شماره شخصی خود را بشناسید اما نام آنها را ندیده اید ، سپس با عجله به یک کتاب از متن های کتاب مقدس برای پی بردن به آن ، آیا؟ مطمئناً ، آن دسته از خدمات جستجوی شماره وجود داشته است ، اما بیشتر ما به ندرت از آنها استفاده می کردیم ، به خصوص وقتی که با دفترچه تلفن معمولی مقایسه می شد.
آیا هرگز تعجب کرده اید که چرا بیشتر در یک جهت اتفاق افتاده است؟
این فقط عجیب نیست اگر افراد شروع به نامگذاری نوزادان خود 2982940293 کنند ، به خاطر سپردن یک شماره تلفن 10 رقمی از نام و نام خانوادگی یک شخص نیز بسیار سخت تر است .خوشبختانه کتابهای تلفن قدم به صفحه گذاشتند و مشکل را حل کردند. آنها به ما اجازه دادند بدون نیاز به یادآوری تک تک از سیستم های شماره استفاده کنیم. تنها چیزی که نیاز داشتیم نام مخاطب مورد نظر ما بود و ما می توانیم آنها را در فهرست جستجو کنیم ، شماره را تایپ کرده و امیدوارم آنها انتخاب کنند.سیستم نام دامنه تقریباً شبیه به کتاب تلفن ماست . این به عنوان یک فهرست راهنما عمل می کند و ما را از یادآوری تعداد زیادی از شماره ها نجات می دهد. با این حال ، به جای تبدیل نام افراد به شماره تلفنهای آنها ، نامهای دامنه مانند Comparitech.com را به آدرس های IP مانند 209.58.135.68 تبدیل می کند .
نام دامنه
نام دامنه بسیار ساده است. آنها در اصل رشته های الفبایی کاراکترهایی هستند که برای بازدید از یک وب سایت ، مانند Comparitech.com یا Wikipedia.org ، تایپ می کنید . اینها از طریق ثبت نام دامنه مانند GoDaddy یا NameCheap ثبت شده اند. از همه مهمتر ، رشته کلمات یا حروف مورد استفاده در اکثر نامهای دامنه برای افراد بسیار ساده تر از آدرس های IP مربوطه است.
آدرس های IP
IP مخفف پروتکل اینترنت است که پروتکل اصلی است که ما برای انتقال داده از طریق شبکه از طریق اینترنت استفاده می کنیم. آدرس IP شما در اصل آدرس شما در پروتکل اینترنت است و هر دستگاه متصل به اینترنت دارای یک مورد است.
می توانید به آنها خیلی شبیه آدرس های فیزیکی فکر کنید. اگر می خواهید پیک بسته ای را از مشاغل خود تهیه کرده و آن را برای دیگری ارسال کنید ، هر دو آدرس لازم است به طوری که پیک بداند که کجا آن را پیدا کند و کجا آن را کنار بگذارد.
به طور مشابه ، هنگامی که به وب سایتی مانند Comparitech.com مراجعه می کنید ، مرورگر رایانه شما باید سرور Comparitech را از طریق آدرس IP خود ، 209.58.135.68 پیدا کند . به عنوان بخشی از تعامل ، آدرس IP رایانه شما نیز ضروری است ، به طوری که سرور ما می داند که داده ها را از کجا ارسال می کند. می توانید آدرس IP خود را با استفاده از VPNs ، TOR و سایر ابزارهای حریم خصوصی از یک سایت مخفی نگه دارید ، اما این موارد خارج از محدوده مقاله ما نیست.
چرا ما هم از نام دامنه و هم از آدرس IP استفاده می کنیم؟
چند دلیل مختلف برای این وجود دارد. اگر ما فقط از آدرس های IP برای بازدید از وب سایت ها استفاده کردیم ، فکر می کنید چند مورد مختلف وجود داشته باشند که بتوانید سر خود را حفظ کنید؟ احتمالاً در حدود همان شماره تلفن – زیاد نیست.آن را با چند نام دامنه در جمجمه خود لگد کنید؟ این می تواند در صدها یا هزاران نفر باشد. حتی اگر قبلاً از وب سایت بازدید نکرده اید و آدرس آن را نمی دانید ، این شانس خوب است که بتوانید فقط با وارد کردن نام مشاغل یا نام شخص بدون فضاها و com. در انتها آن را پیدا کنید. در بسیاری موارد ، شما حتی به ابزاری مانند Google نیز نیازی ندارید تا بتوانید به آنجا بروید.
اگر فقط از آدرس های IP استفاده می کردید ، نمی توانستید این کار را انجام دهید. نام دامنه نسبت به آدرسهای IP برای افراد ساده تر است . از آنجا که ماشین ها به جای نام های مختلفی که افراد برای وب سایت های خود انتخاب می کنند از آدرس های IP استفاده می کنند ، ما به روشی نیاز داریم که بتوانیم یکی را به دیگری ترجمه کنیم و برعکس.فایده دیگر داشتن هر دو این است که وب سایت ها می توانند آدرس IP خود را بطور موقت یا دائم تغییر دهند بدون اینکه تأثیر آن روی بازدیدکنندگانشان باشد. اگر Comparitech آدرس IP خود را تغییر دهد ، شما حتی متوجه آن نمی شوید. مرورگر شما باید به آدرس دیگری دسترسی پیدا کند ، اما شما هنوز هم در Comparitech.com تایپ می کنید و در Comparitech.com تمام می شوید ، حتی اگر از نظر فنی در مکانی جدید باشد.
DNS: نحوه دفترچه تلفن اینترنت کار می کند
سیستم نام دامنه یک ساختار غیر متمرکز است که ما از آن به عنوان دایرکتوری برای ترجمه بین نام دامنه و آدرس های IP استفاده می کنیم . اگرچه ممکن است کسل کننده و فنی به نظر برسد ، این یک جزء اصلی اینترنت است که بدون آن به شدت محدود می شود.
بیایید بگوییم که شما می خواهید به سایت compitech.com مراجعه کنید.در سیستم نام دامنه ، هنگامی که شما یک نام دامنه را در مرورگر خود وارد می کنید ، اولین قدم برای مرورگر و سیستم عامل شماست که ببینند آیا آدرس IP صفحه خاص را می شناسند یا نه.
آدرس IP در حال حاضر ممکن را از درخواست های قبلی ذخیره سازی. این بدان معناست که اگر قبلاً فرآیند را طی کرده باشید ، ممکن است آدرس IP ذخیره شده باشد تا در آینده آسان تر شود . اگر آدرس IP از قبل ذخیره شده باشد ، مرورگر شما می تواند برای دسترسی به صفحه مستقیماً با سرور وب سایت تماس بگیرد.
اگر نه مرورگر شما و نه سیستم عامل شما از قبل آدرس IP را برای دامنه نمی شناسند ، حل کننده خرد (یک حل کننده خرد DNS) که به سیستم عامل شما تعبیه شده است ، از سرور دیگری که به عنوان حل کننده بازگشتی شناخته می شود ، سوال می کند . این نوع سرور DNS اغلب توسط ISP ها اداره می شود. اگر حل کننده بازگشتی دارای فهرست ذخیره شده باشد ، آدرس IP را برای شما ارسال می کند تا مرورگر شما بتواند وب سایت را پیدا کند.
اگر حل کننده بازگشتی آدرس IP را در اختیار شما نگذارد ، برای کار شما پیش می رود و سعی می کند آن را پیدا کند. اولین قدم آن تماس با سرور root است . سرویس دهنده root آدرس IP های IP را حفظ نمی کند ، اما می داند که در آن کوئری را هدایت کند. این دستورالعمل بازگشتی جهتها را به سرورهای سطح بالا (TLD) مربوطه ارسال می کند . این مبتنی بر گسترش دامنه درخواستی است. این قسمت در انتها است ، مانند .com ، .org ، .net ، و غیره.
در مورد جستجوی شما برای compitech.com ، شما برای دامنه های .com به TLD ارسال می شوید. تخصصی TLD پس از آن به برطرف بازگشتی خود را پاسخ دهید با nameserver های معتبر برای دامنه شما به دنبال برای.
راه حل بازگشتی شما سپس با سرویس دهنده معتبر تماس می گیرد و آن را برای آدرس IP می پرسد. سرورهای معتبر آدرس IP را در گروه بندی خود می شناسند زیرا به داده های اصلی رجیستری دسترسی دارند. این شامل لیستی از نام دامنه در کنار آدرس IP مربوطه می باشد.nameserver های معتبر می فرستد و سپس بر طرف کننده بازگشتی آدرس IP مربوطه، که آن را در کش خود، ارائه به سیستم عامل ، و سپس آن را به انتقال به مرورگر. این یک فرآیند پیچیده است ، اما در نهایت ، مرورگر شما آدرس IP را می شناسد و می تواند شما را به وب سایت هدایت کند . اگرچه ممکن است این روند دشوار به نظر برسد ، همه این موارد در چشمک صورت اتفاق می افتد و قبل از آنکه بدانید ، صفحه ای را که می خواستید در مقابل خود دارید.یک استثناء در صورتی است که سرور معتبر با NXDOMAIN پاسخ دهد. این اساساً بدان معنی است که اگر وب سایت وجود داشته باشد ، سرور معتبر هیچ سرنخی برای یافتن آن ندارد. اگر پاسخ NXDOMAIN دریافت کنید ، قادر نخواهید بود به وب سایت مورد نظر خود دسترسی پیدا کنید. هنگامی که یک پاسخ NXDOMAIN را برای یک وب سایت دریافت می کنید که مطمئن هستید درست است ، به طور کلی بدان معنی است که سایت بصورت آفلاین است یا مشکل سرور دارد.
نام دامنه-سیستم
چگونه سیستم نام دامنه آدرسهای IP را بازیابی می کند.
به طور خلاصه:
مرورگر شما بررسی می کند که آیا آدرس IP در حال حاضر به صورت محلی ذخیره شده است.
اگر اینطور نیست ، حل کننده خرد پیرامون حلال بازگشتی DNS می پرسد.
اگر حل کننده بازگشتی نشانی IP را ذخیره نکرده باشد ، از سرویس دهنده root root DNS پرس و جو می کند.
سپس نام شناسه root به حل کننده بازگشتی پاسخ می دهد که با نام سرور TLD با آن باید ارتباط برقرار کند.
هنگامی که حل کننده بازگشتی با سرویس دهنده TLD مربوطه تماس می گیرد ، به حل کننده بازگشتی می گوید که با کدام سرویس دهنده معتبر تماس برقرار کند.
حل کننده بازگشتی با شناسه معتبر تماس می گیرد ، که سوابق آن را جستجو می کند ، سپس آدرس IP مربوطه را به حل کننده بازگشتی ارسال می کند. حل کننده بازگشتی با ارسال آن به دستگاه شما ، فرایند را تمام می کند. مرورگر شما می تواند از آدرس IP برای اتصال به وب سایت استفاده کند .
اگر سرویس دهنده نام معتبر سابقه DNS را نداشته باشد ، با NXDOMAIN به حل کننده بازگشتی پاسخ می دهد.
البته اگر سوابق DNS در مراحل قبلی یافت شود ، بدون نیاز به ادامه کل مراحل ، می توانید به وب سایت دسترسی پیدا کنید.
انواع حمله DNS
سیستم DNS پیچیده است و مهاجمان می توانند از طرق مختلف از آن استفاده کنند و اهداف مختلفی را در ذهن داشته باشند. بسیاری از این حملات با هدف ایجاد وب سایتها ، شبکه ها یا دستگاه ها غیرقابل دسترسی است ، اغلب با بمباران سیستم های آنها با ترافیک جعلی ، که مانع از دسترسی قانونی یا استفاده از سرویس هدفمند می شود.به معنای کلی ، اینها به عنوان حملات انکار سرویس (DoS) شناخته می شوند ، که در امنیت سایبر رایج است. متداول ترین شکل حمله DoS ، حمله انکار سرویس (DDoS) توزیع شده است ، که اساساً بدان معنی است که ترافیک مهاجم از یک منبع منفرد وارد نمی شود. در عوض ، هدف از هزاران آدرس IP مختلف ، که معمولاً بخشی از یک botnet هستند ، مورد هدف قرار می گیرد. این باعث می شود تا از حملات DDoS دفاع در برابر حملات DoS بسیار سخت تر شود.
در این مقاله فقط در مورد حملات DoS و DDoS که سیستم نام دامنه را درگیر می کنند ، صحبت خواهیم کرد ، و نه مواردی که از سایر قسمت های زیرساخت اینترنت استفاده می کنند. این حملات DoS سیستم نام دامنه شامل طغیان DNS ، به همراه زیر تیپ های آن ، حملات NXDOMAIN ، حملات تصادفی به زیر دامنه و حملات دامنه فانتوم است .
حملات تقویت همچنین نوعی حمله به انکار سرویس است ، اگرچه آنها با آنچه در بالا ذکر شد متفاوت هستند زیرا از انعکاس برای بزرگنمایی قدرت حمله استفاده می کنند.
نوشتن مجدد DNS به مجرمان سایبری اجازه می دهد تا به سیستم ها نفوذ پیدا کنند ، در حالی که تونل سازی DNS به آنها امکان می دهد داده ها را به داخل و خارج ارسال کنند . در مقابل ، ربودن DNS بر تغییر پیکربندی های DNS تمرکز دارد تا کاربران را به سمت وب سایت های ناخواسته سوق دهد.
خطوط بین انواع مختلف حملات DNS همیشه مشخص نیست ، اما ما سعی کرده ایم تا حد ممکن مرتب آنها را مرتب کنیم تا به شما در درک چگونگی مقایسه آنها با یکدیگر کمک کند.
سیل DNS
اگر سرور DNS در حمله DDoS دچار اختلال شود ، هر وب سایت که از سرور استفاده می کند ممکن است در ترافیک خود دچار اختلال شود . مهاجمان معمولاً از botnets برای هدف قرار دادن سرورهایی با حجم زیاد درخواست DNS استفاده می کنند. هنگامی که سرورها توسط این درخواست های مخرب سرریز می شوند ، به این معنی است که درخواست های مشروع نمی توانند از طریق آن استفاده شوند.
نتیجه؟
اگر سعی می کنید به وب سایت مراجعه کنید و آدرس IP آن را ذخیره نکرده اید ، درخواست DNS شما به دلیل درخواست های رقیب امکان پذیر نخواهد بود. حجم بالای حمله تمام منابع سرور DNS را به خود اختصاص می دهد ، بنابراین ظرفیت اضافی برای ارسال آدرس IP مورد نظر خود را نخواهد داشت.اگر نمی توانید آدرس IP را بدست آورید ، مرورگر وب شما نمی داند به کجا بروید. من نمی دانم چگونه سرور میزبان وب سایت مورد نظر خود را مشاهده کنید ، بنابراین نمی تواند شما را متصل کند . حتی اگر وب سایت از نظر فنی هنوز هم آنلاین باشد ، اگر آدرس IP را در حال ذخیره بودن ندارید ، نمی توانید از آن بازدید کنید. این برای همه افرادی که سعی در دسترسی به وب سایت دارند صادق است ، به این معنی که سیل DNS می تواند باعث کاهش چشمگیر ترافیک وب سایت ها شود.نه تنها حملات DDoS می توانند با ترافیک جعلی خود روی سرورها غلبه کنند ، بلکه کاربرانی که نمی توانند به وب سایت وصل شوند ، تمایل دارند که به طور مداوم صفحات خود را تازه کنند. این امر باعث می شود حتی تعداد درخواست ها بیشتر از حد معمول باشد و این حمله را بدتر کند.
حمله سیل بر روی سرور DNS Dyn
یکی از بهترین نمونه های حمله به سرورهای DNS حمله سایبری 2016 Dyn است . Dyn یک شرکت زیرساخت اینترنتی است که یک بستر مدیریتی DNS را فراهم می کند. طبق گفته این شرکت ، در 21 اکتبر 2016 ، درست پس از ساعت 11 صبح UTC مورد حمله قرار گرفت . بعداً بعد از ظهر دچار دیگری شد.در ابتدا ، حمله DDoS سکوی مدیریت شده Dyn را در مناطق غربی آمریکا ، آسیا اقیانوس آرام ، آمریکای جنوبی و اروپای شرقی هدف قرار داد . هنگامی که دین پاسخ خود را نشان داد ، این حمله متمرکز و متمرکز بر شرق ایالات متحده بود ، و حجم زیادی از بسته های UDP و TCP را به بندر 53 از تعداد قابل توجهی از آدرس های IP مختلف منتقل کرد.
حمله دوم در کانون جهانی خود بیشتر بود ، اما این شرکت توانست تا عصر عصر بهبود یابد. طی چند روز آینده نیز تعدادی از حملات آزمایشگاهی کوچکتر اتفاق افتاد ، اما دین موفق شد بدون اینکه مشتری یا کاربران را تحت تأثیر قرار دهد ، آنها را کاهش دهد.
از دید کاربر اینترنت ، مهمترین اثر حمله این بود که مانع از دسترسی برخی از آنها به وب سایت ها شد. احتمالاً کسانی که در سواحل شرقی ایالات متحده قرار گرفته اند تحت تأثیر قرار گرفته اند. وب سایت های تحت تأثیر شامل Netflix ، Spotify ، Etsy ، PayPal ، Reddit ، Twitter ، GitHub و بسیاری موارد دیگر هستند.
توجه به این نکته ضروری است که خود سایت ها از بین نرفته اند ، زیرا سرویس هاستینگ آنها تحت تأثیر این حمله قرار نگرفته است . مسئله برای بازدید کنندگان سایت که آدرس های IP ذخیره نشده ندارند ، بود. از آنجا که سرورهای DNS Dyn غرق شدند ، این بازدید کنندگان نتوانستند جستجوی DNS خود را انجام دهند ، بنابراین آدرس های IP مربوطه ارسال نمی شوند.همانطور که در بخش قبلی بحث کردیم ، این حمله همچنین باعث شد افرادی که سعی در وصل شدن دارند به طور مداوم صفحات خود را تازه کنند و در نتیجه درخواست های مکرر منجر به ازدحام بیشتر شود.حمله توسط Mirai botnet انجام شد که یک بات نت بزرگ است که عمدتاً از دستگاه های IoT ضعیف مانند روتر و دوربین ساخته شده است. به این ارتش از دستگاهها دستور داده شد که درخواستهای DNS را به صورت یونیون ، بارگذاری بیش از حد سرورهای Dyn و از بین رفتن ترافیک مشروع ، دشوار کنند.
حملات سیل DDoS به سرویس دهنده های اصلی
همچنین ممکن است حملات DDoS شناسه های ریشه DNS را هدف قرار دهند. از لحاظ تئوریک ، اگر یک حمله از قدرت کافی برخوردار باشد و برای مدت زمان کافی پایدار باشد ، می تواند DNS را در سرتاسر جهان تحت تأثیر قرار دهد ، کاربران اینترنت را در حل درخواست های خود و مانع از دسترسی آنها به وب سایت ها ، تحت تأثیر قرار دهد.
در واقعیت ، حملات از این بزرگی غیر عملی است ، زیرا DNS غیر متمرکز و انعطاف پذیر است. حملات واقعی علیه سرورهای ریشه DNS تمرکز ویژه تری داشته اند.
یک نمونه ، حملات سال 2015 است که بر علیه چندین سرویس دهنده اصلی انجام می شود. در 30 ام ماه نوامبر و 1 ST ژانویه، چند تن از سرورهای ریشه حجم زیادی از ترافیک دریافت شده از منابع مختلف از، تا رسیدن به 5 میلیون جستجو در ثانیه در اوج حمله کند.
در هر روز از حمله ، یک نام دامنه متفاوت با بار زیاد پرس و جوها طغیان شد. این حملات بیشتر ، اما نه همه سرورهای ریشه DNS را هدف قرار داده است. پرس و جوها از آدرس های IPv4 به ظاهر تصادفی سرچشمه گرفته اند که به راحتی از بین می روند و تعیین منبع حمله دشوار است.
در حالی که این حمله شامل بارهای غیرمعمول و سنگین بود ، اما تأثیر قابل توجهی در کاربران اینترنت نداشت. طبق بیانیه اداره شماره های اختصاص داده شده به اینترنت (IANA) ، “گزارشی در مورد شرایط خطای دید کاربر نهایی در دست نیست و در نتیجه این حادثه” منتشر نشده است.
ایانا در ادامه اظهار داشت که تا آنجا که آگاه بود ، تنها تأثیرات ممکن است برخی تأخیرهای بالقوه جزئی در جستجوی DNS باشد که برای کاربران اینترنت “به سختی قابل درک” خواهد بود. این امر را به “استحکام کلی” سیستم نام دهی ریشه DNS نسبت داد.
در سال 2016 ، دو محقق VeriSign در کنفرانسی در بوینوس آیرس گفتگو کردند و جزئیات تحقیقات خود در مورد این حمله را بیان کردند. آنها دریافتند که اگرچه سرویس دهنده های اصلی RNS در این حمله تأثیر پذیرفته اند ، اما آنها اهداف اصلی نیستند. درعوض ، محققان ادعا کردند که اهداف واقعی دو آدرس IP چینی بوده است.
حمله NXDOMAIN
حمله NXDOMAIN نوع خاصی از حمله سیلاب است که شامل هکر ارسال مقدار زیادی درخواست نامعتبر به یک سرور DNS هدفمند می شود. سرور سپس از سرور نام معتبر برای آدرسهای IP که وجود ندارد ، درخواست می کند و منابع هر دو سرور را نیز هزینه می کند. اگر این حمله به اندازه کافی قدرتمند باشد ، می تواند منجر به سرنگونی هر دو شود.این نتیجه می دهد که هر دو سرور توسط درخواستهای نامعتبر سرکوب می شوند ، مانع از پاسخ زمان پاسخ آنها برای درخواست های واقعی می شوند ، و به طور بالقوه متوقف می شوند و کلیه خدمات قطعنامه DNS خود را متوقف می کنند. از نظر عملی ، به این معنی است که وقتی کاربران اینترنت سعی می کنند به وب سایتی مراجعه کنند که از سرور DNS حمله شده استفاده می کند ، در صورتی که آدرس IP را ذخیره نکرده باشند ، دچار تاخیر می شوند یا قادر به دستیابی به آن نخواهند بود.حملات NXDOMAIN برای مدیران سرور DNS می تواند مشکل باشد ، زیرا ممکن است تصور کنند سیستم به جای اینکه توسط درخواست های نامعتبر بیشمار حمله NXDOMAIN دچار مشکل شود ، مشکلات عملکردی را متحمل می شود.
حمله به زیر دامنه تصادفی
یک حمله فرعی زیر دامنه تا حدودی شبیه به حمله NXDOMAIN است. با این حال ، آنها به جای جستجوی دامنه نامعتبر یا وجود ندارند ، آنها شامل درخواست درخواست برای دامنه های موجود نیستند.برای نشان دادن این نکته ، بیایید بگوییم که root domain shembull.com واقعی است و سازمانی که در پشت آن قرار دارد یک انجمن ، یک مرکز پشتیبانی و یک بخش شغلی را در وب سایت اداره می کند. هرکدام از اینها به ترتیب در زیر دامنه های خود ، forum.example.com ، support.example.com و кариеب.example.com قرار دارند.اگر می خواهید یک حمله فرعی به صورت تصادفی در زیر دامنه علیه example.com وارد کنید ، درخواستهای DNS را برای forum.example.com یا هر زیر دامنه موجود دیگر ارسال نمی کنید. در عوض ، شما رشته ای از کاراکترهای تصادفی را به عنوان زیر دامنه های نامعتبر ایجاد می کنید و برای آن ها درخواست می کنید.
این زیر دامنه های نامعتبر ممکن است چیزی شبیه به این باشد:
n78tofoahdk.example.com
94nfajfo8.example.com
a4nkasof874.example.com
هنگامی که از شما برای زیر دامنه های نامعتبر درخواست می کنید ، سرور بازگشتی زمان و منابع خود را بارها و بارها درخواست می کند تا پیش از بازگشت پیام های خرابی ، نام سرور معتبر را برای زیر دامنه هایی که وجود ندارد ، جستجو کند.این فشار بیشتری را برای سرور بازگشتی و سرور نام معتبر ایجاد می کند. اگر حمله را با یک بات نت بزرگ شروع کنید ، با این کار هر بنده فقط تعدادی از این درخواست ها را انجام می دهد ، می تواند منابع عظیمی را به دست آورد و از جلوگیری از درخواست های قانونی جلوگیری می کند.دقیقاً مانند حملات NXDOMAIN ، وقتی افراد سعی می کنند بدون اینکه IP آدرس ذخیره شده را داشته باشند ، به عنوان مثال دسترسی پیدا کنند ، یا به تأخیر می افتند یا از رسیدن به سایت جلوگیری می شود . دلیل این امر این است که سرور DNS بسیار تحت الشعاع درخواستهای زیر دامنه های نامعتبر از همه بردگان قرار دارد.شناسایی تصادفات فرعی زیر دامنه می تواند دشوار باشد. هنگامی که آنها از botnet های دستگاه هایی که توسط مجرمان سایبری به دست آمده اند سرچشمه می گیرند ، تشخیص اینکه کدام پرس و جوها واقعاً قانونی هستند ، دشوار است.مثال خوبی از حمله تصادفی به زیر دامنه توسط FBI در فوریه 2020 منتشر شد. Bleeping Computer با دیدن یک سند FBI که نشان می دهد سرور DNS برای یک وب سایت ثبت نام رای دهنده حجم بالایی از درخواست DNS دریافت کرده است مطابق با تصادفی بود.
حمله زیر دامنه
در طی یک ماه ، سرور DNS تعداد سنبله ها را تجربه کرد و در بیش از 200000 درخواست در طول دوره های زمانی که به طور معمول حدود 15000 درخواست دریافت می کرد ، به اوج خود رسید. این درخواست ها بیشتر مربوط به زیر دامنه هایی بود که وجود نداشت و از آدرس های IP متعلق به سرورهای DNS بازگشتی منشا می گرفتند. این منشاء حمله کننده را منفجر کرد. به طور علنی مشخص نیست که آیا FBI در تحقیقات خود توانست مهاجم دیگری را ردیابی کند یا خیر.
حمله دامنه فانتوم
تحت حمله دامنه فانتوم ، یک هکر برای اولین بار مجموعه ای از دامنه ها را تنظیم می کند که به آنها پاسخ نمی دهند یا پاسخی بسیار کند به درخواست DNS می دهند . سپس مهاجمان حجم زیادی از درخواست های مربوط به این دامنه ها را به حلال بازگشتی هدفمند DNS ارسال می کند. سرور بطور مداوم از این دامنه های فانتوم در انتظار پاسخ استعلام می کند.
یک بار دیگر ، این منابع سرور بازگشتی را می خورد ، یا می تواند آن را به میزان قابل توجهی کاهش دهد یا باعث خرابی آن شود ، از این که کاربران اینترنتی از درخواست های DNS مشروعیت به سرور جلوگیری کنند ، جلوگیری می کند. در نهایت ، این می تواند مانع از دسترسی آنها به سایتی شود که می خواهند از آن بازدید کنند.
حملات تقویت DNS
حملات تقویت DNS کمی فاصله گرفتن از مواردی است که قبلاً پوشش داده ایم. هر یک از تکنیک هایی که در بالا مورد بحث قرار گرفتیم شامل یافتن راه هایی برای اضافه بار سرورهای DNS که وب سایت ها استفاده می کنند ، به نوبه خود ، مانع از دسترسی یا جلوگیری از دستیابی افراد به وب سایت های آسیب دیده می شود.در حالی که حملات تقویت DNS قصد خراب شدن یا کند شدن سرویس ها را دارند ، آنها با تلاش برای بارگذاری بیش از حد سرورهای DNS این کار را نمی کنند. در عوض ، آنها از سرورهای DNS به عنوان سلاح استفاده می کنند.حملات تقویت DNS نوع خاصی از حمله بازتاب است. حملات بازتاب DNS شامل مجرمان سایبری می شود که به آدرسهای IP به سرورهای DNS درخواست می کنند. با این حال ، آنها این کار را بدون استفاده از آدرس های خود انجام می دهند – آنها درخواست را جعل می کنند و در عوض جزئیات هدف را درج می کنند.هنگامی که یک مهاجم با یک آدرس فریب خورده درخواست می کند ، سرورهای DNS سؤالات را دریافت می کنند ، سپس پاسخ ها را به آدرس جعلی هدف ارسال می کنید. اگر مهاجم حجم زیادی از این درخواست ها را ایجاد کند ، تعداد بسیار زیادی از پاسخ های ارسال شده به هدف می تواند آن را کند یا غلبه کند.سرور وب سایت هدفمند با پاسخگویی به سؤالاتی که حتی هرگز نکرده است ، از بین می رود ، منابع خود را تخلیه می کند و به طور بالقوه باعث عدم دسترسی آن می شود.در شرایط عادی ، حمله به این طبیعت نیاز به حجم بسیار زیادی از درخواست های مستهجن برای غلبه بر قربانی با پاسخ های سرورهای DNS دارد. اما اگر هکر بتواند حمله را انجام دهد چه اتفاقی می افتد که هر درخواستی در عوض پاسخ بسیار بزرگتری را تحریک کند؟ این نوع بزرگنمایی باعث می شود منابع منابع هدف و سقوط آن به مراتب آسان تر شود.این مفهوم اساسی در پشت حملات تقویت DNS است – به حداکثر رساندن کارآیی با یافتن راهی برای ارسال درخواستهای نسبتاً کوچک که در نهایت بازگرداندن پاسخهای بسیار بزرگ از سرورهای DNS خواهد بود. مثال خوب حمله تقویت کننده بسیار کارآمد ، حمله DDoS با استفاده از سرورهای Memcached over UDP است که ابتدا توسط Cloudflare در سال 2018 نوشته شده است. توجه داشته باشید که این حمله از پروتکل DNS استفاده نکرده است ، اما هنوز هم نمونه خوبی از چگونگی اصول تقویت است. می تواند حملات را بسیار قدرتمندتر کند.
حمله DDoS با استفاده از سرورهای Memcached به UDP
بیایید با باز کردن کلمات اختصاری و اصطلاحات در عنوان شروع کنیم تا همه در همان صفحه قرار بگیریم. اول ، ما DDoS داریم ، که قبلاً به آنها اشاره کردیم ، برای حمله انکار سرویس توزیع شده کوتاه است.
Memcached یک نرم افزار منبع باز است که با ذخیره برخی از داده ها برای سرعت بخشیدن به وب سایت های خاص استفاده می شود. از ویکی پدیا ، گوگل ابر ، فیس بوک و تعداد زیادی از وب سایت های دیگر استفاده شده است ، بنابراین این یک مؤلفه بسیار مهم نحوه تعامل با اینترنت است.
UDP پروتکل Datagram User است که یکی از پایه های مجموعه پروتکل اینترنت است و به برنامه های رایانه ای امکان ارسال پیام (معروف به دیتاگرام) از طریق اینترنت با فرمت استاندارد را می دهد.
هنگامی که سرورهای Memcached نادرست تنظیم شوند ، مهاجمان می توانند از آنها در حملات تقویت بیش از UDP استفاده کنند. همانطور که در مقاله Cloudflare به آن اشاره شده است ، درخواست به سرور Memcached تنها 15 بایت می تواند منجر به پاسخ 750 کیلوبایت شود ، که این مقدار به تقویت 51000 درصد است.
با استفاده از این روش تقویت با استفاده از این تکنیک ، غلبه بر اهداف خود برای هکرها بسیار ساده تر می شود. تمام کاری که آنها باید انجام دهند اینست که یک سری درخواست های کوچک از بردگان را در باتنت خود انجام دهید ، و هدف به سرعت خراب می شود و از دسترسی قانونی به وب سایت جلوگیری می کند.
حملات تقویت کننده معمولاً برای محافظت در برابر آنها دشوار است زیرا پاسخ ها از طریق سرورهای قانونی انجام می شود. خبر خوب این است که نسخه 1.5.6 از Memcached با غیرفعال کردن UDP به طور پیش فرض ، به کاهش این نوع خاص از تقویت تقویت می شود. با این حال ، نسخه های قدیمی تاریخ Memcached ، و همچنین طیف وسیعی از خدمات دیگر ، هنوز هم می تواند مورد استفاده قرار گیرد برای حملات تقویت.
بازگرداندن DNS
Reinding DNS یک روش حمله است که شامل سوءاستفاده از DNS برای ورود به یک شبکه خصوصی است. این یک مانور دزدکی است که به مجرمان سایبری اجازه می دهد تا سیاست همان مبدا را دور بزنند .
در اصل ، همان سیاست منشأ یک مفهوم در امنیت برنامه وب است که در آن یک صفحه وب فقط در صورت داشتن منشأ یکسان می تواند به داده های صفحه دوم دسترسی داشته باشد – هر دو از یک نام میزبان ، شماره پورت و شماره شناسایی یکسان هستند.
همین سیاست منشأ برای امنیت آنلاین ما بسیار مهم است. بدون آن ، می توانید در یک برگه به حساب بانکی خود وارد شوید و در یک سایت ناامن در دیگری مرور کنید. اگر سایت ناامن جاوا اسکریپت را مخرب کرده است ، می تواند داده ها را از برگه بانکی شما درخواست کند ، به حساب شما دسترسی داشته باشد و حتی تمام پول خود را به یک بانک خارجی منتقل کند.
خوشبختانه ، همین سیاست منشأ این امر را متوقف می کند ، زیرا بانک شما و سایت ناامن منشاء مختلفی دارند.
ما از یک مثال برای توضیح چگونگی استفاده مجدد از DNS برای دستیابی به سیاست همان مبدا استفاده خواهیم کرد. بیایید بگوییم که شما احساس گناه می کنید و می خواهید به شبکه خصوصی سازمان دسترسی پیدا کنید تا داده ها را سرقت کنید یا از منابع آن برای ارسال اسپم استفاده کنید.
اولین قدم شما در یک حمله مجدد DNS ، ثبت دامنه مانند DNSrebindingexample.com خواهد بود. سپس لازم است که دامنه را به یک سرور DNS که همچنین تحت کنترل شماست متصل کنید.
در این سرور DNS ، باید آن را برای مدت زمان بسیار کوتاهی برای زندگی تنظیم کنید (TTL) . با توجه به DNS ، TTL مدت زمانی است که می توان برای ثبت یک رکورد DNS ذخیره کرد.
اگر TTL سرور DNS خود را به مدت زمان 10 یا بیشتر تنظیم کرده باشید ، از ذخیره شدن سوابق DNS جلوگیری می کنید. این بدان معنی است که هرکسی که سعی در بازدید از دامنه داشته باشد ، باید هر بار با سرور تماس بگیرد.
قدم بعدی فریب دادن قربانی به دامنه است. روش های مختلفی برای این کار وجود دارد ، اما اگر شما یک سازمان خاص را هدف قرار می دهید ، بیایید بگوییم که هریک از اعضای کارمندان خود را با ایمیل های فیشینگ حاوی URL ، به بهانه اینکه این وب سایت برای یک مشتری جدید بالقوه است ، اسپم کنید .
بیایید فرض کنیم که این سازمان شیوه های بد آموزش در زمینه امنیت سایبر را دارد و حداقل یک کارمند برای پیام دریافت می کند و روی پیوند کلیک می کند . وقتی مرورگر وب آنها سعی می کند به وب سایت شما برسد ، ابتدا با سرور DNS شما تماس می گیرد. سرور DNS با آدرس DNSrebindingexample.com ، آدرس IP به قربانی پاسخ می دهد ، که می گوییم 1.2.3.4 است.
قربانی به وب سایت شما متصل می شود ، که میزبان JavaScript مخرب است که به طور خودکار به صورت بارگیری درایو اجرا می شود . این اسکریپت بارگذاری شده را در شبکه خصوصی قربانی اجرا می کند ، که در این صورت وسایل ناامن که رمزهای پیش فرض خود را تغییر نکرده اند ، جستجو می کنید. بیایید بگوییم روتر با آدرس IP 4.4.4.4 را در پشت دیوار آتش سازمان پیدا می کنید.
وقتی مرورگر هدف سعی می کند مجدداً به وب سایت شما وصل شود ، TTL کوتاه بدان معنی است که مجبور است دوباره با سرور DNS شما ارتباط برقرار کند. اما به جای ارسال آدرس IP سایت 1.2.3.4 ، این بار سرور DNS خود را پیکربندی کنید تا به آدرس IP روتر از 4.4.4.4 پاسخ دهید.
این به شما امکان می دهد تا خط مشی اصلی مرورگر را بدست آورید ، زیرا به نظر می رسد که هر دو 1.2.3.4 و 4.4.4.4 دارای اصل مشابه هستند ، DNSrebindingexample.com. سپس می توانید به راحتی به روتر پشت دیواره آتش سازمان دسترسی پیدا کنید ، زیرا مرورگر هیچ دلیلی برای مسدود کردن دسترسی که به نظر می رسد از همان مکان است ، نمی بیند .
از این مرحله ، شما می توانید برای سرقت داده ها بیشتر وارد شبکه شوید و یا تعدادی حمله دیگر را انجام دهید.
در سال 2017 یک محقق امنیتی از گوگل آسیب پذیری را در عامل بروزرسانی Blizzard کشف کرد که همه کاربران آن را در معرض خطر قرار می داد. مهاجمان می توانند از آن برای نصب نرم افزارهای مخرب استفاده کنند ، و عامل بروزرسانی فرض می کند که پرونده ها فقط برای بازی ها به روزرسانی شده اند.
به روزرسانی نماینده یک سرور JSON RPC با یک نقطه پایانی ایجاد کرد که نیازی به مجوز ندارد ، اما سایر درخواست ها برای داشتن یک هدر مجوز معتبر در کنار نشانه نیاز دارند. عامل به روزرسانی Blizzard به گونه ای تنظیم شده است که به وب سایت ها اجازه می دهد تا با XMLHttpRequest () را به درخواست های مربوط به شبدر ارسال کنند. این امر در مورد بازگرداندن DNS آسیب پذیر بود ، زیرا وب سایت ها می توانند به راحتی نام DNS را ایجاد کنند که مجاز به اتصال با آنها باشند ، سپس آنها را در مورد میزبان محلی حل و فصل کنید.
نتیجه تنظیم عامل بروزرسانی Blizzard این بود که هر وب سایتی می تواند دستورات ممتازی را برای آن ارسال کند و به هکرها اجازه می دهد حملات خود را تشدید کنند. با وجود برخی سوءتفاهم با کاشف اشکال است، موضوع در نهایت شد وصله در آغاز 2018.
ربودن DNS
مهاجمین همچنین می توانند با استفاده از تکنیکی به نام ربودن DNS از سیستم DNS برای ارسال قربانیان به وب سایت های جعلی استفاده کنند. این اصطلاحی چتر است که به عنوان تغییر مسیر DNS نیز شناخته می شود ، در حالی که روش هایی که بر روی مهاجمی که پاسخ DNS را تغییر می دهد متمرکز می شوند به عنوان کلاهبرداری DNS شناخته می شوند. حمله هایی که حافظه نهان حلال DNS را با سوابق آدرس IP جعلی پر می کند ، به مسمومیت کش معروف هستند.
تحت ربودن DNS ، مهاجمین قربانیان خود را از وب سایتهای رایج که معمولاً از آنها بازدید می کنند ، دور می کنند ، با استفاده از ترفندهای مربوط به DNS ، آنها را به سایت های کلاهبرداری منتقل می کنند . این وب سایت های جعلی غالباً به گونه ای طراحی شده اند که به عنوان سایت معتبر به نظر می رسند ، و قصد دارند که قربانیان خود را در وارد کردن اطلاعات ورود به سیستم یا جزئیات کارت اعتباری خود فریب دهند. سپس هکرها از این اطلاعات برای دسترسی به حسابهای خود یا ارتکاب کلاهبرداری و جرایم دیگر استفاده می کنند.
از طرف دیگر ، مجرمان سایبری همچنین می توانند از آدم ربایی DNS برای ارسال قربانیان به وب سایت هایی که میزبان بدافزار هستند استفاده کنند. این می تواند شامل باج افزار ، جاسوس افزارها ، ابزارهای تبلیغاتی مزاحم ، Trojans و طیف وسیعی از برنامه های مخرب دیگر باشد. در نهایت ، هکرها از این بدافزار استفاده می کنند تا هر آنچه را که می خواهند از قربانی بیرون بیاورند ، خواه اطلاعات ، دسترسی و یا پول باشد.
مهاجمان همچنین از ربودن DNS برای بازگرداندن قربانیان به وب سایت هایی که کنترل می کنند ، استفاده می کنند تا بتوانند از درآمد آگهی درآمد کسب کنند. در آنچه که به عنوان داروخانه شناخته می شود ، به جای پایان یافتن در وب سایت مورد نظر خود ، قربانیان به سایتی هدایت می شوند که توسط مهاجمی که به شدت تبلیغات می کند کنترل می شود. سپس مهاجم بر اساس نماها یا کلیکها پول در می آورد.
ISP ها ، ارائه دهندگان خدمات DNS و زیرساخت های سانسور ملی مانند فایروال بزرگ چین از ربودن DNS برای نمایش تبلیغات ، جمع آوری داده و مسدود کردن دسترسی به وب سایت های خاص استفاده می کنند . این یک عمل بحث برانگیز در جامعه امنیتی است ، زیرا نه تنها افراد از وب سایت های مورد نظر خود دور می شوند بلکه می توانند آنها را در مقابل حملات اسکریپت کراس سایت (XSS) آسیب پذیر جلوه دهند و عملکرد سیستم های مختلف را مختل کنند و در معرض دید بیشتر آنها قرار دهند. مسائل امنیتی.
در بسیاری از مواقع ، ISP ها برای اهداف تجاری خود از ربودن DNS استفاده می کنند ، اما به بعضی اوقات به دستور دادگاه دستور داده می شود که بازدید کنندگان را از سایت های خاصی هدایت کنند. مثال خوب این امر هنگامی است که دادگاههای هلند به ISP ها دستور دادند که سایت تورنت ، The Pirate Bay را مسدود کنند.
انواع مختلف آدم ربایی DNS
ربودن DNS از چندین تکنیک مختلف برای منحرف کردن یک کاربر اینترنتی از وب سایت مورد نظر خود به یک صفحه مخرب استفاده می کند:
ربودن محلی – این نوع ربودن DNS شامل مهاجمی است که بدافزار را روی رایانه هدف نصب می کند ، سپس تنظیمات محلی DNS را تغییر می دهد تا به جای صفحه وب در نظر گرفته شده ، آنها را به یک سایت مخرب تغییر دهد.
ربودن روتر – بسیاری از روترها دارای آسیب پذیری سیستم عامل هستند یا هنوز از رمزهای عبور پیش فرض آنها استفاده می کنند. مهاجمان می توانند از این نقاط ضعف امنیتی برای دسترسی و پیکربندی مجدد تنظیمات DNS روتر استفاده کنند. اگر آنها تنظیمات DNS را برای سایتهای خاص به سایتهای مخرب تغییر دهند ، هر کسی که از طریق روتر متصل می شود ، وقتی سعی می کند به وب سایتهایی که جزئیات DNS خود را تغییر داده بودند ، به سایت مخرب منتقل شود.
سرور سازگار – هکرها می توانند سرورهای DNS را به خطر بیاندازند و تنظیمات آنها را تغییر دهند به طوری که آدرس های IP وب سایت های هدفمند در واقع به سایت هایی که تحت کنترل مهاجمین هستند اشاره می کنند. هر کاربر اینترنتی که دستگاه وی درخواست DNS را به یکی از وب سایتهای هدفمند روی سرور سازش داده شده هدایت می کند ، به وب سایت مخرب هدایت می شود ، جایی که ممکن است با بدافزار ، فیشینگ یا داروخانه روبرو شود.
آدم ربایی DNS در وسط انسان – در یک حمل man وسط انسان ، مجرمان سایبری خود را وارد کانال ارتباطی می کنند و یا پیام ها را گوش می دهند یا تغییر می دهند. این فرایند در ربودن DNS مشابه است ، زیرا مهاجم پیام های ارسال شده بین سرور DNS و یک کاربر را متوقف می کند. مهاجم پاسخ سرور DNS را به آدرس IP وب سایت مخرب خود تغییر می دهد و کاربر را به سایت مخرب ارسال می کند.
یک نمونه خوب از ربودن DNS محلی توسط محققان Bitdefender در مارس 2020 کشف شد . این حمله شامل روترها را هدف قرار می داد و تنظیمات DNS آنها را مجدداً تنظیم می کرد ، و این باعث می شد که قربانیان به جای صفحات مورد نظر برای بازدید از سایت های تحت بدافزار قرار بگیرند.
به نظر می رسید که این حمله مدلهای مختلف روتر Linksys را هدف قرار داده است. در حالی که محققان 100 درصد از چگونگی به خطر افتادن روترها اطمینان ندارند ، تصور می کردند که این امر از طریق بی رحمانه کردن حساب های ابری Linkys یا پیدا کردن دسترسی آنلاین به کنسول های مدیریت روتر انجام می شود.
پس از دسترسی هکرها ، آنها تنظیمات DNS را تغییر می دهند تا قربانیانی که سعی در دسترسی به سایتهایی مانند disney.com یا aws.amazon.com دارند به صفحاتی که تحت کنترل مجرمان سایبری قرار دارند ، هدایت شوند.
به محض ورود به صفحه ، قربانیان با یک پیام جعلی از سازمان بهداشت جهانی مورد استقبال قرار گرفتند و به آنها گفتند که یک برنامه حاوی اطلاعات مربوط به COVID-19 را بارگیری و نصب کنید.
البته آنهایی که برای تله افتادند واقعاً با بارگیری یک پرونده مخرب .exe مخزن Bitbucket ، که مجموعه ای از وقایع را راه اندازی کرده و منجر به نصب Ost infostealer می شود. سپس این بدافزار می تواند طیف گسترده ای از داده های حساس را از قربانیان خود ، از جمله رمزهای عبور رمزنگاری و اعتبار ورود به سیستم ، سرقت کند.
DNS Tunneling
تونل سازی DNS یک روش حمله است که از پروتکل DNS برای انتقال داده های رمزگذاری شده استفاده می کند . هکرها به طور مکرر از آن استفاده می کنند تا اطلاعات حساس سازمان های هدفمند را به دست آورند. آنها همچنین می توانند از تونل سازی DNS استفاده کنند تا با یک سرور کنترل و کنترل از درون شبکه هدفمند تماس بگیرند ، سپس بدافزارهای بیشتری را در داخل فایروال سازمان بارگیری کنند.
پروتکل DNS یک مؤلفه اساسی و به ظاهر خوش خیم اینترنت است. بسیاری از سازمان ها به دقت آن را رصد نمی کنند و این امر زمینه را برای مجرمان سایبری فراهم می کند. مطمئناً ، بسیاری از پروتکل های دیگر نیز وجود دارند که برای حمل و نقل داده ها مناسب تر هستند ، اما تمایل دارند از نزدیک محافظت شوند. تونل سازی DNS به مهاجمان فرصتی می دهد تا از دیوارهای آتش و روش های تشخیص استفاده کنند.
قبل از اینکه هکرها بتوانند از تونل سازی DNS برای سرقت داده ها از طریق شبکه سازمان استفاده کنند ، ابتدا به دسترسی به شبکه سازمان نیاز دارند. این اغلب با فیشینگ یا شکل دیگری از تحویل بدافزار حاصل می شود.
مهاجمان همچنین باید یک سرور DNS در خارج از شبکه هدفمند تحت کنترل خود داشته باشند ، همچنین یک وب سایت با سوابق DNS که از طریق این سرور DNS به آن دسترسی پیدا می کنند. پس از راه اندازی همه چیز ، مرحله بعدی استخراج داده های حساس از طریق تونل DNS است.
هکرها یک مشتری تونل سازی محلی DNS را در شبکه سازمان هدف نصب می کنند ، سپس از آن برای رمزگذاری اطلاعات حساس به عنوان نمایش داده های DNS برای وب سایت تحت کنترل مهاجم استفاده می کنند . این نمایش داده شدها به سرور DNS که تحت کنترل مهاجم است ، ارسال می شود ، با این فرض که شخصی از درون سازمان در واقع سعی در دسترسی به وب سایت مهاجم دارد.
از آنجا که پروتکل DNS اغلب مورد بررسی دقیق قرار نمی گیرد ، این تکنیک اجازه می دهد تا داده های رمزگذاری شده بدون اینکه کشف شوند ، استخراج شوند . مگر اینکه سازمان هدف پروتکل DNS را به دقت رصد کند ، هکر می تواند داده های حساس را به عنوان آنچه از نظر سؤالات DNS بی ضرر است بیابید. در طی فرایند ، سرور DNS مهاجم پاسخ هایی را ارسال می کند تا به نظر برسد که درخواست ها قانونی باشد.
هنگامی که نمایش داده شد DNS خارج از شبکه هدف قرار داده شده و در اختیار مهاجمان است ، آنها به عنوان اطلاعات حساس به فرم اصلی خود رمزگشایی می شوند. از این مرحله ، مهاجم می تواند اطلاعات را بفروشد ، از آن برای کلاهبرداری استفاده کند یا مرتکب جرایمی دیگر شود.
تونل سازی DNS OilRig
یک نمونه عالی از تونل سازی DNS توسط تیم امنیتی واحد 42 مورد تجزیه و تحلیل قرار گرفت . به عنوان بخشی از تحقیقات خود در مورد اقدامات گروه تهدیدات OilRig ، واحد 42 یک تروجان سفارشی معروف به ارتباط ALMA را کشف کرد.
پس از نصب ارتباط ALMA بر روی سیستم هدف ، مجدداً به مرکز فرمان و کنترل ارتباط برقرار کرده و داده ها را از طریق تونل سازی DNS استخراج می کنید. با این حال ، این تنها می تواند مقدار محدودی از داده را با استفاده از هر درخواست DNS تنها 10 بایت را بارور کند. پرونده های بزرگ به تعداد قابل توجهی درخواست نیاز دارند و احتمال شناسایی را افزایش می دهند.
جلوگیری از حملات DNS
با توجه به طیف گسترده ای از حملات DNS ، تعدادی از روش های مختلف برای محافظت لازم است که برخی از آنها خارج از کنترل فرد یا سازمان است. به عنوان نمونه ، اگر وب سایت شما در طول حملات ذکر شده در سال 2016 از سرورهای DNS Dyn استفاده کرده است ، کاری نمی توان انجام داد تا سایت شما برای کسانی که به آدرس IP آن نیاز داشتند در دسترس باشد ، مگر اینکه شما یک سرور DNS پشتیبان داشته باشید.
با این حال ، هنوز هم کارهای بسیاری وجود دارد که سازمان شما می تواند انجام دهد:
انجام ممیزی DNS – با گذشت زمان ، به راحتی می توانید زیر دامنه های قدیمی را فراموش کنید یا دامنه های تحت کنترل خود را آزمایش کنید. برخی از این نرم افزارها ممکن است در حال اجرا باشند و یا به راحتی توسط مهاجمان قابل دسترسی نیستند. حسابرسی از مناطق DNS شما این بینش را برای کشف آسیب پذیری های مربوط به DNS به شما می دهد و به شما کمک می کند تا درک کنید که چه مواردی باید برطرف شود.
از یک سرور اختصاصی DNS استفاده کنید – این شرکت های کوچکتر وسوسه انگیز است که سرور DNS خود را در کنار سرورهای برنامه خود میزبانی کنند. با این حال ، این خطرات حملات برنامه های وب را افزایش می دهد. به همین دلیل بهتر است خدمات DNS را روی یک سرور جدا شده اجرا کنید.
انتقال منطقه محدود – انتقال منطقه DNS کپی از منطقه DNS است. اگر انتقال منطقه DNS شما در دست یک مهاجم قرار بگیرد ، می تواند درک بهتری از ساختار شبکه شما داشته باشد. با وارد شدن به پرونده پیکربندی نرم افزار DNS و محدود کردن انتقال منطقه به آدرس های IP خاص ، می توانید از حمله مهاجمان از انجام انتقال منطقه جلوگیری کنید.
بازگشت DNS را خاموش کنید – اگر سرور شما پیکربندی شده است که امکان بازگشت DNS را فراهم می کند ، به این معنی است که میزبان های اشخاص ثالث می توانند از سرورهای نام پرس و جو کنند. این امر باعث می شود که مجرمان سایبری حملات مسموم با حافظه نهان و حملات تقویت DNS را آسان کنند. بازگشت DNS با تغییر پرونده navê.conf غیرفعال می شود .
سرورهای DNS خود را به روز کنید – مجرمان سایبری دوست دارند از آسیب پذیری های موجود در نرم افزارهای قدیمی استفاده کنند ، بنابراین اجرای تکه های هر چه سریعتر ضروری است. این امر در سراسر صفحه اعمال می شود ، از جمله برای کسانی که سرویس دهنده های نام خود را اداره می کنند. آخرین نسخه های نرم افزاری مانند Microsoft DNS و BIND از مشخصات امنیتی مانند DNSSEC پشتیبانی می کنند ، که اقدامات احراز هویت و یکپارچگی داده ها را ارائه می دهد.
از یک سرویس کاهش دهنده DDoS استفاده کنید – اگر سرورهای DNS شما در یک حمله بزرگ DDoS هدف قرار گرفته اند ، می توانند سرویس ها را غیرقابل دستیابی کنند و باعث ایجاد اختلال در تجارت می شود. بهتر است از یک ارائه دهنده کاهش دهنده DNS مانند Cloudflare یا Akamai استفاده کنید ، که منابع آن می توانند به شما کمک کنند تا سرورهای DNS شما را بصورت آنلاین حفظ کنید.
به دلیل طیف گسترده ای از حملات DNS ، بحث در مورد مکانیسم دفاعی مهم با جزئیات مورد نظر امکان پذیر نیست. هر سازمان زیرساخت ها ، نرم افزارها و نیازهای خاص خود را دارد ، بنابراین ارائه مشاوره صحیح با توجه به هر شرایطی کار سختی است.
نکته مهم برای درک این است که پروتکل DNS چگونه کار می کند ، و چگونه می توان از طریق روش های مختلف سوءاستفاده کرد. سازمان ها فقط در صورت درک خطرات با آنها ، می توانند از خود محافظت کنند و از رویکردی پیشروانه در دفاع از خود استفاده کنند. در غیر این صورت ، آنها ممکن است با عواقب جدی اختلال در تجارت ، سرقت داده یا بدتر مواجه شون شود