آیا DNSSEC موجب بروز مشکلات بیشتری از آنچه که می‌تواند حل کند،‌ می‌شود؟

پروتکل امنیتی پیچیده‌ برای سامانه‌‌ی نام دامنه، DNSSEC، یک مشکل دیگری را ایجاد می‌کند؛ از این پروتکل به عنوان یک روش برای توزیع حملات انسداد سرویس (DDoS) استفاده می‌شود. یک بولتن امنیتی که به وسیله‌ی آکامای منتشر شده است می‌گوید: «تعداد زیادی انعکاس DNS و حملات تقویت‌شده‌ی DDoS را مشاهده کرده و آن‌ها را کاهش داده است، که از گستره‌ی امنیتی سامانه‌‌ی نام دامنه‌ی DNSSEC برای تنظیمات دامنه سوءاستفاده می‌کنند.»
به عبارت ساده، DNSSEC از پاسخ‌های DNS بیشتری نسبت به حالت عادی به عنوان روشی برای افزایش امنیت استفاده می‌کند: «از آن برای تأیید اطلاعاتی استفاده می‌شود که به منابع خاص فرستاده شده و دریافت می‌شود زیرا در این روش آن‌ها دست‌کاری نمی‌شوند.»
با این حال این حجم فوق‌العاده برای کسانی که می‌خواهند به توزیع حملات انسداد سرویس (DDoS) روی آورند، ایده‌آل است.
آکامای می‌گوید که در سه ماهه‌ی گذشته، در حدود ۴۰۰ حمله با استفاده از دامنه‌ی امضاءشده‌ی DNSSEC دیده است.
به طور خاص، یک مهاجم یک بسته‌ی مخرب را در شبکه به یک کارگزار خاص می‌فرستد و کارگزار نیز آن را به یک قربانی باز می‌گرداند. با استفاده از نقایص موجود در DNSSEC ممکن است که از پاسخ‌های بسیار عظیم به عنوان روشی برای افزایش تعداد بسته‌های فرستاده‌شده، استفاده شود؛ حتی تا صد برابر افزایش (هرچند که به طور معمول خیلی کم‌تر ممکن است). بنابراین این کار، آن را تبدیل به یک ابزار بسیار مؤثر برای برخط کردن کارگزارها می‌کند.
در این بولتن اشاره شده است که مهاجمان گاهی اوقات دامنه‌های خود را به تنهایی برای استفاده از حملات تقویت‌شده ثبت می‌کنند؛ مثالی که زده شده است hajjamservices.xy است و در توییتی از سوی فرانسک دنیس که یک محقق امنیت اطلاعات است، گفته می‌شود که از cpsc.gov استفاده شده تا همین کار را انجام دهد. مثال‌های دیگر را نیز می‌توان به سادگی پیدا کرد.
نتایج این کار می‌تواند قابل توجه باشد: آکامای جزییات یک حمله را شرح می‌دهد که علیه یک مؤسسه‌ی اقتصادی انجام شده است و در آن دیده شده که ۴۵٫۱۷ گیگابایت در ثانیه داده به سمت شرکت نشانه‌روی شده است که برابر ۵٫۲ میلیون بسته است. با این حال بزرگ‌ترین هدف، بازار بازی‌های برخط است.

مشکل
معرفی و استفاده از DNSSEC با توجه به هزینه و پیچیدگی‌های آن، برای یک دهه مورد بحث و مناقشه بوده است و اخیراً استدلال شده است که دولت‌ها از آن برای نظارت بر ارتباطات استفاده می‌کنند.
با این حال استفاده و پذیرش آن به طور پیوسته در حال رشد بوده است و در سال ۲۰۱۴، ناظر DNS، ICANN تعیین کرد که همه‌ی دامنه‌های سطح بالای نسل جدید می‌توانند از DNSSEC استفاده کنند که به این معنا خواهد بود که اکثر دامنه‌های سطح بالا به زودی از این پروتکل استفاده خواهند کرد.
البته این پروتکل دارای مدافعینی نیز هست. آندری روباچفسکی، مدیر فن‌آوری جامعه‌ی اطلاعاتی و مدیراجرایی سابقه RIPE، در وبلاگ خود در پاسخ به بولتن آکامی مطالبی نوشته است و در آنجا استدلال می‌کند که: «باید تعادلی میان امنیت افزایش‌یافته توسط DNSSEC و میزان افزایش پاسخ‌های DNS که ممکن است توسط مهاجمان مورد سوءاستفاده قرار گیرند،‌ برقرار شود.
DNSSEC ممکن است برای حمله مورد استفاده قرار گیرد اما «مجرمان واقعی» سامانه‌های بسیار ضعیف‌تری در اینترنت دارند که بتواند به آن‌ها اجازه دهد، با نشانی‌های آی‌پی جعلی و نرم‌افزارهای راه دور، به درخواست‌های ارسال‌شده از سوی میزبان‌های آسیب‌پذیر، پاسخ دهند.»
به عبارت دیگر این یک نبرد قدیمی است که هرکسی می‌تواند در شبکه‌ی گسترده‌ی توزیع، کاری مناسب و معقول برای اطمینان از امنیت خود و عدم سوءاستفاده انجام دهد. در حالی‌که DNSSEC برای بخش‌های به خوبی مدیریت‌شده‌ی DNS برای اطمینان از امنیت به خوبی عمل می‌کند، ممکن است برای بخش‌های ضعیف خود بخشی از مشکل باشد.
راه حل چیست؟ بیشتر کارشناسان DNS استدلال می‌کنند که نمی‌توان به لحاظ امنیت رو به عقب حرکت کرد، اما باید به توسعه‌ی ابزارهای بیشتر و فشار برای آموزش بیشتر روی آورد تا خطرات را کاهش داده و روش‌هایی برای حل آن‌ها پیدا کرد.
خود را به تنهایی برای استفاده از حملات تقویت‌شده ثبت می‌کنند؛ مثالی که زده شده است hajjamservices.xyz است و در توییتی از سوی فرانسک دنیس که یک محقق امنیت اطلاعات است، گفته می‌شود که از cpsc.gov استفاده شده تا همین کار را انجام دهد. مثال‌های دیگر را نیز می‌توان به سادگی پیدا کرد.
نتایج این کار می‌تواند قابل توجه باشد: آکامای جزییات یک حمله را شرح می‌دهد که علیه یک مؤسسه‌ی اقتصادی انجام شده است و در آن دیده شده که ۴۵٫۱۷ گیگابایت در ثانیه داده به سمت شرکت نشانه‌روی شده است که برابر ۵٫۲ میلیون بسته است. با این حال بزرگ‌ترین هدف، بازار بازی‌های برخط است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]