حملات DNS یا DNS Hijacking چیست. ربودن سرور نام دامنه (DNS) که به آن تغییر مسیر DNS نیز میگویند، نوعی حمله DNS است که در آن کوئریهای DNS به اشتباه ریزالو میشوند تا کاربران را بهطور غیرمنتظره به سایتهای مخرب هدایت کنند. برای انجام این حمله، مرتکبین بدافزار را بر روی رایانههای کاربر نصب میکنند، روترها را تصاحب میکنند، و یا ارتباطات DNS را رهگیری یا هک میکنند. در این مقاله به شما خواهیم گفت DNS Hijacking چیست و در ادامه با ۴ راهکار مقابله با حمله DNS آشنا خواهیم شد.
DNS Hijacking در ثبت دامنه اصلاح عمومی میباشد، و به طور کلی، دو تکنیک دیگر را پوشش میدهد. ربودن DNS به هر حمله ای اشاره دارد که کاربر نهایی را فریب دهد تا فکر کند با یک نام دامنه قانونی ارتباط برقرار میکند در حالی که در واقع با نام دامنه یا آدرس IP که مهاجم تنظیم کرده است ارتباط برقرار میکند. گاهی اوقات به این نوع حملات، تغییر مسیر DNS نیز گفته میشود.
راههای زیادی برای انجام ربودن نیم سرور وجود دارد، رایجترین روشی که میبینیم توسط یک پورتال شرکتهای اینترنت دهنده مانند یکهات اسپات وایفای جهت پرداخت استفاده میشود، است. قبل از اینکه کاربر هزینه دسترسی را پرداخت کند، سرویسهات اسپات تمام درخواستهای DNS را ضبط میکند، و بدون توجه به آنچه خواسته شد، آدرس IP سرور پرداخت را برمیگرداند تا کاربر بتواند دسترسی اینترنت را خریداری کند.
تغییر تنظیمات دستگاه سرویس گیرنده برای استفاده از یک سرور DNS دیگر، یکی دیگر از روشهای رایج حمله است. مهاجم میتواند تنظیمات DNS کاربر را تغییر دهد، بنابراین به جای استفاده از ۸٫۸٫۸٫۸، از آدرس IP یک سرور DNS تحت کنترل مهاجم استفاده میکند. هنگامیکه کاربر برای bank.example.com پرس و جو میکند، سرور DNS مهاجم میتواند یک آدرس IP پنهان شده به عنوان وب سایت هدف را برگرداند، یا به عنوان یک پروکسی برای گرفتن تمام دادههای ارسال شده به وب سایت واقعی عمل کند. این دقیقاً همان کاری است که تروجان/بدافزار DNSChanger انجام داد.
راه دیگر دسترسی غیرمجاز به دادههای معتبر DNS است، مانند سرقت رمز عبور شخصی، سوء استفاده از آسیبپذیری سیستم ورود DNS یا برخی تکنیکهای هوشمندانه دیگر. نمونهای از آن اخیراً در اخبار منتشر شد، زمانی که وزارت امنیت داخلی (DHS) دستور اضطراری (https://cyber.dhs.gov/ed/19-01) را به دلیل دستکاری مخرب ورودیهای DNS دولتی صادر کرد.
برخی از حملات به این واقعیت مربوط میشوند که دامنههای خاصی هنگام استفاده از فونتها یا کدگذاریهای مختلف شبیه به هم هستند. این نوع حمله به عنوان حمله هوموگراف نیز شناخته میشود. یکی از تلاشهای قبلی برای فیشینگ استفاده از نام دامنه paypai.com بود. مهاجم نام دامنه را ثبت کرد، و حرف i را با حروف بزرگ نوشت تا مانند L کوچک به نظر برسد (paypaI)، و بسیاری را فریب داد که فکر کنند این PayPal.com قانونی است. اکنون با پشتیبانی از کاراکترهای بین المللی در DNS، تشخیص تفاوت بین عبارات املای مشابه مانند ėxample.com1 و example.com حتی دشوارتر است.
علاوه بر این، حملات مبتنی بر مرورگر وجود دارد، که از انواع ترفندهای جاوا اسکریپت یا مرورگر وب برای مخفی کردن نوار URL استفاده میکنند، بنابراین وقتی کاربر در واقع از www.internetbadguys.com بازدید میکند، نوار URL در مرورگر ممکن است بانک را نشان دهد. برخی از نسخههای این حمله از جاوا اسکریپت استفاده میکنند، بنابراین کاربر نمیتواند برای دیدن نوار URL به بالای صفحه وب حرکت کند. یک حمله اخیر با نام “Inception Bar” مرورگرهای کروم موبایلی را هدف قرار میدهد که این نوع حمله را انجام میدهند و یک نوار URL نادرست را نمایش میدهند.
اخیرا مهاجمان متوجه شدهاند که روترها یک نقطه ضعف در زنجیره امنیتی هستند، به ویژه به این دلیل که محافظت داخلی نسبتاً ضعیفی دارند، معمولاً با رمزهای عبور پیشفرض مدیریت ارسال میشوند که متأسفانه تعداد زیادی از کاربران هرگز آنها را تغییر نمیدهند، و دارای سیستمافزار نادر هستند. موارد امنیتی ضروری به تأیید و بررسی تنظیمات DNS روتر و به روز رسانی منظم رمز عبور روتر خلاصه میشود.
در مدیریت نام دامنه سازمان شما، مهمترین قدم برای شرکتها برای جلوگیری از سرقت DNS استفاده از قفل رجیستری برای جلوگیری از تغییرات غیرمجاز است. علاوه بر این، مطمئن شوید که مجوز دو مرحله ای را در دسترسی به حساب خود فعال کنید.
اگر سرویس میزبان شما قفلهای رجیستری یا ۲FA را ارائه نمیدهد، باید به طور جدی به یکی از قفلهایی که عملاً امکان پذیر است تغییر دهید. فراتر از آن، DNSSEC (برنامههای امنیتی سیستم نام دامنه) را در کنترل پنل سایت خود فعال کنید. این کار به جلوگیری از تغییر مسیرهای DNS، مسمومیت حافظه پنهان، Pharming و حملات انسان در وسط (man in the middle) با احراز هویت وضوح آدرسهای IP با امضای رمزنگاری کمک میکند.
برای از بین بردن مشکل جستجوهای DNS بین نقاط پایانی توزیع شده و شبکه سازمان شما، شرکتها باید از یک سرویس VPN معتبر استفاده کنند. همچنین، مطمئن شوید که از نقاط پایانی و شبکه خود با یک راه حل امنیتی مستقل و نسل جدید محافظت کنید.
سرور نام DNS یک زیرساخت بسیار حساس است که به اقدامات امنیتی قوی نیاز دارد، زیرا میتواند توسط هکرها ربوده شده و برای نصب حملات DDoS بر روی دیگران استفاده شود.
اما در ادامه با دلایل DNS Hijacking آشنا شویم. ربودن DNS میتواند برای فارمینگ (در این زمینه، مهاجمان معمولاً تبلیغات ناخواسته را برای ایجاد درآمد نشان میدهند) یا برای فیشینگ (نمایش نسخههای جعلی سایتهایی که کاربران به آنها دسترسی دارند و سرقت دادهها یا اعتبارنامهها) استفاده شود.
بسیاری از ارائهدهندگان خدمات اینترنتی (ISP) نیز از نوعی سرقت DNS استفاده میکنند تا درخواستهای DNS کاربر را در اختیار بگیرند، آمار را جمعآوری کنند و هنگامیکه کاربران به یک دامنه ناشناخته دسترسی پیدا میکنند، تبلیغات به جای سایت اصلی برگردانند. برخی از دولتها از ربودن DNS برای سانسور استفاده میکنند و کاربران را به سایتهای مجاز دولتی هدایت میکنند.
ربودن DNS همچنین میتواند در داخل شبکه شما رخ دهد. بدافزار در یک رایانه محلی میتواند سرور DNS مورد استفاده مشتری را تغییر دهد، به طوری که نام دامنه یک دستگاه خاص به اشتباه به IP انتخاب شده توسط مهاجم حل شود. به طور مشابه، اگر عوامل تهدید بتوانند روتر شبکه شما را نقض کنند و آدرسهای سرور جستجو را در آنجا تغییر دهند، میتوانند برای هر کلاینت در آن شبکه از یک نفوذ به همان اثر دست یابند.
یکی از سادهترین راههایی که بدافزارها جستجوهای DNS دستگاه را مسموم میکنند، تغییر فایل میزبان دستگاه است. فایل میزبان از جمله موارد دیگر، برای توسعه وب، مسدود کردن محتوا و نرمافزار VM کاربردهای قانونی دارد، اما همچنین به مهاجمان اجازه میدهد تا آدرسهای IP سفارشی را برای هر دامنه مشخص کنند.
مراقب ریزالوکنندهها در شبکه خود باشید. ریزالوکنندههای DNS غیرضروری باید خاموش شوند. حل کنندههای قانونی باید پشت یک فایروال بدون دسترسی خارج از سازمان قرار گیرند. همچنین دسترسی به سرور نام را به شدت محدود کنید. همچنین باید از امنیت فیزیکی، دسترسی چند عاملی، فایروال و اقدامات امنیتی شبکه استفاده شود.
اقداماتی را در برابر مسمومیت حافظه پنهان انجام دهید. از یک پورت منبع تصادفی استفاده کنید، شناسه پرس و جو را تصادفی کنید، و حروف بزرگ/کوچک را در نام دامنه تصادفی کنید. همچنین تنظیمات روتر را کاملا بررسی نمایید.
با نصب ضد بدافزارها فوراً آسیب پذیریهای شناخته شده را اصلاح کنید. هکرها به طور فعال سرورهای DNS آسیب پذیر را جستجو میکنند. سرور نام معتبر را از حل کننده جدا کنید. هر دو را در یک سرور اجرا نکنید، با این کار حمله DDoS به هر یک از مؤلفهها، دیگری را از بین نمیبرد.
با استفاده از الگوریتمهای رمزنگاری، اطلاعات خود را ارسال نمایید. یکی از موفق ترین نمونهها استفاده از ssl و پروتکل https میباشد که با استفاده از الگوذیتمهای رمزنگاری امکان به سرقت رفتن اطلاعات را کاهش میدهد.
ریزالو نام دامنه به آدرسهای IP عددی، از نقطه پایانی تا سرور ریشه DNS، مملو از آسیبپذیریها برای کاربران عادی و شرکتها است و در عین حال فرصتهای خوبی را برای مهاجمان فراهم میکند. آژانس امنیت سایبری و امنیت زیرساخت وزارت امنیت داخلی ایالات متحده (CISA) اخیراً هشدار داده است که یک کمپین جهانی ربودن DNS در حال حاضر فعال است.
با یک هک موفقیت آمیز، یک مهاجم میتواند ترافیک وب سازمان شما را به زیرساختهای کنترل شده توسط مهاجم هدایت کند، با گواهیهای رمزگذاری معتبر تکمیل شود و حملات انسان در میان را انجام دهد. حملات DNS به دستگاه به راحتی با تغییر تنظیمات DNS محلی یا مسموم کردن فایل میزبان محلی انجام میشود.
برای محافظت از خود، توصیههایی را که در بخش قبل بیان کردیم دنبال کنید. اگر dns شما قبلاً توسط یک راه حل امنیتی قوی مانند SentinelOne محافظت نشده اند، کارشناسان وب رمز به شما نشان میدهند که چگونه راه حلهای فوق میتواند دستگاهها و شبکه شما را ایمن نگه دارد.