DNS cache poisoning و جعل DNS چیست؟

DNS SP CP

تعریف جعل و  DNS Poisoning

مسموم کردن و جعل سامانه نام دامنه (DNS: Domain Name System) نوعی از حملات سایبری هستند که با تمرکز بر آسیب‌پذیری‌های سرور DNS و بهره‌گیری از آن‌ها، ترافیک را از سرورهای اصلی به سرورهای ناامن هدایت می‌کنند. زمانی که به یک صفحه‌ی جعلی منتقل می‌شوید، با وجود این که فقط خودتان می‌توانید جلوی بروز خطر را بگیرید، ممکن است ندانید چطور باید این کار را انجام دهید. به همین خاطر لازم است دقیقا بدانید که نحوه عملکرد این نوع حمله چگونه است، تا بتوانید از خود محافظت کنید.

جعل DNS و هم‌چنین DNS cache poisoning در زمره‌ی گمراه‌کننده‌ترین تهدیدات سایبری قرار دارند. اگر ندانید اینترنت چگونه شما را به وبسایت‌های مختلف متصل می‌کند، ممکن است فریب خورده و فکر کنید خود وبسایت است که هک شده است. در برخی موارد، ممکن است صرفاً دستگاه شما هک شده باشد. از آن‌جایی که ابزارهای امنیت سایبری تنها می‌توانند جلوی بخشی از تهدیدات مرتبط با جعل DNS را بگیرند، وضعیت وخیم‌تر هم می‌شود.

DNS چیست و DNS سرور به چه معناست؟

ممکن است برای شما سوال شده باشد که «DNS چیست؟». همان‌طور که گفته شد، DNS مخفف «Domain Name System» یا «سیستم نام دامنه» است. ولی پیش از این که درباره سرورهای DNS توضیح دهیم، لازم است معنای عبارت‌های تخصصی مرتبط با این موضوع را بیان کنیم.

آدرس پروتکل اینترنت، یا آدرس IP، شناسه‌ای اختصاصی متشکل از دنباله‌ای از اعداد است که به هر رایانه و سروری به صورت جداگانه اختصاص داده می‌شود. رایانه‌ها از این شناسه‌ها برای یافتن یکدیگر و «گفتگو» با هم استفاده می‌کنند.

دامنه یک نام متنی است که انسان‌ها از آن برای به خاطر سپردن، شناسایی و اتصال به سرورهای یک وبسایت خاص استفاده می‌کنند. برای مثال، دامنه‌ای مثل «www.example.com» به عنوان راهی ساده برای به ذهن سپردن شناسه‌ی اصلی سرور هدف، یعنی همان آدرس IP آن، استفاده می‌شود.

سامانه نام دامنه، یا DNS، برای تبدیل دامنه به آدرس IP متناظر با آن استفاده می‌شود.

سرورهای سامانه نام دامنه، یا سرورهای DNS، مجموعه‌ای از چهار نوع سرور هستند که در ترکیب با یکدیگر فرایند تبدیل DNS را انجام می‌دهند. این چهار نوع سرور،name server Resolving، Root name server ، نام‌سرورهای دامنه سطح‌بالا (TLD) و Authoritative name servers. را شامل می‌شوند. به منظور پیچیده نشدن بحث، ما تنها به تشریح جزییات مربوط به سرور مفسر، یا سرور Resolving می‌پردازیم.

name server Resolving (یا مفسر بازگشتی) بخشی از فرایند تبدیل DNS است که کار آن ترجمه‌ی DNS بوده و در سیستم عامل شما قرار دارد. این سرور به گونه‌ای طراحی شده که از مجموعه‌ای از سرورهای اینترنتی، آدرس IP مربوط به یک نام دامنه را بپرسد، که به این عمل Query می‌گویند.

اکنون که تعریف DNS را می‌دانیم و درکی کلی از آن داریم، می‌توانیم به نحوه‌ی عملکرد فرایند تبدیل DNS بپردازیم.

برای محافظت از DNS سرور خود، به صفحه زیر سر بزنید!

 نحوه‌ی عملکرد فرایند تبدیل DNS

وقتی با استفاده از نام دامنه به جستجوی یک وبسایت می‌پردازید، سامانه‌ی نام دامنه یا DNS مراحل زیر را انجام می‌دهد:

  1. مرورگر وب و سیستم عامل شما تلاش می‌کنند آدرس IP را از حافظه بازیابی کنند که به آن نام دامنه مربوط است. اگر قبلا به این وبسایت سر زده باشید، می‌توان از حافظه‌ی داخلی رایانه، یا حافظه کش، آدرس IP را بازیابی کرد.
  2. ادامه فرایند در صورت عدم اطلاع هیچ‌کدام از بخش‌های رایانه از آدرس IP مقصد.
  3. سیستم عامل آدرس IP را از name server Resolving می‌پرسد. با این پرسش، یا Query، جستجو برای یافتن آدرس IP متناظر با دامنه، در زنجیره‌ای از سرورها آغاز می‌شود.
  4. در نهایت، سرور Resolving آدرس IP را یافته و آن را به سیستم عامل تحویل می‌دهد، که سیستم عامل هم آن را به مرورگر وب می‌فرستد.

فرایند تبدیل DNS یک چارچوب حیاتی است که در کل بدنه‌ی اینترنت استفاده می‌شود. متاسفانه، مجرمان می‌توانند از آسیب‌پذیری‌های موجود در DNS سواستفاده کنند، که به آن معناست که شما باید نسبت به احتمال انتقال به وبسایت‌های ناخواسته آگاه باشید. برای این که بتوانیم به شما در این راه کمک کرده باشیم، بیاید ببینیم جعل DNS چیست و چگونه کار می‌کند.

نحوه مسموم کردن کش DNS و جعل DNS

جدی‌ترین تهدیدات مربوط به DNS دو دسته‌اند:

  1. جعل DNS تهدیدی است که در آن سروری به جای سرورهای هدف جا زده می‌شود تا ترافیک مربوط به دامنه به آن هدایت شود. هدف از این کار، واردشدن قربانی‌های ناآگاه به وبسایت‌های مخرب است، که این هدف با روش‌های مختلف حمله‌ی جعل DNS حاصل می‌شود.
  2. مسموم کردن کش DNS یک روش جعل DNS در سمت کاربر است، که در آن سیستم شما آدرس IP جعلی را در حافظه کش شما ذخیره می‌کند. این‌گونه DNS، آدرس سایت مخرب را صرفا برای شما به یاد می‌آورد، حتی اگر مشکل در سمت سرور حل شده باشد، یا حتی اگر هیچ وقت در سمت سرور مشکلی نبوده باشد.

روش‌های مورد استفاده در حمله‌های جعل DNS یا مسموم کردن کش

در میان روش‌های مختلف حمله‌های جعل DNS، این روش‌ها رایج‌تر هستند:

حمله‌ی man in the middle یا مرد میانی: که در آن یک مهاجم خود را بین مرورگر وب و سرور DNS قرار می‌دهد تا هر دو را آلوده کند. در این حمله از ابزاری استفاده می‌شود که به طور هم‌زمان بر روی دستگاه شما کش را مسموم کرده، و در DNS server سرور را مسموم می‌کند. نتیجه‌ی آن، هدایت به یک سایت مخرب است که توسط سرور محلی متعلق به مهاجم میزبانی می‌شود.

هایجک‌کردن سرور DNS: مجرم به طور مستقیم سرور را به گونه‌ای تنظیم می‌کند که تمام کاربرهایی را که به آن مراجعه کرده‌اند به یک وبسایت مخرب هدایت کند. به محض این که داده‌های جعلی مربوط به DNS به سرور DNS تزریق شوند، هرگونه درخواست IP برای دامنه‌ی مورد حمله، به یک وبسایت جعلی منتهی می‌شود.

مسموم کردن کش DNS با استفاده از هرزنامه: کدهای نوشته شده برای DNS cache poisoning معمولا در لینک‌های قرار گرفته در هرزنامه‌های ایمیلی قرار دارند. این ایمیل‌ها تلاش می‌کنند با ترساندن کاربر، او را مجاب به کلیک بر روی لینک موجود در ایمیل کنند، که منجر به آلوده‌شدن رایانه آن‌ها می‌شود. بنرهای تبلیغاتی و تصاویر نیز – که هم در ایمیل‌ها و هم در وبسایت‌های غیر قابل اعتماد قرار دارند – می‌توانند کاربران را به این کد هدایت کنند. وقتی رایانه شما مسموم شد، شما را به وبسایت‌های جعلی می‌برد که شبیه به وبسایت اصلی طراحی شده‌اند. در این مرحله دستگاه شما با تهدید اصلی رو به رو می‌شود.

dns

خطرات حاصل از poisoning و جعل DNS

جعل DNS خطرات متعددی را به وجود می‌آورد، که هر یک دستگاه و داده‌های شخصی شما را در معرض آسیب قرار می‌دهند.

سرقت داده به طور ویژه می‌تواند برای مهاجمان جعل‌کننده‌ی DNS درآمدزا باشد. وبسایت‌های بانک‌ها و خرده‌فروش‌های اینترنتی پرطرفدار به راحتی قابل جعل هستند، و این به آن معناست که هرگونه رمز عبور، اطلاعات کارت‌های اعتباری یا اطلاعات شخصی ممکن است در معرض خطر باشند. کاربران به وبسایت‌های فیشینگ هدایت می‌شوند که برای جمع‌آوری داده‌های شما طراحی شده‌اند.

آلودگی به بدافزارها نیز یک تهدید متداول دیگر حاصل از جعل DNS است. زمانی که به آدرس‌های جعلی هدایت می‌شوید، آدرس مقصد ممکن است سایتی آلوده به لینک‌های دانلود مخرب باشد. دانلودهای جانبی (Drive-by Download) راهی ساده برای خودکارسازی فرایند آلوده شدن سیستم کاربر است. در نهایت اگر از بسته‌های امنیت اینترنت استفاده نکنید، در معرض خطراتی مثل جاسوس‌افزار، کی‌لاگر و کرم رایانه‌ای قرار می‌گیرید.

تاخیر در به‌روزرسانی‌های امنیتی می‌تواند در نتیجه‌ی جعل DNS اتفاق بیفتد. اگر وبسایت‌های جعل‌شده ارائه‌دهندگان امنیت اینترنتی را شامل شوند، به‌روزرسانی‌های امنیتی مورد نیاز انجام نخواهند شد. در نتیجه رایانه‌ی شما ممکن است در معرض تهدیدات جدیدی مثل ویروس‌ها یا تروجان‌ها قرار بگیرد.

سانسورکردن خطری رایج در بسیاری از مناطق دنیا است. برای مثال، چین تغییراتی در DNS اعمال کرده است تا مطمئن شود تمامی وبسایت‌هایی که در این کشور بازدید می‌شوند، وبسایت‌های تاییدشده باشند. این مسدودسازی در سطح ملی، که به دیوار آتش بزرگ چین (Great Firewall) معروف است، نمونه‌ای است از این که جعل DNS چقدر می‌تواند قدرتمند باشد.

مهم‌تر از همه، حذف داده‌های مسموم کننده‌ی کش DNS بسیار دشوار است. از آنجایی که پاکسازی یک سرور آلوده مشکل را دستگاه‌های دسکتاپ یا موبایل حل نمی‌کند، دستگاه به سایت جعلی باز خواهد گشت. به‌علاوه، دسکتاپ‌های آلوده‌نشده که به یک سرور آلوده متصل می‌شوند نیز دوباره در معرض آلودگی قرار می‌گیرند.

نحوه‌ی جلوگیری از مسموم شدن کش DNS و جعل DNS

وقتی به دنبال جلوگیری از جعل DNS باشیم، حفاظت‌های سمت کاربر محدود هستند. توانایی مالکان وبسایت و ارائه‌دهندگان سرور در حفاظت از خود و کاربرانشان اندکی بیشتر است. برای این که همه تا حد مناسبی ایمن باشند، هر دو طرف باید سعی کنند از وبسایت‌های جعلی دوری کنند.

توصیه‌های پیشگیرانه برای مالکان وبسایت و ارائه‌دهندگان سرور DNS

به عنوان یک مالک وبسایت یا ارائه‌دهنده‌ی سرور DNS، عمده مسئولیت دفاع از کاربران بر عهده‌ی شماست. شما می‌توانید ابزارها و پروتکل‌های حفاظتی متنوعی را برای جلوگیری از نفوذ تهدیدات به کار ببندید. رویکرد هوشمندانه آن است که از میان منابع مختلف، تعدادی از منابع حفاظتی را که در زیر آمده استفاده کنید:

  1. ابزارهای تشخیص جعل DNS: این ابزارهای شناسایی که معادل محصولات امنیتی در سمت کاربر هستند، به صورت فعال تمامی داده‌های دریافتی را پیش از ارسال بررسی می‌کنند.
  2. افزونه‌های امنیتی سامانه نام دامنه (DNSSEC): سیستم DNSSEC که اساسا یک برچسب «تاییدشده و واقعی» برای آدرس‌های امن است، به ایمن نگه داشتن و دور نگه داشتن فرایند تبدیل DNS از آدرس‌های جعلی کمک می‌کند.
  3. رمزگذاری سرتاسری: داده‌ی رمزگذاری شده که طی درخواست‌ها و پاسخ‌های DNS ارسال می‌شود، امکان دسترسی مجرمان را از بین می‌برد، زیرا آن‌ها نمی‌توانند گواهینامه امنیتی یکتای وبسایت اصلی را جعل کنند.

توصیه‌های پیشگیرانه برای کاربر نهایی

کاربران به‌طور ویژه آسیب‌پذیر بوده و باید اقداماتی را لحاظ کنند تا قربانی حملات مسموم‌سازی DNS نشوند، بهتر است به توصیه‌های ساده‌ی زیر عمل کنید:

  1. هیچ‌وقت روی لینک‌هایی که نمی‌شناسید کلیک نکنید. این مورد شامل ایمیل، پیامک یا لینک‌های موجود در شبکه‌های اجتماعی می‌شود. ابزارهایی که لینک‎‌ها را کوتاه می‌کنند می‌توانند به پنهان‌سازی بیشتر آدرس مقصد لینک کمک کنند، بنابراین تا جای ممکن از چنین لینک‌هایی دوری کنید. برای ایمنی بیشتر، همیشه سعی کنید آدرس لینک را خودتان به صورت دستی در نوار آدرس مرورگر وارد کنید. البته تنها زمانی این کار را کنید که مطمئن باشید آدرس رسمی و مطمئن است.
  2. به طور منظم رایانه‌ی خود را برای یافتن بدافزارها اسکن کنید. با این که ممکن است نتوانید مسموم شدن کش DNS را شناسایی کنید، نرم‌افزار امنیتی‌تان به شما کمک می‌کند هرگونه آلودگی ثانویه را حذف کنید. از آنجایی که سایت‌های جعلی می‌توانند انواع مختلفی از برنامه‌های مخرب را منتقل کنند، همیشه باید سیستم خود را برای یافتن ویروس‌ها، جاسوس‌افزارها و دیگر مشکلات پنهان اسکن کنید. برعکس این امر نیز ممکن است، یعنی این که یک بدافزار شما را به سایت‌های جعلی منتقل کند؛ به همین خاطر همیشه از یک نرم‌افزار محلی به جای نسخه‌های مبتنی بر میزبان اینترنتی استفاده کنید، چون در صورت مسموم‌شدن سیستم شما ممکن است به نتایج مبتنی بر وب جعلی نمایش داده شوند.
  3. در صورت نیاز کش DNS خود را پاک کنید تا مشکل مسموم‌شدن آن را حل کنید. مسموم‌شدن کش تا زمان زیادی در سیستم شما باقی می‌ماند مگر این که داده‌ی آلوده را پاک کنید. این فرایند را می‌توان به سادگی و باز کردن نرم‌افزار «Run» در ویندوز و تایپ کردن «ipconfig/flushdns» در نوار دستور آن انجام داد. سیستم عامل‌های مک، iOS و اندروید نیز امکان پاکسازی کش را دارند. این امکانات معمولا در گزینه‌ی «network settings reset»، یا با قراردادن در حالت هواپیما، راه‌اندازی مجدد دستگاه یا از طریق یک لینک خاص در مرورگر وب اصلی دستگاه در دسترس هستند. برای راهنمایی بیشتر، روش اختصاصی برای دستگاه‌تان را در اینترنت جست‌جو کنید.
  4. از یک شبکه‌ی خصوصی مجازی (VPN) استفاده کنید. این خدمات یک گذرگاه رمزگذاری شده برای تمامی ترافیک اینترنتی شما در اختیارتان قرار می‌دهند و از سرورهای خصوصی DNS استفاده می‌کنند که در آن‌ها فقط از درخواست‌های رمزگذاری‌شده‌ی سرتاسری استفاده می‌شود. در نتیجه، شما به سرورهایی دسترسی خواهید داشت که در مقابل جعل DNS بسیار مقاوم‌تر بوده، و امکان ایجاد تداخل در درخواست‌های دستگاه شما وجود نخواهد داشت.

خود را در مقابل جعل DNS و حملات بدافزاری آسیب‌پذیر باقی نگذارید. همین امروز با Kaspersky Security Cloud، که هم برای ویندوز و هم برای مک در دسترس است، از خود محافظت کنید.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *