حملات بر روی پروتکل DNS: چگونه به سمت وب‌گاه‌های جعلی هدایت می‌شویم؟

همه‌ی ما از اهمیت سرویس نام دامنه (DNS) مطلع هستیم و می‌دانیم برای عملکرد طبیعی اینترنت، این سرویس ضروری است و اگر DNS نبود شاید نمی‌توانستیم از اینترنت استفاده کنیم. با این‌حال بسیاری از کاربران خیلی متوجه اهمیت این سرویس نیستند و به آن توجه ندارند. تا زمانی‌که با استفاده از این پروتکل حمله‌ای رخ ندهد و اتفاق بدی پیش نیاید شاید متوجه نشویم که DNS چه نقش حیاتی را در اینترنت بازی می‌کند. به‌عنوان مثال در حمله‌ای که اخیراً بات‌نت Mirai علیه ارائه‌دهنده‌ی سرویس DNS با نام Dyn انجام داد، شاهد بودیم که بخش وسیعی از اینترنت با قطعی مواجه شد.

نکته‌ای که باید اشاره کنیم، این است که حملات زیادی وجود دارد که می‌تواند این سرویس را تحت تأثیر قرار داده و از کار بیندازد. در این پست قصد داریم به انواع حملات بر روی پروتکل DNS بپردازیم و تفاوت بین آن‌ها را توضیح دهیم.

کارگزار DNS چیست؟
سرویس DNS پروتکلی است که ما را قادر می‌سازد آدرس URL یک صفحه‌ی وب را به آدرس IP آن تبدیل کنیم. با استفاده از این سرویس، دیگر لازم نیست برای هر صفحه‌ی وب، آدرس IP آن را به‌خاطر بسپاریم هرچند که این کار واقعاً سخت و غیرممکن است. تبدیل آدرس‌های دامنه به آدرس IP کاری است که کارگزارهای DNS انجام می‌دهند و برای این منظور به یک پایگاه‌ داده‌ی توزیع‌شده و سلسله‌مراتبی مراجعه می‌کنند. در این پایگاه داده مشخص شده است هر آدرس URL مربوط به چه آدرس IP است. با این روش استفاده از آدرس‌های دامنه بسیار راحت‌تر شده و به‌عبارتی تغییر آدرس‌های IP متعلق به یک وب‌گاه نیز ممکن خواهد شد. باتوجه به اهمیت سرویس DNS، خیلی عجیب نیست که شاهد حملاتی باشیم که از آسیب‌پذیری‌های موجود در این سرویس یا شیوه‌ای که کاربران از آن استفاده می‌کنند، بهره‌برداری کنند.

جعل DNS در مقابل مسمومیت حافظه‌ی نهان DNS
معمولاً این دو حمله با یک عنوان شناخته می‌شوند ولی در حقیقت این دو حمله از هم متفاوت هستند و به‌شیوه‌ای مختلف عمل می‌کنند. در حالت کلی می‌توان گفت، حمله‌ی مسمومیت حافظه‌ی نهان DNS یکی از چندین روشی است که می‌توان به جعل DNS رسید. در واقع این حمله، به گستره‌ی وسیعی از حملات اشاره دارد که تلاش می‌کنند آنچه در کارگزار DNS ذخیره شده را تغییر دهند.

هدف نهایی در حمله بر روی DNS می‌تواند این باشد که رکوردهای DNS بر روی کارگزار، به چیزی که مهاجم می‌خواهد، تغییر یابد که برای رسیدن به این هدف روش‌های مختلفی وجود دارد. از جمله‌ی روش‌هایی که می‌توان رکوردهای DNS را جعل کرد، می‌توان مسمومیت حافظه‌ی نهان DNS، حمله‌ی مردِ میانی، استفاده از ایستگاه‌های پایه‌ی جعلی و تهدید کارگزار DNS را نام برد.

می‌توانیم مثال‌هی مختلفی از حمله‌ی جعل DNS را مشاهده کنیم. به‌طور مثال، مهاجمان می‌توانند آدرس کارگزار DNS که بر روی سامانه عامل یا مسیریاب شما پیکربندی شده را با آدرس دیگری جایگزین کنند. در حالت معمول باید آدرس کارگزار DNS را برابر با آدرس ارائه‌دهنده‌ی سرویس اینترنت خود یا سازمان دیگری مانند گوگل قرار دهیم.

حمله‌ی مسمومیت حافظه‌ی نهان DNS به شرایطی اشاره می‌کنند که همه یا تعداد زیادی از کاربران از یک حافظه‌ی نهان یکسان استفاده می‌کنند و هر آدرس IP به یک نام دامنه وابسته بوده و در قالب رکوردهایی ذخیره شده است. در این حمله، مهاجمان رکوردهای DNS را دست‌کاری کرده و ارائه‌دهندگان سرویس نیز این دست‌کاری را معتبر شناسایی کرده و قبول می‌کنند حتی اگر رکورد دست‌کاری‌شده به یک وب‌گاه جعلی اشاره کند.

در این شرایط، چیزی که ما شاهد هستیم این است که ترافیک ما به سمت آدرس IP قانونی هدایت نمی‌شود. هرچند انجام این مسمومیت در DNS به‌راحتی مسمومیت حافظه‌ی نهان در سامانه یا مسیریاب نیست ولی شواهد نشان می‌دهد این نوع از حملات شدنی است و نمونه‌هایی از انجام آن وجود دارد.

یکی از مشکلات اساسی که در حملات مسمومیت حافظه‌ی نهان DNS پیش می‌آید این است که این حمله می‌تواند به حافظه‌های نهان دیگر نیز گسترش پیدا کرده و ابعاد حمله را بزرگ‌تر کنند. به‌عنوان مثال فرض کنید حافظه‌ی نهان DNS بر روی سامانه‌ی شما آلوده شده است. رکوردهای دست‌کاری‌شده به سمت حافظه‌ی نهان DNS در مسیریاب نیز سرازیر شده و این حافظه با رکوردهای نادرست به‌روزرسانی خواهد شد.

حمله‌ی دامنه‌ربایی چیست؟
بدافزارها می‌توانند فرآیند ترجمه‌ی نام دامنه را نیز تحت تأثیر قرار دهند و قربانی به کارگزاری متصل شود که تحت کنترل مهاجمان است. به‌عنوان مثال می‌توان بدافزار Win۳۲/DNSChanger را نام برد که می‌تواند درخواست‌های DNS را به سمت کارگزار جعلی تغییر مسیر دهد. این حمله مهاجمان را قادر می‌سازد تا حملات بیشتری مانند فیشینگ را انجام دهد. در حملات فیشینگ، کاربر به سمت یک وب‌گاه جعلی هدایت شده و ممکن است گواهی‌نامه‌های خود را وارد کرده و این اطلاعات توسط مهاجمان به سرقت برود. در وب‌گاه‌های فیشینگ امکان توزیع بدافزار و بهره‌برداری از آسیب‌پذیری‌های موجود بر روی سامانه‌ی قربانی نیز وجود دارد.

همان‌طور که مشاهده کردید روش‌های مختلفی برای انجام حمله بر روی سرویس DNS وجود دارد و برای پیشگیری از چنین حملاتی لازم است که راه‌کارهای امنیتی مناسب بر روی سامانه‌ها نصب شده و بر فعالیت‌های صورت‌گرفته بر روی مسیریاب شبکه‌ها نظارت شود. به‌طور مداوم بررسی کنید تا مسیریاب شما به‌روز بوده و پیکربندی مناسبی داشته باشد. همچنین بر روی مسیریاب‌ها از گذرواژه‌های قوی استفاده کنید تا مهاجمان از راه دور نتوانند به آن نفوذ کنند.

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.