اینترنت بدون DNS قابل تصور نیست. تقریبا هیچ سرویسی وجود ندارد که به فناوری DNS وابسته نباشد. DNS به اندازه ای مهم است که باید مرتبا از شبکه خود مراقبت کرده و تا حد امکان آن را ایمن نگاه دارید. در ادامه چند روش مناسب برای مدیریت و مقابله با حملات DNS آورده شده است.
DNS اصلی را مخفی کنید
DNS اصلی را به صورت مخفی پیکربندی کنید. به این ترتیب، در رکوردهای نیم سرور نشان داده نخواهد شد و به هیچ درخواستی نیز پاسخ نمی دهد. هدف از انجام این کار انتقال zone به نیم سرورهای ثانویه عمومی است که به صورت پنهان اما ایمن، وظیفه خود را انجام می دهند.
تصویر(1)
دسترسی ایمن
اتصال بین DNS اصلی و نیم سرورهای ثانویه را ایمن کنید. از ACL (لیست های کنترل سطح دسترسی) و TSIG (امضای تراکنش) استفاده نمایید. به این ترتیب، سرورهای ثانویه شما فریب نخورده و شبکه خراب نخواهد شد.
غیرفعال کردن بازگشت (recursion)
این کار را روی سرورهای خارجی انجام دهید و خطر اینکه سرورهای معتبر شما بخشی از حملات DNS مانند DNS Amplification باشند را کاهش دهید.
محدودیت نرخ (rate limits) را اضافه کنید
حتی اگر بازگشت را در DNS سرورهای خود غیرفعال کرده باشید، باز هم میتوانند در حملات DNS Amplification با نام دامنه تان استفاده شوند. برای کاهش گزینه های مهاجمان DNS، می توانید محدودیت های نرخ را اضافه نمایید. اگر از نرمافزار bind استفاده میکنید، در ادامه نمونهای از پیکربندی آورده شده است که میتوانید برای تعیین محدودیت نرخ از 2 کوئری در ثانیه برای هر شبکه IPv4 کلاس C یا 24/ به گزینهها اضافه نمایید:
rate-limit {
responses-per-second 2;
ipv4-prefix-length 24;
slip 1;
};
تمامی اطلاعات را نشان ندهید
اطلاعات مربوط به نسخه نرم افزار DNS صرفا برای شما است، آنها را به صورت عمومی منتشر نکنید. اگر هکرها به اطلاعات این چنینی دست پیدا کنند، می توانند با سوء استفاده از آسیب پذیری های خاصی که ممکن است نرم افزار داشته باشد، آن را علیه شما به کار ببرند. به عنوان مثال، اگر از نرمافزار bind استفاده میکنید، میتوانید version را در بخش options مانند نمونه زیر تنظیم نمایید:
version “unknown”;
سرورهای محتوا (وب) را در نزدیکی مشتریان خود قرار دهید
هوشمندانه عمل کنید و به فکر کاربران خود باشید. مکان نیم سرورهای را طوری انتخاب کنید که به محل کاربران شما نزدیک تر باشد. این مورد تاخیر را کاهش می دهد و موجب بهبود تجربه کاربری می شود. همچنین لود سرورهای دیگرتان را به حداقل می رساند و احتمال خرابی را کاهش می دهد.
Anycast DNS
از Anycast DNS برای کسب و کار خود استفاده کنید. این مورد تجربه کاربری را بهبود می دهد و به طور چشمگیری زمان بارگذاری صفحه اول وب سایت تان را کاهش می دهد که نهایتا به سئو شما کمک می کند. همچنین سایت را انعطافپذیرتر کرده و به دلیل وجود نقاط مختلف، از سرور در مقابل حملات DNS محافظت مینماید.
تصویر(2)
از DNSSEC استفاده کنید
Domain Name System Security Extensions یا به اختصار DNSSEC یک لایه امنیتی اضافی در DNS شما فراهم می نماید. این ویژگی از نوع خاصی حمله جلوگیری می کند که در آن مهاجم با رهگیری درخواست ها و پاسخ های DNS، آنها را تغییر می دهد. DNSSEC تضمین می کند که کاربران با وب سایت یا سرویس موردنظر و نه نسخه مخرب آن، در ارتباط هستند. با این حال، توجه داشته باشید که پیاده سازی و مدیریت DNSSEC می تواند پیچیده باشد و باید پیش از هر اقدامی به طور کامل آزمایش شود.
نظارت بر ترافیک DNS
مراقب ترافیک DNS خود باشید. الگوهای غیرمعمول یا افزایش ناگهانی درخواست های DNS میتواند نشانهای از نقض امنیتی یا حمله DDoS باشد. با استفاده از خدمات نظارت و پیاده سازی سیستم های هشدار، سازمان ها می توانند به سرعت هر گونه فعالیت غیرعادی DNS را شناسایی کرده و تاثیر تهدیدات را به حداقل برسانند.
ترافیک را با فیلتر DNS کنترل کنید
یک دفاع عالی در برابر ویروس ها، نرم افزارهای جاسوسی و سایر ترافیک های مخرب این است که قبل از نفوذ به شبکه شما، آنها را مسدود کنید. فیلتر DNS در این بخش کاربرد دارد. این ویژگی، تکنیک دسترسی به وبسایتها یا محتوای خاص را بر اساس درخواست های DNS کنترل و محدود میکند. با پیادهسازی آن، سازمانها میتوانند از دسترسی به وبسایتهای مخرب یا نامناسب جلوگیری کنند و خطر مواجهه با بدافزار، نقض دادهها و سایر تهدیدات سایبری را کاهش دهند.
فایل های لاگ یا گزارش را نگه دارید
حفظ لاگ فعالیت DNS سرور یکی دیگر از روشهای مهم برای پاسخ به حوادث امنیتی و تجزیه و تحلیل حملات سایبری می باشد. این گزارشها اطلاعات ارزشمندی در مورد درخواست ها و پاسخهای DNS ارائه میکنند و به سازمانها اجازه میدهند تا حوادث امنیتی را شناسایی و بررسی نمایند. با تجزیه و تحلیل گزارشها، سازمانها میتوانند با درک ماهیت حادثه، منبع حمله را ردیابی کنند و اقدامات مناسب را انجام دهند.
از Geographical DNS برای تعادل لود سایت استفاده کنید
برای بهینهسازی توزیع ترافیک کاربران بر اساس موقعیتهای جغرافیایی، Geographical DNS یا GeoDNS را پیادهسازی کنید. با هدایت کاربران به سروری نزدیکتر یا با کمترین لود، GeoDNS تاخیر را کاهش داده و تجربه کاربر را بهبود می دهد. این رویکرد نه تنها زمان پاسخگویی را بهبود می بخشد، بلکه به مدیریت کارآمد لود ترافیک در شبکه های توزیع شده نیز کمک می کند.
تصویر(3)
به طور منظم پیکربندی DNS خود را بررسی کنید
بررسی منظم پیکربندی DNS می تواند به شما در شناسایی و رفع هرگونه ایراد یا آسیب پذیری امنیتی کمک کند. باید تمام جنبههای تنظیم DNS، از جمله zone های باز غیرضروری، مسیردهی صحیح آدرس IP و تنظیمات رکورد DNS مورد بررسی قرار گیرند.
جمع بندی
موارد عنوان شده تنها برخی از روشهای توصیه شده برای DNS هستند. به کمک این روش ها می توان بسیاری از حملات DNS که این روزها رخ می دهند را نابود نمود. مهم نیست که شبکه شما کوچک یا بزرگ است، سعی کنید با پیروی از توصیه های ذکر شده، آن را ایمن نگه دارید. دسترسی به برخی از قسمت های شبکه را محدود کنید و به یاد داشته باشید که طراحی مناسب زیرساخت، برای حضور فعال شما در دنیای دیجیتال حیاتی است.