DNS یک مؤلفه بسیار مهم است که متاسفانه اغلب کاربران آن را نادیده میگیرند. بسیاری از حملات DNS خطرناک هستند و هدف آنها سوء استفاده از آسیب پذیری های مختلف و ایجاد مشکلات جدی میباشد. در این مقاله 5 مورد از خطرناک ترین و رایج ترین حملات DNS بیان شده است. با مطالعه این مقاله میتوانید حملات مذکور را درک نموده و راهی برای حفظ امنیت کسب و کار خود بیابید.
تصویر(1)
حمله DNS چیست و چگونه میتواند روی سایت تأثیر بگذارد؟
به طور کلی، منظور حمله ای است که Domain Name System یا به اختصار DNS را هدف قرار میدهد. این حمله میتواند اهداف متفاوتی داشته باشد. هکرها در این نوع حملات تلاش می کنند تا سرورها را از کار بیندازند یا اطلاعات آنها را تغییر دهند. ضمن اینکه DNS یک پروتکل قدیمی است و به عنوان زیرساخت امن شناخته نمی شود.
برای درک این موضوع میتوانید نمونههای زیر را در نظر بگیرید:
- هکرها ترافیکی را که باید به سایت شما منتقل گردد، به سرورهایی که توسط خودشان کنترل میشوند، هدایت خواهند کرد. هکر می تواند با ایجاد صفحات جعلی مشابه سایت شما، اطلاعات ارزشمند مشتریانتان را به سرقت ببرد. بازدیدکنندگان که از جعلی بودن صفحات اطلاعی ندارند، در سایت ثبت نام کرده یا وارد حساب کاربری خود می شوند. اگر در این صفحات جعلی، پول نیز دریافت شود، مشکلات شما بزرگتر خواهد شد.
- یک حمله DDoS قدرتمند، میتواند سرورها را تحت تاثیر قرار دهد و آنها را از کار بیندازد. در عمل، یک حمله DDoS میتواند حتی هفته ها به طول بیانجامد. مطمئنا قطعی سایت میتواند موجب نارضایتی مشتریانتان شود. کاربران در طول حمله DNS قادر به دسترسی و استفاده از خدمات سایت شما یا خرید محصولات نخواهند بود. در نتیجه، این حمله باعث ضرر مالی جبران ناپذیری میشود و حتی ممکن است بخشی از مشتریان خود را برای همیشه از دست بدهید.
هر سایتی ممکن است توسط حملات DNS تهدید شود. حتی سایت های بزرگ مانند ویکیپدیا، مایکروسافت و ... نیز این نوع حملات را تجربه کرده اند.
رایج ترین حملات DNS
در ادامه 5 مورد از رایج ترین حملات DNS بیان شده است. نباید از چنین تهدیداتی غافل شوید لذا لازم است اقدامات پیشگیرانه ای را جهت مقابله با آنها انجام دهید.
- DDoS Amplification یا DDoS تقویت شده
حمله DDoS Amplification انواع مختلفی دارد که اغلب از پروتکل ساده UDP، سوء استفاده میکنند. این نوع حمله با هدف قرار دادن ضعیفترین نقطه در سایت و افزایش قابل توجه ترافیک، باعث ایجاد مشکل میگردد. هکرها با ارسال کوئریهای DNS، علاوه بر آدرس IP، اطلاعات اضافی را نیز درخواست می کنند. این کوئری های زیاد، باعث از کار افتادن سرور می شوند.
نحوه کاهش این نوع از حملات چگونه است؟
- شما به یک شبکه بزرگ از سرورهای DNS مانند شبکه Anycast نیاز دارید. اگر تعداد سرورهای داخل شبکه کافی باشد، میتوان ترافیک را بدون قطع کردن کل شبکه، فیلتر کرد.
- برای سرور محدودیت تنظیم کنید که فقط به IP لوکال هاست (127.0.0.1) پاسخ داده شود. البته، اگر نمی خواهید از UDP استفاده نمایید، میتوانید به طور کلی آن را غیرفعال سازید.
- از فایروال برای پورت 11211 استفاده کرده و دسترسی به سرور را فقط به IP های لیست سفید، محدود کنید.
تصویر(2)
- DNS Cache Poisoning (آلودگی کش DNS)
این نوع حمله DNS، روی DNS resolver (ابزار جستجوی DNS) متمرکز است. DNS resolver یک حافظه کش دارد که اطلاعات مربوط به دامنه ها را برای مدت زمان مشخصی نگهداری می کند. DNS resolver ها، یک کپی از رکوردهای DNS را برای مدت زمانی که TTL (زمان انتظار جهت دریافت پاسخ) مشخص مینماید، حفظ خواهند کرد. هکر رکوردهای DNS را تغییر میدهد و ترافیک را به سرور موردنظر خود، هدایت میکند.
شما میتوانید برای کوئری هایی که جهت یافتن یک آدرس خاص ارسال می شوند با استفاده از لیست سیاه، محدودیت ایجاد کنید. بهترین ابزار جهت جلوگیری از آن، DNSSEC است. اگر یک سرور بازگشتی (Recursive server) آلوده شده باشد، کوئری دریافتی مسدود شده و کاربر در امان خواهد بود.
- DNS Tunneling (تونل سازی DNS)
DNS Tunneling نوعی حمله است که تلاش میکند اطلاعات مختلف را بدون اینکه شناسایی شود، از طریق DNS دریافت نماید. این تونل در پوشش یک کوئری DNS عمل میکند اما اطلاعات را به صورت پنهان دریافت خواهد کرد.
سرویس DNS باید دارای یک DNS Protection باشد که به عنوان یک فایروال هوشمند عمل کند. اگر این ویژگی در فایروال شما فعال نیست، می توانید با توجه به نوع فایروال خود، قوانینی را برای مسدود کردن ترافیک های ناخواسته تنظیم کنید.
تصویر(3)
- DNS Flood Attack (حمله پرترافیک DNS)
DNS Flood Attack یک حمله ساده و تاثير گذار است. به این صورت که ترافیک را از یک یا چند دستگاه به سرور مورد نظر ارسال میکند. با ایجاد ترافیک زیاد، تمام منابع سرور درگیر خواهد شد. اگر تمام این ترافیک از یک منبع باشد، مسدود کردن آن آسان است اما اگر از طریق یک شبکه عظیم بات ها صورت گیرد، کنترل آن میتواند بسیار دشوار شود.
- Distributed Reflection Denial of Service یا DRDoS (حملات انسداد سرویس بازگشتی توزیعشده)
Distributed Reflection Denial of Service یا به اختصار DRDoS، یکی از زیر شاخههای حملات DDoS است. هدف این حمله غیرفعال کردن سیستم های شبکه میباشد.
هکرها کوئری های DNS را با IP های متغیر ارسال می کنند. سرور پاسخ ها را به IP جدید ارائه می کند و افزایش کوئری ها منجر به توقف سرور می گردد. Smurf یکی از مشهورترین حملات DNS از نوع DRDoS است.
تصویر(4)
نحوه جلوگیری از حملات DNS چگونه است؟
در ادامه این مقاله نکاتی برای شناسایی، جلوگیری و کاهش حملات DNS، ارائه شده است.
- بروزرسانی نرم افزار DNS: از آخرین نرم افزارهای DNS که شامل جدیدترین پچ های امنیتی هستند، استفاده نمایید.
- Multi-factor authentication یا احراز هویت چند عاملی (MFA): برای تمام حسابهای کاربری که در زیرساخت DNS سازمان شما تعریف شده، MFA را تنظیم نمایید.
- Domain Name System Security Extensions یا پروتکلهای امنیتی سیستم نام دامنه (DNSSEC): استفاده از امضاهای دیجیتال مبتنی بر رمزنگاری کلید عمومی، امنیت DNS را تضمین می کند. بنابراین DNSSEC یک لایه امنیتی به DNS سازمان شما اضافه خواهد کرد.
- زیرساخت DNS مطمئن: این زیرساخت، پایه و اساس یک محیط امن و حفاظت شده برای حضور آنلاین سازمان شما است. اگر درخواست های DNS زیادی دریافت میکنید، شبکه Anycast DNS، ضروری خواهد بود.
- DNS محافظت شده در مقابل DDoS یا DDoS protected DNS: این سرویس به طور خاص برای کاهش یکی از مضرترین حملات سایبری یعنی DDoS، طراحی شده است.
- نظارت مداوم: ثبت گزارش و نظارت بر کوئری های DNS ورودی و خروجی، میتواند به طور قابل توجهی در تشخیص رفتارهای غیرعادی کمک کند.
- یک DNS resolver خصوصی داشته باشید: DNS resolver را به کاربران داخل شبکه محدود نمایید تا از آلودگی کش DNS توسط هکرها، جلوگیری کنید.
تصویر(5)
انگیزه حملات DNS
یکی از رایج ترین دلایل حمله DNS، رفتار ناعادلانه رقبا است اما موارد بیشتری نیز وجود دارد که در ادامه ذکر شدهاند:
- اخاذی: باج افزار در حمله DNS نیز وجود دارد. هکرها از حملات DDoS برای هدف قرار دادن یک سرور استفاده کرده و باعث توقف سرور میشوند. سپس مهاجمان برای اتمام حمله، درخواست باج میکنند. ارز دیجیتال، فرآیند باج افزار را بسیار آسانتر کرده است.
- انتقام: دلیل این حمله میتواند انتقام شخصی از یک شرکت، فرد و… باشد. به عنوان مثال، یکی از کارمندان سابق، سعی نماید تا خدمات کارفرمای قبلی را مختل کند.
- انجام حمله DDoS توسط افراد استخدام شده: گاهی اوقات این حملات توسط افرادی که در دارک وب استخدام شده اند، صورت میگیرد. در دارک وب، انواع خدمات غیرقانونی ارائه می شود.
- حمله پوششی: در این نوع حمله، میتوانید حمله DNS را به عنوان یک نارنجک دودزا تصور کنید. هدف آن میتواند ایجاد حواس پرتی باشد تا حمله دیگری صورت گیرد یا نرم افزارهای مخرب، نصب شوند.
- شهرت: افرادی که با اقدامات خرابکارانه خود قصد دارند تا جلب توجه کرده و مشهور شوند.
- چالش شخصی: افراد باهوشی که صرفا میخواهند دانش خود را آزمایش کنند.
- جنگ سایبری: برخی کشورها از حملات DNS برای هدف قرار دادن کشورهای دیگر، گروههای نظامی، جدایی طلبان، مخالفان و حتی سایتهای رسانهای استفاده میکنند.
- جنگ گیمرها: برخی گیمرها از حملات DNS برای آسیب زدن به امتیاز رقبای خود استفاده میکنند تا بتوانند بالاتر از آنها قرار گیرند. همچنین از آن برای حمله به رقابت های خاص و تغییر نتایج نهایی بهره میبرند.
- Hacktivism: سازمان های غیردولتی و افرادی که میخواهند نظرات خود را مطرح کنند، اغلب از چنین ابزارهایی برای ابراز بیانات خود، بهره میبرند. دلایلی مانند آزادی بیان و علل زیست محیطی، از موارد رایج هستند.
جمع بندی
آشنایی با رایج ترین حملات DNS و چگونگی مقابله با آنها، باعث می شود که زیان کمتری را تجربه کنید. اگر چه کاهش این نوع حملات دشوار است اما اپراتورهای شبکه می توانند استراتژی های متعددی را برای جلوگیری و رفع آنها پیاده سازی کنند.