حمله DNS Hijacking چیست

ربودن نام دامنه (DNS) که هدایت DNS نیز نامیده می شود، نوعی از حملات DNS است که در آن DNS پرس و جو به صورت نادرست تعیین می شود و به طور غیر منتظره کاربران را به سایت های مخرب هدایت می کند. برای انجام این حمله، هکرها بدافزارهایی را بر روی کامپیوترهای تارگت نصب می کنند و یا روترها را می گیرند تا عمل ربودن نام دامنه را انجام دهند. ربودن DNS را می توان برای حملات pharming (مهاجمان معمولا از تبلیغات ناخواسته استفاده می کنند.) و یا برای حملات فیشینگ (نمایش صفحات جعلی وبسایت ها برای کاربران) استفاده کرد. بسیاری از ارائه دهندگان خدمات اینترنت (Internet Service Providers) نیز از DNS hijacking برای گرفتن درخواست های DNS کاربر، جمع آوری آمار در هنگام دسترسی کاربران به یک دامنه ناشناخته و … استفاده می کنند. همچنین در بعضی از کشورها از DNS hijacking برای سانسور استفاده می کنند و کاربران را به سایت های مجاز دولتی هدایت می کنند.

انواع حملات DNS hijacking

چهار نوع اساسی از حملات DNS hijacking وجود دارد:

• Local DNS hijack : در این حمله هکرهای تروجان ها را بر روی سیستم تارگت نصب می کنند و تنظیمات DNS محلی دیوایس او را تغییر می دهند تا کاربر را به سایت های مخرب هدایت کنند.
• Router DNS hijack : بسیاری از روترها دارای رمزهای عبور پیش فرض یا آسیب پذیری های سیستم عامل هستند. مهاجمان می توانند از یک روتر استفاده کنند و تنظیمات DNS را بازنشانی کنند، که بر تمامی کاربران متصل شده به آن روتر تاثیر می گذارد. Man in the middle DNS attacks : در این حمله هکر ها ارتباطات بین یک کاربر و یک سرور DNS را از بین می برد و آدرس های مختلف IP مقصد را به سایت های مخرب نشان می دهد.
• Rogue DNS Server : در این حمله هکرها می توانند سرور DNS را هک کنند و سوابق DNS را تغییر دهند تا پرونده های DNS را به سایت های مخرب هدایت کنند.

حمله DNS spoofing چیست؟

جعل DNS حمله ای است که در آن ترافیک از یک وب سایت قانونی مانند www.google.com به یک وب سایت مخرب مانند google.attacker.com هدایت می شود. حمله DNS spoofing را می توان با هدایت DNS به دست آورد. برای مثال، هکرها می توانند یک سرور DNS را به دست آورند و به این ترتیب وب سایت های موجود بر روی آن سرور را به دست گیرند و کاربران را به وب سایت های مخرب هدایت کنند.

حمله مسموم کردن کش یا Cache poisoning چیست؟

یکی دیگر از راه های جاسوسی DNS است که نیازی به DNS hijacking ندارد. معمولا تمامی سرورهای DNS، روترها و کامپیوترها سوابق DNS را ذخیره می کنند که در این صورت هکرها می توانند با استفاده از یک ورودی جعلی DNS با یک IP مقصد جایگزین برای نام دامنه مشابه که poison یا سم شناخته میشود، کش DNS را ذخیره کنند و سرور DNS دامنه را به وبسایت های فیک هدایت کنند و این تا زمانی ادامه خواهد داشت که حافظه پنهان دیوایس ها به روز شوند.

کاهش حملات DNS hijacking

DNSها یک زیرساخت بسیار حساس هستند که نیاز به اقدامات امنیتی قوی دارند، زیرا در غیر اینصورت می توانند توسط هکرها ربوده شده و زیان های غیرقابل جبرانی را به بار آورند. در ادامه روش هایی را برای کاهش این نوع حملات معرفی خواهیم کرد:

• بررسی resolver های شبکه : resolvers های غیر ضروری DNS باید خاموش شوند و Resolver های اصلی باید در پشت فایروال قرار گیرند تا دسترسی ها از خارج از سازمان قطع شود.
• محدود کردن دسترسی ها به DNSها : علاوه بر دسترسی های مجازی باید دسترسی های فیزیکی را هم به dnsها کاهش دهیم.
• مقابله با مسمومیت کش ها : از پورت ها و شناسه های رندوم استفاده کنیم تا قابل دست یابی نباشند.
• رفع کردن باگ های کشف شده : هکرها به طور دائم به دنبال سرورهای آسیب پذیر DNS هستند.
• محدود کردن منطقه دسترسی به DNS: سوابق منطقه ای dnsها شامل اطلاعات حساسی هستند که برای مهاجمان ارزشمند می باشند.

همچنین میتوان با تغییر گذرواژه پیشفرض مودم روترها، نصب آنتی ویروس ها و… این نوع حملات را کاهش داد. صاحبان وب سایت ها نیز می توانند اقدامات لازم را جهت جلوگیری از تغییر مسیر DNS خود انجام دهند که برخی از آنها عبارتند از:

• دسترسی امن : استفاده از احراز هویت دو عامله به هنگام دسترسی به ثبت کننده DNS. در صورت امکان، یک لیست سفید از آدرس های IP که اجازه دسترسی به تنظیمات DNS را دارند، تعریف کنید.
• قفل مشتری : بررسی کنید که آیا DNS registrar شما از قفل کلاینت پشتیبانی می کند یا نه، که مانع از تغییرات در پرونده های DNS شما بدون تایید خود شما می شود.
• DNSSEC : از یک ثبت کننده DNS استفاده کنید که از DNSSEC پشتیبانی می کند. DNSSEC به صورت دیجیتالی با DNS ارتباط برقرار می کند و هکرها را ترغیب و گمراه می کند.
• ……