DNS چیست ؟

DNS به عنوان یک دفترچه تلفن برای اینترنت عمل می‌کند وقتی شما یک آدرس یک دامنه مانند www.example.com را در مرورگر خود وارد می‌کنید DNS ان را به ادرس IP سایت مورد نظر ترجمه میکند. DNS به عنوان ستون فقرات اینترنت نقش بسیار مهمی در هدایت ترافیک اینترنت دارد. به همین دلیل، این سیستم حیاتی به هدف اصلی مهاجمان سایبری تبدیل شده است. در این مقاله، به بررسی انواع حملات DNS و استراتژی‌های کاهش خطر می‌پردازیم. 

مهاجمان از طریق سوءاستفاده از شکاف های امنیتی DNS می‌توانند ان را مختل کنند، داده‌ها را سرقت کنند و کاربران را به سمت سایت‌های مخرب هدایت نمایند. در این مقاله، انواع مختلف حملات DNS، تأثیرات آنها و راهکارهای مقابله با آنها را بررسی خواهیم کرد.

DNS چگونه کار میکند ؟

• درخواست: وقتی شما یک وب‌سایت را در مرورگر خود وارد می‌کنید، کامپیوتر شما به یک حل‌کننده DNS محلی درخواست ارسال می‌کند.
• جستجوی حافظه پنهان:  DNS resolver ابتدا حافظه پنهان خود را بررسی می‌کند تا ببیند آیا قبلاً آدرس IP آن وب‌سایت را ذخیره کرده است یا خیر. اگر ذخیره شده باشد، مستقیماً به شما ارائه می‌دهد.
• پرس‌و‌جو از root سرورها: اگر آدرس IP در حافظه پنهان نباشد، حل‌کننده DNS به root سرورهای اینترنت مراجعه می‌کند. سرورهای ریشه، اینترنت را به بخش‌های مختلف تقسیم می‌کنند و به DNS resolver می‌گویند که به کدام سرور  TLD (دامنه سطح بالا مانند .com، .net) مراجعه کند.
• پرس‌و‌جو از سرور TLD: حل‌کننده DNS به سرور TLD مربوطه (مثلاً .com) مراجعه می‌کند تا آدرس سرور نام اصلی آن دامنه خاص را پیدا کند.
• پرس‌و‌جو از NameServer: در نهایت، حل‌کننده DNS به nameserver آن دامنه مراجعه می‌کند تا آدرس IP دقیق آن را دریافت کند.
• بازگشت پاسخ: name server، آدرس IP را به DNS resolver بازمی‌گرداند.
• اتصال: در نهایت DNS resolver، آدرس IP را به کامپیوتر شما می‌دهد و سپس کامپیوتر شما می‌تواند مستقیماً با سرور وب‌سایت ارتباط برقرار کند.

انواع حملات DNS

۱- حملات DoS و DDoS

این حملات با هدف غرق کردن سرورهای DNS در حجم عظیمی از درخواست‌ها انجام می‌شود. تصور کنید یک فروشگاه بسیار شلوغ را که مشتریان زیادی به طور همزمان به آن هجوم می‌آورند و باعث ایجاد اختلال در خدمات‌رسانی می‌شوند. در حملات DNS نیز، مهاجمان با ارسال تعداد بسیار زیادی درخواست به سرور DNS، آن را اشباع کرده و باعث می‌شوند که سرور نتواند به درخواست‌های قانونی کاربران پاسخ دهد.

انواع مختلفی از حملات DoS و DDoS وجود دارد که هر کدام از روش‌های خاصی برای ایجاد اختلال استفاده می‌کنند. برای مثال، در حمله تقویت‌کننده، مهاجم از دستگاه‌های آلوده برای ارسال درخواست‌های بسیار بزرگ به سرور DNS استفاده می‌کند. این درخواست‌ها باعث می‌شوند که سرور DNS پاسخ‌های بسیار بزرگ‌تری را ارسال کند و در نهایت از کار بیفتد.

۲- مسمومیت حافظه پنهان DNS

حافظه پنهان DNS مانند یک دفترچه تلفن کوچک است که در آن آدرس‌های IP وب‌سایت‌ها ذخیره می‌شود. در حمله مسمومیت حافظه پنهان، مهاجمان اطلاعات نادرستی را در این دفترچه تلفن وارد می‌کنند. به این ترتیب، وقتی شما آدرس یک وب‌سایت را در مرورگر خود تایپ می‌کنید، به جای اینکه به وب‌سایت اصلی متصل شوید، به یک وب‌سایت جعلی هدایت می‌شوید.

برای مثال، مهاجمی ممکن است اطلاعات نادرستی را در مورد آدرس IP بانک شما در حافظه پنهان DNS وارد کند. به این ترتیب، وقتی شما سعی می‌کنید به سایت بانک خود متصل شوید، به یک سایت جعلی هدایت می‌شوید که از نظر ظاهری بسیار شبیه به سایت اصلی بانک است. در این سایت جعلی، از شما خواسته می‌شود اطلاعات شخصی و بانکی خود را وارد کنید تا مهاجم بتواند از آن‌ها سوءاستفاده کند.

۳- سرقت دامنه

در این نوع حمله، مهاجمان به نحوی کنترل یک دامنه را به دست می‌گیرند. آن‌ها ممکن است با هک کردن حساب ثبت‌کننده دامنه، یا با سوء استفاده از آسیب‌پذیری‌های موجود در سیستم‌های ثبت‌کننده دامنه، این کار را انجام دهند. پس از تصاحب دامنه، مهاجمان می‌توانند محتوای وب‌سایت را تغییر دهند، یا حتی از آن برای اهداف مخرب دیگری استفاده کنند.

برای مثال، مهاجمی ممکن است دامنه یک شرکت معروف را تصاحب کند و سپس محتوای وب‌سایت را به یک سایت فیشینگ تغییر دهد. به این ترتیب، کاربران گول خورده و اطلاعات شخصی و بانکی خود را در اختیار مهاجم قرار می‌دهند.

۴- تونل‌زنی DNS

تونل‌زنی DNS روشی است که در آن مهاجمان از پروتکل DNS برای انتقال داده‌های مخفی استفاده می‌کنند. این داده‌ها ممکن است شامل اطلاعات حساس مانند رمزهای عبور، شماره کارت‌های اعتباری و یا حتی کدهای مخرب باشد. از آنجا که پروتکل DNS به طور معمول مورد بررسی دقیق قرار نمی‌گیرد، مهاجمان می‌توانند داده‌های مخفی خود را به راحتی از شبکه خارج کنند.

۵- جعل DNS

در حمله جعل DNS، مهاجمان با ارسال پاسخ‌های جعلی به درخواست‌های DNS، کاربران را به سمت وب‌سایت‌های مخرب هدایت می‌کنند. برای مثال، مهاجمی ممکن است پاسخ جعلی به درخواست DNS برای وب‌سایت یک بانک ارسال کند و کاربر را به یک وب‌سایت جعلی هدایت کند.

۶- حملات ساب دامین (Subdomain)

در این نوع حمله، مهاجمان با ایجاد تعداد بسیار زیادی زیر دامنه برای یک دامنه خاص، منابع سرور نام اصلی را تخلیه می‌کنند. این کار باعث می‌شود که سرور نتواند به درخواست‌های قانونی کاربران پاسخ دهد و در نتیجه وب‌سایت از دسترس خارج شود.

نکته: این‌ها تنها برخی از انواع حملات DNS هستند و مهاجمان همیشه در حال توسعه روش‌های جدید و پیچیده‌تری برای انجام حملات هستند.

استراتژی‌های کاهش خطر حملات DNS

برای محافظت از سیستم خود در برابر حملات DNS، می‌توانید از روش‌های مختلفی استفاده کنید. این روش‌ها به شما کمک می‌کنند تا امنیت شبکه و اطلاعات خود را افزایش دهید.

۱- DNSSEC (امنیت گسترش دامنه)

DNSSEC یک لایه امنیتی برای DNS است که از دستکاری داده‌های DNS جلوگیری می‌کند. به عبارت ساده، DNSSEC مانند یک امضا برای پیام‌های DNS است که تأیید می‌کند پیام اصلی و دست نخورده است. این روش از حملاتی مانند مسمومیت حافظه پنهان DNS جلوگیری می‌کند.

۲- فیلترینگ DNS

فیلترینگ DNS مانند یک دروازه‌بان است که تصمیم می‌گیرد چه ترافیکی اجازه ورود به شبکه شما را دارد. با استفاده از فیلترینگ DNS، می‌توانید وب‌سایت‌های مخرب و مضر را مسدود کنید و از ورود بدافزارها و فیشینگ جلوگیری کنید. این روش به شما کمک می‌کند تا کنترل بیشتری بر ترافیک شبکه خود داشته باشید.

۳- محدودسازی نرخ کوئری ها

محدودسازی نرخ به معنای تعیین محدودیت برای تعداد درخواست‌هایی است که در یک بازه زمانی مشخص می‌توان به سرور DNS ارسال کرد. این روش از حملات تقویت‌کننده DNS جلوگیری می‌کند که در آن مهاجمان با ارسال حجم زیادی از درخواست‌ها، سرور را تحت فشار قرار می‌دهند (مثل دیداس DDoS که بالاتر اشاره شد). همچنین، محدودسازی نرخ به سایر کاربران اجازه می‌دهد تا به طور عادلانه از خدمات DNS استفاده کنند.

۴- بهینه‌سازی حافظه پنهان DNS

حافظه پنهان DNS مانند یک دفترچه یادداشت کوچک است که اطلاعات درباره آدرس‌های IP وب‌سایت‌ها را ذخیره می‌کند. بهینه‌سازی حافظه پنهان باعث می‌شود که سرور DNS کمتر درگیر جستجوی اطلاعات شود و در نتیجه عملکرد سیستم بهبود پیدا کند. همچنین، با کاهش تعداد درخواست‌های DNS، احتمال موفقیت حملات کاهش می‌یابد.

۵- امنیت شبکه

امنیت شبکه شامل مجموعه‌ای از اقدامات برای محافظت از زیرساخت شبکه شما است. این اقدامات شامل استفاده از فایروال‌ها، سیستم‌های تشخیص نفوذ و تقسیم‌بندی شبکه می‌شود. با تقویت امنیت شبکه، شما از ورود مهاجمان به شبکه خود جلوگیری می‌کنید و از اطلاعات حساس محافظت می‌کنید.

۶- نظارت و پاسخ به حادثه

نظارت مداوم بر شبکه و سیستم‌های DNS به شما کمک می‌کند تا حملات را به موقع شناسایی کنید. همچنین، داشتن یک برنامه پاسخ به حادثه مشخص، به شما امکان می‌دهد تا سریع و موثر به حملات واکنش نشان دهید. این شامل اقداماتی مانند قطع دسترسی به سیستم آلوده، بازیابی اطلاعات از نسخه پشتیبان و اطلاع‌رسانی به کاربران است.

با استفاده از این استراتژی‌ها به صورت ترکیبی، می‌توانید سطح امنیت سیستم خود را در برابر حملات DNS به طور قابل توجهی افزایش دهید.

ملاحظات اضافی

آموزش کارکنان: آموزش کارکنان در مورد حملات DNS و بهترین شیوه‌های امنیتی، نقش مهمی در افزایش آگاهی و کاهش خطر دارد.

به‌روزرسانی‌های منظم: به‌روز نگه داشتن نرم‌افزار و سیستم‌های DNS، از بهره‌برداری مهاجمان از آسیب‌پذیری‌های شناخته شده جلوگیری می‌کند.

DNS روی HTTPS (DoH) و DNS روی TLS (DoT): این پروتکل‌ها با رمزگذاری ترافیک DNS، حریم خصوصی کاربران را افزایش می‌دهند و از برخی حملات محافظت می‌کنند.

در نهایت، DNS یک عنصر حیاتی در زیرساخت شبکه است و توجه به آن می‌تواند به طور قابل توجهی بر امنیت و عملکرد وب‌سایت شما تأثیر بگذارد.

نکته کلیدی: فراموش نکنید که DNS تنها یک بخش از پازل است و برای تشخیص دقیق مشکلات، باید تمام جنبه‌های سیستم، از جمله شبکه، سرور و نرم‌افزارها را بررسی کرد.