اتفاقات روزمره ، اخبار مهم و دیگر مطالب میهن وب هاست را می توانید در این قسمت مطالعه کنید

DNS یک مؤلفه بسیار مهم است که متاسفانه اغلب کاربران آن را نادیده می‌گیرند. بسیاری از حملات DNS خطرناک هستند و هدف آنها سوء استفاده از آسیب پذیری های مختلف و ایجاد مشکلات جدی می‌باشد. در این مقاله 5 مورد از خطرناک ترین و رایج ترین حملات DNS بیان شده است. با مطالعه این مقاله می‌توانید حملات مذکور را درک نموده و راهی برای حفظ امنیت کسب و کار خود بیابید.

تصویر(1)

حمله DNS چیست و چگونه می‌تواند روی سایت تأثیر بگذارد؟

به طور کلی، منظور حمله ای است که Domain Name System یا به اختصار DNS را هدف قرار می‌دهد. این حمله می‌تواند اهداف متفاوتی داشته باشد. هکرها در این نوع حملات تلاش می کنند تا سرورها را از کار بیندازند یا اطلاعات آنها را تغییر دهند. ضمن اینکه DNS یک پروتکل قدیمی‌ است و به عنوان زیرساخت امن شناخته نمی شود.

برای درک این موضوع می‌توانید نمونه‌های زیر را در نظر بگیرید:

1. هکرها ترافیکی را که باید به سایت شما منتقل گردد، به سرورهایی که توسط خودشان کنترل می‌شوند، هدایت خواهند کرد. هکر می تواند با ایجاد صفحات جعلی مشابه سایت شما، اطلاعات ارزشمند مشتریانتان را به سرقت ببرد. بازدیدکنندگان که از جعلی بودن صفحات اطلاعی ندارند، در سایت ثبت نام کرده یا وارد حساب کاربری خود می شوند. اگر در این صفحات جعلی، پول نیز دریافت شود، مشکلات شما بزرگتر خواهد شد.
2. یک حمله DDoS قدرتمند، می‌تواند سرورها را تحت تاثیر قرار دهد و آنها را از کار بیندازد. در عمل، یک حمله DDoS می‌تواند حتی هفته ها به طول بیانجامد. مطمئنا قطعی سایت می‌تواند موجب نارضایتی مشتریانتان شود. کاربران در طول حمله DNS قادر به دسترسی و استفاده از خدمات سایت شما یا خرید محصولات نخواهند بود. در نتیجه، این حمله باعث ضرر مالی جبران ناپذیری می‌شود و حتی ممکن است بخشی از مشتریان خود را برای همیشه از دست بدهید.

هر سایتی ممکن است توسط حملات DNS تهدید شود. حتی سایت های بزرگ مانند ویکی‌پدیا، مایکروسافت و ... نیز این نوع حملات را تجربه کرده اند.

رایج ترین حملات DNS 

در ادامه 5 مورد از رایج ترین حملات DNS بیان شده است. نباید از چنین تهدیداتی غافل شوید لذا لازم است اقدامات پیشگیرانه ای را جهت مقابله با آنها انجام دهید.

- DDoS Amplification یا DDoS تقویت شده

حمله DDoS Amplification انواع مختلفی دارد که اغلب از پروتکل ساده UDP، سوء استفاده می‌کنند. این نوع حمله با هدف قرار دادن ضعیف‌ترین نقطه در سایت و افزایش قابل توجه ترافیک، باعث ایجاد مشکل می‌گردد. هکرها با ارسال کوئری‌های DNS، علاوه بر آدرس IP، اطلاعات اضافی را نیز درخواست می کنند. این کوئری های زیاد، باعث از کار افتادن سرور می شوند.

نحوه کاهش این نوع از حملات چگونه است؟

1. شما به یک شبکه بزرگ از سرورهای DNS مانند شبکه Anycast نیاز دارید. اگر تعداد سرورهای داخل شبکه کافی باشد، می‌توان ترافیک را بدون قطع کردن کل شبکه، فیلتر کرد.
2. برای سرور محدودیت تنظیم کنید که فقط به IP لوکال هاست (127.0.0.1) پاسخ داده شود. البته، اگر نمی خواهید از UDP استفاده نمایید، می‌توانید به طور کلی آن را غیرفعال سازید.
3. از فایروال برای پورت 11211 استفاده کرده و دسترسی به سرور را فقط به IP های لیست سفید، محدود کنید.

تصویر(2)

- DNS Cache Poisoning (آلودگی کش DNS)

این نوع حمله DNS، روی DNS resolver (ابزار جستجوی DNS) متمرکز است. DNS resolver یک حافظه کش دارد که اطلاعات مربوط به دامنه ها را برای مدت زمان مشخصی نگهداری می کند. DNS resolver ها، یک کپی از رکوردهای DNS را برای مدت زمانی که TTL (زمان انتظار جهت دریافت پاسخ) مشخص می‌نماید، حفظ خواهند کرد. هکر رکوردهای DNS را تغییر می‌دهد و ترافیک را به سرور موردنظر خود، هدایت می‌کند.

شما می‌توانید برای کوئری هایی که جهت یافتن یک آدرس خاص ارسال می شوند با استفاده از لیست سیاه، محدودیت ایجاد کنید. بهترین ابزار جهت جلوگیری از آن، DNSSEC است. اگر یک سرور بازگشتی (Recursive server) آلوده شده باشد، کوئری دریافتی مسدود شده و کاربر در امان خواهد بود.

- DNS Tunneling (تونل سازی DNS)

DNS Tunneling نوعی حمله است که تلاش می‌کند اطلاعات مختلف را بدون اینکه شناسایی شود، از طریق DNS دریافت نماید. این تونل در پوشش یک کوئری DNS عمل می‌کند اما اطلاعات را به صورت پنهان دریافت خواهد کرد. 

سرویس DNS باید دارای یک DNS Protection باشد که به عنوان یک فایروال هوشمند عمل کند. اگر این ویژگی در فایروال شما فعال نیست، می توانید با توجه به نوع فایروال خود، قوانینی را برای مسدود کردن ترافیک های ناخواسته تنظیم کنید.

تصویر(3)

- DNS Flood Attack (حمله پرترافیک DNS)

DNS Flood Attack یک حمله ساده و تاثير گذار است. به این صورت که ترافیک را از یک یا چند دستگاه به سرور مورد نظر ارسال می‌کند. با ایجاد ترافیک زیاد، تمام منابع سرور درگیر خواهد شد. اگر تمام این ترافیک از یک منبع باشد، مسدود کردن آن آسان است اما اگر از طریق یک شبکه عظیم بات ها صورت گیرد، کنترل آن می‌تواند بسیار دشوار شود.

- Distributed Reflection Denial of Service یا DRDoS (حملات انسداد سرویس بازگشتی توزیع‌شده‌)

Distributed Reflection Denial of Service یا به اختصار DRDoS، یکی از زیر شاخه‌های حملات DDoS است. هدف این حمله غیرفعال کردن سیستم های شبکه می‌باشد.

هکرها کوئری های DNS را با IP های متغیر ارسال می کنند. سرور پاسخ ها را به IP جدید ارائه می کند و افزایش کوئری ها منجر به توقف سرور می گردد. Smurf یکی از مشهورترین حملات DNS از نوع DRDoS است.

تصویر(4)

نحوه جلوگیری از حملات DNS چگونه است؟

در ادامه این مقاله نکاتی برای شناسایی، جلوگیری و کاهش حملات DNS، ارائه شده است.

• بروزرسانی نرم افزار DNS: از آخرین نرم افزارهای DNS که شامل جدیدترین پچ های امنیتی هستند، استفاده نمایید. 
• Multi-factor authentication یا احراز هویت چند عاملی (MFA): برای تمام حساب‌های کاربری که در زیرساخت DNS سازمان شما تعریف شده، MFA را تنظیم نمایید.
• Domain Name System Security Extensions یا پروتکل‌های امنیتی سیستم نام دامنه (DNSSEC): استفاده از امضاهای دیجیتال مبتنی بر رمزنگاری کلید عمومی، امنیت DNS را تضمین می کند. بنابراین DNSSEC یک لایه امنیتی به DNS سازمان شما اضافه خواهد کرد.
• زیرساخت DNS مطمئن: این زیرساخت، پایه و اساس یک محیط امن و حفاظت شده برای حضور آنلاین سازمان شما است. اگر درخواست های DNS زیادی دریافت می‌کنید، شبکه Anycast DNS، ضروری خواهد بود. 
• DNS محافظت شده در مقابل DDoS یا DDoS protected DNS: این سرویس به طور خاص برای کاهش یکی از مضرترین حملات سایبری یعنی DDoS، طراحی شده است.
• نظارت مداوم: ثبت گزارش و نظارت بر کوئری های DNS ورودی و خروجی، می‌تواند به طور قابل توجهی در تشخیص رفتارهای غیرعادی کمک کند.
• یک DNS resolver خصوصی داشته باشید: DNS resolver را به کاربران داخل شبکه محدود نمایید تا از آلودگی کش DNS توسط هکرها، جلوگیری کنید.

تصویر(5)

انگیزه حملات DNS

یکی از رایج ترین دلایل حمله DNS، رفتار ناعادلانه رقبا است اما موارد بیشتری نیز وجود دارد که در ادامه ذکر شده‌اند:

• اخاذی: باج افزار در حمله DNS نیز وجود دارد. هکرها از حملات DDoS برای هدف قرار دادن یک سرور استفاده کرده و باعث توقف سرور می‌شوند. سپس مهاجمان برای اتمام حمله، درخواست باج می‌کنند. ارز دیجیتال، فرآیند باج افزار را بسیار آسان‌تر کرده است.
• انتقام: دلیل این حمله می‌تواند انتقام شخصی از یک شرکت، فرد و… باشد. به عنوان مثال، یکی از کارمندان سابق، سعی نماید تا خدمات کارفرمای قبلی را مختل کند.
• انجام حمله DDoS توسط افراد استخدام شده: گاهی اوقات این حملات توسط افرادی که در دارک وب استخدام شده اند، صورت می‌گیرد. در دارک وب، انواع خدمات غیرقانونی ارائه می شود.
• حمله پوششی: در این نوع حمله، می‌توانید حمله DNS را به عنوان یک نارنجک دودزا تصور کنید. هدف آن می‌تواند ایجاد حواس پرتی باشد تا حمله دیگری صورت گیرد یا نرم افزارهای مخرب، نصب شوند.
• شهرت: افرادی که با اقدامات خرابکارانه خود قصد دارند تا جلب توجه کرده و مشهور شوند.
• چالش شخصی: افراد باهوشی که صرفا می‌خواهند دانش خود را آزمایش کنند.
• جنگ سایبری: برخی کشورها از حملات DNS برای هدف قرار دادن کشورهای دیگر، گروه‌های نظامی، جدایی طلبان، مخالفان و حتی سایت‌های رسانه‌ای استفاده می‌کنند.
• جنگ‌ گیمرها: برخی گیمرها از حملات DNS برای آسیب زدن به امتیاز رقبای خود استفاده می‌کنند تا بتوانند بالاتر از آنها قرار گیرند. همچنین از آن برای حمله به رقابت های خاص و تغییر نتایج نهایی بهره می‌برند.
• Hacktivism: سازمان های غیردولتی و افرادی که می‌خواهند نظرات خود را مطرح کنند، اغلب از چنین ابزارهایی برای ابراز بیانات خود، بهره می‌برند. دلایلی مانند آزادی بیان و علل زیست محیطی، از موارد رایج هستند.

جمع بندی

آشنایی با رایج ترین حملات DNS و چگونگی مقابله با آنها، باعث می شود که زیان کمتری را تجربه کنید. اگر چه کاهش این نوع حملات دشوار است اما اپراتورهای شبکه می توانند استراتژی های متعددی را برای جلوگیری و رفع آنها پیاده سازی کنند.