DNS flood یک حمله DDoS می باشد که هدف آن غلبه بر سرور DNS موردنظر است. سرورهای سیستم نام دامنه (DNS) به نوعی مانند "دفترچه تلفن" اینترنت هستند. آنها مسیری که دستگاه های اینترنتی از طریق آن قادر به جستجوی سرورهای خاص برای دسترسی به محتوای اینترنت هستند را تعریف می کنند. DNS flood نوعی حمله Distributed Denial of Service یا DDoS است که در آن یک مهاجم سرورهای DNS دامنه خاصی را برای اختلال در ترجمه DNS، تحت فشار قرار می دهد.
تصویر(1)
در واقع، مهاجم یک یا چند سرور DNS مربوط به یک zone مشخص را هدف قرار میدهد و تلاش میکند تا رکوردهای منبع را مختل نماید. اگر کاربر نتواند دفترچه تلفن یا همان سرور DNS را بیابد، نمیتواند آدرس را جستجو کند تا به یک منبع خاص متصل شود. با ایجاد اختلال در ترجمه DNS، حمله DNS flood می تواند یک وب سایت، API یا اپلیکیشن تحت وب را به خطر بیندازد. تشخیص حملات DNS Flood از ترافیک سنگین معمولی دشوار تر است زیرا اغلب ترافیک بسیار زیادی از مکان های متعدد و منحصر به فرد ایجاد می شوند که به دنبال رکوردهای واقعی دامنه هستند و ترافیک مجاز را تقلید می کنند.
حمله DNS flood چگونه کار می کند؟
تصویر(2)
وظیفه سرور DNS ترجمه نامهای دامنه به آدرس های IP است. بنابراین حمله موفقیتآمیز به زیرساختهای DNS، اینترنت را برای اکثر افراد غیرقابل استفاده میکند. حملات DNS Flood نوع نسبتا جدیدی از حملات مبتنی بر DNS را تشکیل می دهند که با افزایش بات نت های اینترنت اشیا (IoT) با پهنای باند بالا، گسترش یافته اند. حملات DNS Flood از پهنای باند بالای دوربین های تحت IP، باکس های DVR (ضبط ویدئو) و سایر دستگاه های اینترنت اشیا استفاده می کنند تا مستقیماً سرورهای DNS اصلی را تحت تأثیر قرار دهند. حجم درخواستهای دستگاههای IoT بر خدمات ارائهدهنده DNS غلبه میکند و از دسترسی کاربران مجاز به سرورهای DNS، جلوگیری مینماید.
حملات DNS Flood و DNS Amplification متفاوت هستند. برخلاف DNS flood ها، حملات DNS Amplification، ترافیک سرورهای DNS ناامن را شناسایی و تقویت میکنند تا منشا حمله را پنهان کرده و اثربخشی آن را افزایش دهند. حملات DNS Amplification از دستگاه هایی با پهنای باند کمتر برای ارسال درخواست های متعدد به سرورهای DNS ناامن استفاده می کنند.
در حمله DNS Amplification، دستگاهها تعداد زیادی درخواست کوچک را برای رکوردهای DNS بسیار بزرگ ارسال خواهند کرد اما هنگام ارائه درخواست، مهاجم آدرس قربانی مورد نظر را به عنوان آدرس بازگشت، جعل میکند. Amplification به مهاجم اجازه می دهد تا اهداف بزرگتر را تنها با منابع حمله کوچک و محدود، از بین ببرد.
تصویر(3)
در DNS flood، مهاجم می تواند تمام اطلاعات بسته (packet)، از جمله IP منبع را جعل کند و این گونه به نظر برسد که حمله از چندین منبع انجام می شود. داده های تصادفی بسته ها نیز به متخلفان کمک می کنند تا از مکانیسم های حفاظتی رایج DDoS عبور کنند و فیلتر IP کاملاً بی فایده باشد.
یکی دیگر از انواع رایج حملات DNS Flood، حمله DNS NXDOMAIN flood است که در آن مهاجم، سرور DNS را توسط درخواست هایی که برای رکوردهای ناموجود یا نامعتبر ارسال می شوند، احاطه می کند. سرور DNS تمام منابع خود را جهت جستجوی این رکوردها صرف خواهد کرد و کش آن با درخواست های نامعتبر پر می شود. در نهایت هیچ منابعی برای ارائه درخواست های مجاز باقی نمی ماند.
چگونه می توان حملات DNS Flood را کاهش داد؟
حملات DNS Flood نسبت به روش های حمله مبتنی بر Amplification سنتی، تغییر کرده است و از طریق بات نت هایی با پهنای باند بالا که به راحتی در دسترس هستند، مهاجمان می توانند سازمان های بزرگ را هدف قرار دهند. تا زمانی که دستگاههای IoT در معرض خطر، بروزرسانی یا جایگزین نشوند، تنها راه مقاومت در برابر این نوع حملات استفاده از یک سیستم DNS بسیار بزرگ و توزیع شده است که میتواند بر ترافیک به صورت همزمان نظارت کرده و حملات را شناسایی و مسدود کند.