نحوه کار حملات DNS Flood
مقالات تخصصی IT و هاستینگ

حملات DNS Flood: چگونه یک حمله DDoS سرور DNS را غیرفعال میکند؟

DNS flood یک حمله DDoS می باشد که هدف آن غلبه بر سرور DNS موردنظر است. سرورهای سیستم نام دامنه (DNS) به نوعی مانند "دفترچه تلفن" اینترنت هستند. آنها مسیری که دستگاه های اینترنتی از طریق آن قادر به جستجوی سرورهای خاص برای دسترسی به محتوای اینترنت هستند را تعریف می کنند. DNS flood نوعی حمله Distributed Denial of Service یا DDoS است که در آن یک مهاجم سرورهای DNS دامنه خاصی را برای اختلال در ترجمه DNS، تحت فشار قرار می دهد.

چگونگی حملات DNS Flood

تصویر(1)

در واقع، مهاجم یک یا چند سرور DNS مربوط به یک zone مشخص را هدف قرار می‌دهد و تلاش می‌کند تا رکوردهای منبع را مختل نماید. اگر کاربر نتواند دفترچه تلفن یا همان سرور DNS را بیابد، نمی‌تواند آدرس را جستجو کند تا به یک منبع خاص متصل شود. با ایجاد اختلال در ترجمه DNS، حمله DNS flood می تواند یک وب سایت، API یا اپلیکیشن تحت وب را به خطر بیندازد. تشخیص حملات DNS Flood از ترافیک سنگین معمولی دشوار تر است زیرا اغلب ترافیک بسیار زیادی از مکان های متعدد و منحصر به فرد ایجاد می شوند که به دنبال رکوردهای واقعی دامنه هستند و ترافیک مجاز را تقلید می کنند.

حمله DNS flood چگونه کار می کند؟

نحوه کار حملات DNS Flood

تصویر(2)

وظیفه سرور DNS ترجمه نام‌های دامنه به آدرس های IP است. بنابراین حمله موفقیت‌آمیز به زیرساخت‌های DNS، اینترنت را برای اکثر افراد غیرقابل استفاده می‌کند. حملات DNS Flood نوع نسبتا جدیدی از حملات مبتنی بر DNS را تشکیل می دهند که با افزایش بات نت های اینترنت اشیا (IoT) با پهنای باند بالا، گسترش یافته اند. حملات DNS Flood از پهنای باند بالای دوربین های تحت IP، باکس های DVR (ضبط ویدئو) و سایر دستگاه های اینترنت اشیا استفاده می کنند تا مستقیماً سرورهای DNS اصلی را تحت تأثیر قرار دهند. حجم درخواست‌های دستگاه‌های IoT بر خدمات ارائه‌دهنده DNS غلبه می‌کند و از دسترسی کاربران مجاز به سرورهای DNS، جلوگیری می‌نماید.

حملات DNS Flood و DNS Amplification متفاوت هستند. برخلاف DNS flood ها، حملات DNS Amplification، ترافیک سرورهای DNS ناامن را شناسایی و تقویت می‌کنند تا منشا حمله را پنهان کرده و اثربخشی آن را افزایش دهند. حملات DNS Amplification از دستگاه هایی با پهنای باند کمتر برای ارسال درخواست های متعدد به سرورهای DNS ناامن استفاده می کنند.

در حمله DNS Amplification، دستگاه‌ها تعداد زیادی درخواست‌ کوچک را برای رکوردهای DNS بسیار بزرگ ارسال خواهند کرد اما هنگام ارائه درخواست، مهاجم آدرس قربانی مورد نظر را به عنوان آدرس بازگشت، جعل می‌کند. Amplification به مهاجم اجازه می دهد تا اهداف بزرگتر را تنها با منابع حمله کوچک و محدود، از بین ببرد.

جلوگیری از حملات DNS Flood

تصویر(3)

در DNS flood، مهاجم می تواند تمام اطلاعات بسته (packet)، از جمله IP منبع را جعل کند و این گونه به نظر برسد که حمله از چندین منبع انجام می شود. داده های تصادفی بسته ها نیز به متخلفان کمک می کنند تا از مکانیسم های حفاظتی رایج DDoS عبور کنند و فیلتر IP کاملاً بی فایده باشد.

یکی دیگر از انواع رایج حملات DNS Flood، حمله DNS NXDOMAIN flood است که در آن مهاجم، سرور DNS را توسط درخواست هایی که برای رکوردهای ناموجود یا نامعتبر ارسال می شوند، احاطه می کند. سرور DNS تمام منابع خود را جهت جستجوی این رکوردها صرف خواهد کرد و کش آن با درخواست های نامعتبر پر می شود. در نهایت هیچ منابعی برای ارائه درخواست های مجاز باقی نمی ماند.

چگونه می توان حملات DNS Flood را کاهش داد؟

حملات DNS Flood نسبت به روش های حمله مبتنی بر Amplification سنتی، تغییر کرده است و از طریق بات نت هایی با پهنای باند بالا که به راحتی در دسترس هستند، مهاجمان می توانند سازمان های بزرگ را هدف قرار دهند. تا زمانی که دستگاه‌های IoT در معرض خطر، بروزرسانی یا جایگزین نشوند، تنها راه مقاومت در برابر این نوع حملات استفاده از یک سیستم DNS بسیار بزرگ و توزیع‌ شده است که می‌تواند بر ترافیک به صورت همزمان نظارت کرده و حملات را شناسایی و مسدود کند.

اشتراک گذاری:

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *