عملکرد DNS Tunneling و بهترین روش های حفظ امنیت dns
مقاله 31 شهریور 1402 ساعت 09:39

نحوه عملکرد DNS Tunneling و چگونگی مقابله با آن

آشنایی با نحوه عملکرد DNS Tunneling می توان به شما جهت مقابله با آن کمک کند. DNS یک پروتکل پایه و حیاتی اینترنت است. اغلب به عنوان "دفترچه تلفن اینترنت" توصیف می شود زیرا نام دامنه را به آدرس های IP تبدیل می کند. نمودار زیر یک عملیات DNS ساده شده را نشان می دهد.

آشنایی با عملکرد DNS Tunneling

تصویر(1)

فراگیر بودن DNS می تواند روش های ظریفی را برای برقراری ارتباط و به اشتراک گذاری داده ها فراتر از اهداف پروتکل فعال کند. مجرمان سایبری می دانند که DNS به طور گسترده مورد استفاده قرار می گیرد و افراد به آن اعتماد می کنند. همین امر نشان دهنده اهمیت اقدامات امنیتی DNS است. علاوه بر این، از آنجا که DNS برای استخراج داده ها استفاده نمی شود، بسیاری از سازمان ها بر ترافیک DNS خود جهت جلوگیری از فعالیت های مخرب، نظارت نمی کنند. در نتیجه، تعدادی از انواع حملات مبتنی بر DNS می توانند علیه شبکه های شرکت استفاده شوند. DNS Tunneling یا "تونل سازی DNS" یکی از این حملات است.

عملکرد DNS Tunneling چگونه است؟

حملات تونل سازی DNS از پروتکل DNS برای افزودن بدافزار و سایر داده ها از طریق مدل سرور-کلاینت، سوء استفاده می کنند.

  1. مهاجم دامنه ای مانند example.com را ثبت می نماید. نام دامنه به سرور مهاجم اشاره می کند، جایی که یک بدافزار تونل سازی نصب شده است.
  2. مهاجم کامپیوتری را که اغلب پشت فایروال یک شرکت قرار دارد، با بدافزار آلوده می کند. از آنجایی که درخواست‌های DNS همیشه مجاز به جابجایی و خروج از فایروال هستند، رایانه آلوده مجاز است درخواستی را به "مترجم DNS" یا DNS resolver ارسال کند. DNS resolver سروری است که درخواست‌های آدرس IP را به سرورهای دامنه اصلی و سطح بالا ارسال می‌کند.
  3. DNS resolver کوئری را به سرور تحت کنترل مهاجم هدایت می کند، جایی که برنامه تونل سازی نصب شده است. اکنون ارتباطی بین قربانی و مهاجم از طریق DNS resolver برقرار شده است. از این تونل می توان برای استخراج داده ها یا سایر اهداف مخرب استفاده کرد. از آنجایی که هیچ ارتباط مستقیمی بین مهاجم و قربانی وجود ندارد، ردیابی رایانه مهاجم دشوارتر است. نمودار زیر نحوه عملکرد DNS Tunneling را نشان می دهد.

نحوه عملکرد DNS Tunneling و سو استفاده هکرها از آن

تصویر(2)

DNS tunneling تقریباً 20 سال است که وجود دارد. دو بدافزار Morto و Feederbot برای تونل سازی DNS استفاده می شوند. حملات اخیر تونل سازی توسط این بدافزارها، مربوط به گروه DarkHydrus می شود که نهادهای دولتی خاورمیانه را در سال 2018 هدف قرار داد و هنوز فعال است.

جلوگیری از DNS tunneling

DNS ابزار بسیار قدرتمندی است که تقریبا همه جا مورد استفاده قرار می‌گیرد و به برنامه‌ها و سیستم‌ها اجازه می‌دهد منابع و سرویس‌هایی را جستجو کنند که با آنها تعامل دارند. DNS یک پایه ارتباطی را فراهم می کند که پروتکل های سطح بالاتر و قدرتمندتر را قادر می سازد تا فعالیت کنند. با این حال ممکن است از نظر امنیتی نادیده گرفته شود، به خصوص زمانی که بدافزار از طریق پروتکل های ایمیل منتشر شده یا با استفاده از HTTP دانلود می گردد. به همین دلیل، DNS برای دشمنانی که به دنبال یک پروتکل همیشه در دسترس و نادیده گرفته شده هستند، گزینه مناسبی است.

سازمان‌ها می‌توانند به روش‌های مختلف مانند استفاده از پلتفرم های امنیت شبکه یا فناوری های متن باز، در برابر عملکرد DNS Tunneling از خود دفاع کنند. این نوع دفاع می تواند اشکال مختلفی داشته باشد، برخی از آنها در ادامه آورده شده اند: 

- مسدود کردن نام های دامنه، IP ها یا مناطق جغرافیایی بر اساس سابقه قبلی یا احساس خطر کردن.

- قوانین مربوط به کوئری های جستجوی DNS با ظاهری عجیب.

- قوانین مربوط به طول، نوع یا اندازه کوئری های DNS خروجی و ورودی.

- تجزیه و تحلیل رفتار کاربر یا سیستم که به طور خودکار ناهنجاری‌ها را شناسایی می‌کند. مانند زمانی که دامنه‌های جدیدی با روش دسترسی و فرکانس غیرعادی، قصد اتصال دارند.

اطلاع از چگونگی عملکرد DNS Tunneling به مقابله با آن کمک خواهد کرد 

تصویر(3)

بهترین روش های حفظ امنیت DNS

  • به کارمندان امنیتی خود آموزش دهید:

آنها را تشویق کنید تا هنگام باز کردن لینک ها، اقدامات احتیاطی را برای جلوگیری از نصب بدافزار انجام دهند. آشنایی با نحوه عملکرد DNS Tunneling و آموزش فیشینگ می تواند به آنها در شناسایی حملات مبتنی بر ایمیل کمک کند.

  • یک برنامه شناسایی تهدید را پیاده سازی کنید:

تهدیدات را درک کنید و یک برنامه اطلاعاتی مناسب راه اندازی نمایید تا از انواع مختلف آنها و تکنیک هایی که مهاجمان امروزی استفاده می کنند آگاه باشید. از این طریق می توانید اطمینان حاصل کنید که پشتوانه فناوری مناسبی برای ایمن نگه داشتن شبکه خود دارید.

  • اطلاعاتی که داده های DNS به شما می دهند را بیاموزید:

فقط به ترافیک DNS توجه نکنید. جمع‌آوری گزارش‌ داده های DNS ارزش کمی دارد مگر اینکه بدانید باید به چه مواردی توجه کنید. با درک این داده‌ها، می‌توانید شرکت یا سازمان خود را از تهدیدات مرتبط با DNS، دور نگه دارید.

  • در DNS resolver تاخیر ایجاد نکنید: 

اگر سرور DNS به خطر بیفتد، ممکن است پاسخ‌های نادرستی ارائه دهد تا ترافیک شما را به سایر سیستم‌های در معرض خطر هدایت کند یا یک حمله man-in-the-middle را فعال نماید.

  • برنامه ریزی برای خطرات دورکاری:

یک استراتژی برای نیروی دورکار خود ایجاد کنید. زیرا آنها می توانند داده های حساس شرکت را در معرض خطر قرار دهند. به آنها در خصوص استفاده از وای فای ناامن، رایگان یا عمومی هشدار دهید زیرا دشمنان به راحتی می توانند خود را بین کارمندان و نقطه اتصال اینترنت قرار دهند. احراز هویت چند عاملی را پیاده سازی کرده و برای خطراتی مانند گم شدن یا سرقت دستگاه ها آماده شوید.

  • عکس العمل خودکار تنظیم نموده و صرفا به هشدار بسنده نکنید:

برای محافظت موفقیت‌آمیز از سازمان خود، به عکس العمل های خودکار نیاز دارید. توجه کنید که این مورد تنها مربوط به هشدارها نمی شود. سرعت اجرای تهدیدات، هشدارها و سیگنال ها را بی اثر می کنند. تا زمانی که یک تهدید شناسایی شود، ممکن است خیلی دیر شده باشد. تیم امنیتی شما باید بتواند به طور خودکار تهدیدات را شناسایی کرده و سیستم‌های آلوده را قرنطینه کند. 

جمع بندی

در این مقاله تلاش شد تا در خصوص عملکرد DNS Tunneling و نحوه مقابله با آن توضیحاتی خدمتتان ارائه شود. توجه داشته باشید که DNS Tunneling یک تهدید سایبری جدی بوده و می تواند منجر به عواقب منفی گسترده ای شود. مجرمان سایبری از این تونل برای اهداف مخرب مانند استخراج اطلاعات استفاده می کنند. علاوه بر این، هیچ ارتباط مستقیمی بین مجرم سایبری و هدف وجود نخواهد داشت. این امر تشخیص اقدامات مهاجم را دشوار می کند. به کمک نکات ذکر شده در این مقاله می توانید از این تهدیدات جلوگیری کنید.

برچسب‌ها:
اشتراک گذاری:

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *