افزایش امنیت DNS با کوکی‌ها

پیشنهادی اواخر ماه می در کار گروه مهندسی اینترنت (IETF) مطرح شد که در آن آمده‌ بود افزودن کوکی‌ها به DNS به دفاع سامانه حیاتی در برابر حملات منع سرویس کمک می‌کند.
سامانه نام دامنه (DNS) یک بخش قدیمی و بنیادی در معماری اینترنت است که ترجمه بین آدرس‌های خواندنی برای انسان مانند theregister.co.uk و آدرس‌های IP را انجام می‌دهد.
DNS نیز چندین بار طی سال‌های اخیر به عنوان یک تقویت کننده ترافیک در حملات DoS مورد سوءاستفاده قرار گرفته است. (حملات تقویتی)

دونال ایستلیک (Huawei) و مارک اندروز (ISC)، در مقاله RFC ۷۸۷۳ پیشنهاد جالبی دادند راجع به اینکه یک کوکی ساده می‌تواند کمک خوبی باشد.
آن‌ها کوکی‌های DNS را به عنوان یک «مکانیسم امنیتی تراکنش DNS سبک» برای مشتریان و کارگزاران تعریف کردند. در حالی که این ایده تنها راه محفاظت محدوده شده‌ای را پیشنهاد می‌دهد، این محققان می‌گویند که می‌توانند به حملات منع سرویس، حملات تقویتی، جعل آدرس و حملات مسمومیت حافظه Cache کمک کنند.

در مورد حریم خصوصی آگاه، محققان گفتند که پیشنهاد آن‌ها این است که کوکی‌های DNS تنها باید به آدرس IP اصلی آن‌ها تبدیل شود تا از استفاده از آن‌ها با عنوان مکانیسم ردیابی کننده جلوگیری شود.
RFC می‌گوید که این روش محافظتی پیشنهاد شده ناشی از این حقیقت است که مهاجم باید مقدار شبه تصادفی ۶۴ بییتی کوکی را حدس بزند.
کوکی مشتری با استفاده از آدرس IP مشتری، آدرس IP کارگزار و یک مقدار سری که تنها برای مشتری قابل دیدن است، محاسبه می‌شود. از این آدرس IP مشتری، کوکی مشتری و یک مقدار سری که تنها برای کارگزار آشکار است برای محاسبه کوکی کارگزار استفاده می‌شود.

در ادامه نویسندگان این مقاله توضیح می‌دهند که چگونه کوکی‌ها می‌توانند در حملات مختلف DNS موثر باشد:
حملات DoS با استفاده از آدرس‌های جعلی: حمله منع سرویس DNS پایه از یک آدرس کارخواه جعلی استفاده می‌کند. کوکی جلوی چنین حملاتی را نمی‌گیرد، اما کارخواه را با آدرس IP واقعیش شناسایی می‌کند، که شناسایی را آسانتر و ناشناس بودن حمله را کاهش می‌دهد.
DNS تقویتی: کوکی‌های DNS کار مهاجم خارج از مسیر را به گونه‌ای مشکل می‌کند که فراتر از پاسخ‌های خطای کوتاه محدود به روشی که به آدرس IP جعلی فرستاده می‌شود، عمل نکند، بنابراین حمله به جای اینکه تقویت شود، تضعیف می‌شود.
کارگزار DoS: هر درخواست DNS پذیرفته شده توسط یک کارگزار از منابع خودش استفاده می‎کند که باعث می‌شود درخواست‌های بسیاری مستقیماً به سمت کارگزار سرازیر شود. این کوکی‌ها رد کردن درخواست‌‌های جعلی را آسان می‌کنند، پیش از اینکه هر جستجوی بازگشتی یا عملیات رمزنگاری کلید عمومی انجام شود.
مسمومیت حافظه Cache و حملات جعلی پاسخ: کوکی‌های DNS به حل‎کننده‌ها اجازه می‌دهد پاسخ‌های جعلی را رد کند.
RFC همچنین یک طرح اجرای افزایشی برای کوکی‌های DNS منتشر کرده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.