تنظیم DNSSEC برای DNS
مقالات تخصصی IT و هاستینگ

بهترین تنظیمات برای مقابله با حملات DNS

اینترنت بدون DNS قابل تصور نیست. تقریبا هیچ سرویسی وجود ندارد که به فناوری DNS وابسته نباشد. DNS به اندازه ای مهم است که باید مرتبا از شبکه خود مراقبت کرده و تا حد امکان آن را ایمن نگاه دارید. در ادامه چند روش مناسب برای مدیریت و مقابله با حملات DNS آورده شده است.

DNS اصلی را مخفی کنید

DNS اصلی را به صورت مخفی پیکربندی کنید. به این ترتیب، در رکوردهای نیم سرور نشان داده نخواهد شد و به هیچ درخواستی نیز پاسخ نمی دهد. هدف از انجام این کار انتقال‌ zone به نیم سرورهای ثانویه عمومی است که به صورت پنهان اما ایمن، وظیفه خود را انجام می دهند.

مقابله با حملات DNS

تصویر(1)

دسترسی ایمن

اتصال بین DNS اصلی و نیم سرورهای ثانویه را ایمن کنید. از ACL (لیست های کنترل سطح دسترسی) و TSIG (امضای تراکنش) استفاده نمایید. به این ترتیب، سرورهای ثانویه شما فریب نخورده و شبکه خراب نخواهد شد.

غیرفعال کردن بازگشت (recursion)

این کار را روی سرورهای خارجی انجام دهید و خطر اینکه سرورهای معتبر شما بخشی از حملات DNS مانند DNS Amplification باشند را کاهش دهید.

محدودیت نرخ (rate limits) را اضافه کنید

حتی اگر بازگشت را در DNS سرورهای خود غیرفعال کرده باشید، باز هم می‌توانند در حملات DNS Amplification با نام دامنه تان استفاده شوند. برای کاهش گزینه های مهاجمان DNS، می توانید محدودیت های نرخ را اضافه نمایید. اگر از نرم‌افزار bind استفاده می‌کنید، در ادامه نمونه‌ای از پیکربندی آورده شده است که می‌توانید برای تعیین محدودیت نرخ از 2 کوئری در ثانیه برای هر شبکه IPv4 کلاس C یا 24/ به گزینه‌ها اضافه نمایید:

rate-limit {
responses-per-second 2;
ipv4-prefix-length 24;
slip 1;
};

تمامی اطلاعات را نشان ندهید

اطلاعات مربوط به نسخه نرم افزار DNS صرفا برای شما است، آنها را به صورت عمومی منتشر نکنید. اگر هکرها به اطلاعات این چنینی دست پیدا کنند، می توانند با سوء استفاده از آسیب پذیری های خاصی که ممکن است نرم افزار داشته باشد، آن را علیه شما به کار ببرند. به عنوان مثال، اگر از نرم‌افزار bind استفاده می‌کنید، می‌توانید version را در بخش options مانند نمونه زیر تنظیم نمایید:

version “unknown”;

سرورهای محتوا (وب) را در نزدیکی مشتریان خود قرار دهید

هوشمندانه عمل کنید و به فکر کاربران خود باشید. مکان نیم سرورهای را طوری انتخاب کنید که به محل کاربران شما نزدیک تر باشد. این مورد تاخیر را کاهش می دهد و موجب بهبود تجربه کاربری می شود. همچنین لود سرورهای دیگرتان را به حداقل می رساند و احتمال خرابی را کاهش می دهد. 

Anycast DNS

از Anycast DNS برای کسب و کار خود استفاده کنید. این مورد تجربه کاربری را بهبود می دهد و به طور چشمگیری زمان بارگذاری صفحه اول وب سایت تان را کاهش می دهد که نهایتا به سئو شما کمک می کند. همچنین سایت را انعطاف‌پذیرتر کرده و به دلیل وجود نقاط مختلف، از سرور در مقابل حملات DNS محافظت می‌نماید.

تنظیم DNSSEC برای DNS

تصویر(2)

از DNSSEC استفاده کنید

Domain Name System Security Extensions یا به اختصار DNSSEC یک لایه امنیتی اضافی در DNS شما فراهم می نماید. این ویژگی از نوع خاصی حمله جلوگیری می کند که در آن مهاجم با رهگیری درخواست ها و پاسخ های DNS، آنها را تغییر می دهد. DNSSEC تضمین می کند که کاربران با وب سایت یا سرویس موردنظر و نه نسخه مخرب آن، در ارتباط هستند. با این حال، توجه داشته باشید که پیاده سازی و مدیریت DNSSEC می تواند پیچیده باشد و باید پیش از هر اقدامی به طور کامل آزمایش شود.

نظارت بر ترافیک DNS

مراقب ترافیک DNS خود باشید. الگوهای غیرمعمول یا افزایش ناگهانی درخواست های DNS می‌تواند نشانه‌ای از نقض امنیتی یا حمله DDoS باشد. با استفاده از خدمات نظارت و پیاده سازی سیستم های هشدار، سازمان ها می توانند به سرعت هر گونه فعالیت غیرعادی DNS را شناسایی کرده و تاثیر تهدیدات را به حداقل برسانند.

ترافیک را با فیلتر DNS کنترل کنید

یک دفاع عالی در برابر ویروس ها، نرم افزارهای جاسوسی و سایر ترافیک های مخرب این است که قبل از نفوذ به شبکه شما، آنها را مسدود کنید. فیلتر DNS در این بخش کاربرد دارد. این ویژگی، تکنیک دسترسی به وب‌سایت‌ها یا محتوای خاص را بر اساس درخواست های DNS کنترل و محدود می‌کند. با پیاده‌سازی آن، سازمان‌ها می‌توانند از دسترسی به وب‌سایت‌های مخرب یا نامناسب جلوگیری کنند و خطر مواجهه با بدافزار، نقض داده‌ها و سایر تهدیدات سایبری را کاهش دهند.

فایل های لاگ یا گزارش را نگه دارید

حفظ لاگ فعالیت DNS سرور یکی دیگر از روش‌های مهم برای پاسخ به حوادث امنیتی و تجزیه و تحلیل حملات سایبری می باشد. این گزارش‌ها اطلاعات ارزشمندی در مورد درخواست ها و پاسخ‌های DNS ارائه می‌کنند و به سازمان‌ها اجازه می‌دهند تا حوادث امنیتی را شناسایی و بررسی نمایند. با تجزیه و تحلیل گزارش‌ها، سازمان‌ها می‌توانند با درک ماهیت حادثه، منبع حمله را ردیابی کنند و اقدامات مناسب را انجام دهند. 

از Geographical DNS  برای تعادل لود سایت استفاده کنید

برای بهینه‌سازی توزیع ترافیک کاربران بر اساس موقعیت‌های جغرافیایی، Geographical DNS یا GeoDNS را پیاده‌سازی کنید. با هدایت کاربران به سروری نزدیکتر یا با کمترین لود، GeoDNS تاخیر را کاهش داده و تجربه کاربر را بهبود می دهد. این رویکرد نه تنها زمان پاسخگویی را بهبود می بخشد، بلکه به مدیریت کارآمد لود ترافیک در شبکه های توزیع شده نیز کمک می کند.

روش های جلوگیری از حملات DNS

تصویر(3)

به طور منظم پیکربندی DNS خود را بررسی کنید

بررسی منظم پیکربندی DNS می تواند به شما در شناسایی و رفع هرگونه ایراد یا آسیب پذیری امنیتی کمک کند. باید تمام جنبه‌های تنظیم DNS، از جمله zone های باز غیرضروری، مسیردهی صحیح آدرس IP و تنظیمات رکورد DNS مورد بررسی قرار گیرند.

جمع بندی

موارد عنوان شده تنها برخی از روش‌های توصیه شده برای DNS هستند. به کمک این روش ها می توان بسیاری از حملات DNS که این روزها رخ می دهند را نابود نمود. مهم نیست که شبکه شما کوچک یا بزرگ است، سعی کنید با پیروی از توصیه های ذکر شده، آن را ایمن نگه دارید. دسترسی به برخی از قسمت های شبکه را محدود کنید و به یاد داشته باشید که طراحی مناسب زیرساخت، برای حضور فعال شما در دنیای دیجیتال حیاتی است.

اشتراک گذاری:

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *