آشنایی با نحوه ی کار و چگونگی برقراری امنیت DNS

در سال گذشته، 90 درصد سازمان‌ها با نوعی حمله Domain Name System یا DNS مواجه شدند. هزینه‌ی یک حمله‌ی DNS موفق به‌طور متوسط 1.1میلیون دلار بوده که اصلاً رقم کمی نمی­باشد. مطالعه‌ای روی 1000 سازمان‌ انجام شد که نشان داد با حملات امنیت DNS به شدت در معرض خطر بوده و این حملات منجر می‌شود به:

• استخراج داده
• تقاضا برای باج‌افزار
• حملات DDoS
• Phishing

این قربانیان، سالانه به‌طور متوسط 7.5 حمله مربوط به DNS را تجربه می‌کنند. اما تأثیرات مخرب این حملات چه است؟ سیستم‌های دچار نقض امنیتی موجب Downtimeاز برنامه‌های کاربردی شدند. بدتر اینکه در تعدادی از سازمان هاخدمات داده­ایی به سرقت رفت.

امنیت DNS، ریسک‌های موجود در Domain Name System یا DNS و نحوه ی­ کار

Domain Name System یا DNS باعث برقراری ارتباط بین عناصر زیر می­شود:

• سرورهای Host که یک سرویس وب را اجرا می‌کنند
• دستگاه Client Endpoint

شرح کلی DNSSEC

ویدیو های بیشتر در مورد DNS

سرورهای وب و دستگاه‌های Endpoint که به اینترنت متصل می‌شوند، دارای شناسه‌های عددی منحصربه‌فردی هستند که آدرس پروتکل اینترنت یا آدرسIP نام دارند. Queryهای درخواست و پاسخ‌های اینترنت بین آدرس‌های IP سرورهای وب مربوط و دستگاه‌های کاربر منتقل می‌گردند.

بیشتر بخوانید: حمله ی DNS Hijacking به چندین سازمان در سرتاسر جهان

فرمت آدرس‌های IP برای ماشین مناسب است و راهی را برای ارسال داده روی شبکه فراهم می‌کند. اما این شناسه‌ها برای انسان‌ها مناسب نیستند. پس به فرمت Uniform Resource Locator یا همان URLهای خودمان ترجمه می‌شوند. به یاد سپردن و استفاده از URLها بسیار ساده‌تر است.

سیستم‌های DNS Resolution

Domain Name Service (DNS) Resolution نام مکانیزم ترجمه بین فرمت‌های URL و آدرس IP بوده، البته، Domain Name System یک طراحی سلسله‌مراتبی و غیرمتمرکز را نیز فراهم می‌کند تا Mapping بین صفحات وب و آدرس‌های IP را مدیریت کند.

امنیت DNS در برابر تهدیدات و حملات

طراحی ساده‌ی سیستم‌های DNS Resolution به‌طور سراسری مورداستفاده قرار می‌گیرد. ازآنجایی‌که این طراحی سراسری است، مورد هدف نیز قرار می‌گیرد و مجرمان سایبری به‌طور متداول از آسیب‌پذیری‌ها در پیاده‌سازی‌های DNS سوءاستفاده می‌کنند تا دسترسی اینترنتی به سرورهای Host آسیب‌پذیر را مختل کنند.

ریسک‌های امنیتی و مسیرهای حمله DNS که منجر به کاهش امنیت DNS میگردد:

DNS Tunneling

وقتی پروتکل DNS اتصالی به وب سرور برقرار کند، مجرمان سایبری می‌توانند به‌طور مخفیانه داده‌های غیر DNS مثل دستورها قابل‌اجرا را رمزگذاری کرده و به DNS Query تبدیل نمایند. این اطلاعات به‌دقت رمزگذاری می‌شوند تا اقدامات امنیتی درون سیستم‌های DNS Resolution را دور بزنند. وقتی‌که وب سرور این داده‌ها را استخراج کند، ممکن است دستورها مخربی را به سرور صادر کند تا دسترسی غیرمجاز را فعال کرده و داده‌ها را به سرورهای Third-Party ارسال نماید.

به خطر انداختن امنیت DNS با DNS Spoofing و Cache Poisoning

همچنین امکان دارد که هکرها DNS را Spoof کنند. برای این کار، اطلاعات نادرستی را به کاربر می‌فرستند و سپس DNS Resolver می‌تواند یک پاسخ Query درست را برگرداند. نتیجه چیست؟ آن‌ها را شما را به یک وب‌سایت مخرب هدایت کرده‌اند.

همچنین ممکن است DNS Resolver بتواند Mapping آدرس IP جعلی را Cache کرده و تمام Queryهای وب آینده را به یک وب‌سایت جعلی هدایت نماید. این کار می‌تواند باعث هدایت گسترده ترافیک کاربران به یک آدرس IP جعلی شود تا وقتی‌که DNS Resolver بتواند Cache را Refresh کرده و Mappingهای آدرس IP مخرب را حذف نماید.

Distributed Denial of Service یا DDoS

DDoS یک حمله سایبری است که شامل هجوم ترافیک به سمت یک وب‌سایت می‌باشد، به‌طوری‌که برای کاربران قانونی نیز از دسترس خارج گردد. این فرایند شامل تشدید DNS است که وب سرور هدف را غرق در ترافیک می‌کند.

بیشتر بخوانید: جلوگیری از حملات DDoS در سیستم‌های سازمانی

تشدید DNS یا DNS Amplification از طریق ارسال Queryهای کوچک به وب سرور انجام می‌شود که موجب دریافت یک پاسخ شدید می‌گردد. برای مثال، ممکن است UDP Packet حاوی یک آدرس IP از قربانی هدف باشد که Spoof شده است و از DNS Resolver بخواهد که یک پاسخ تشدید شده را ارسال کند. تعداد زیادی Bot درخواست‌های مشابهی را از طریق DNS Resolver ارسال می‌کنند که در ادامه اطلاعات تشدید شده‌ای را به وب سرور هدف منتقل می‌نماید. این امر باعث می‌شود که سرویس وب برای کاربران قانونی که سرور را در همین زمان Query می‌کنند، از دسترس خارج گردد.

DNS Fast Flux

مجرمان سایبری از مکانیزم DNS Resolution سوءاستفاده می‌کنند تا از اینکه خدمات جستجو و کسب‌و‌کارها Denylisting (یا همان Blacklisting) انجام دهند جلوگیری کنند. آن‌ها به‌سادگی و به‌طور مداوم آدرس IP متعلق به Host مربوط به محتوای مخرب خود را عوض می‌کنند. این محتوای مخرب ممکن است …

• حاوی بدافزار یا خدمات جعلی باشد.
• خدمات قانونی مثل بانک‌ها و رسانه‌های اجتماعی را جعل هویت کند.
• Botnetها را برای حملات DDoS و تشدید DNS مدیریت کند.

وقتی‌که سرور Host اصلی تنظیم شد، مجموعه جدیدی از سرورهای Botnet یا سرورهای Host دچار نقض امنیتی به‌عنوان پروکسی مورداستفاده قرار می‌گیرد تا به ترافیک وب مربوط به وب سرور اصلی رسیدگی گردد. سرورهای پراکسی به‌سرعت آدرس‌های IP مربوط به دامین سرور Host وب اصلی را می‌چرخانند. آدرس IP پراکسی ارتباط بین کاربر نهایی و سرور اصلی را که محتوای مخرب را Host می‌کند مبهم می‌نماید.

امنیت DNS و رفع ریسک‌های DNS

این مشکلات معمولاً با دنبال کردن بهترین راهکارهای امنیت سایبری که در صنعت به اثبات رسیده‌اند رفع می‌گردد؛ ازجمله:

• استفاده از یک فایروال امنیت DNS اختصاصی.
• پیکربندی DNS Resolverها برای رفع تشدید تأثیرگذاری روی یک شبکه گسترده.
• به‌روزرسانی، مانیتورینگ و ممیزی منظم سیستم‌های سرور DNS.

دفاع از خود در مقابل حملات DDoS

دفاع از خود در مقابل حملات DDoS داستان متفاوتی دارد. پیشگیری از حملات DDoS نیازمند اقدامات پیچیده‌ای است؛ ازجمله:

• بخش‌بندی فعالانه شبکه و مدیریت پهنای باند می‌تواند در صورت رخ دادن یک حمله DDoS، میزان تأثیرگذاری را کاهش دهد.
• Content Delivery Network یا CDN را می‌توان پیکربندی کرد تا ترافیک بسته به محدودیت‌های پهنای باند، توزیع و هدایت گردد.

به‌علاوه، اقدامات واکنشی در پاسخ به یک حمله DDoS می‌تواند شامل استفاده از سیستم‌های شناسایی نفوذ و سیستم‌های پیشگیری از نفوذ یا IPS/IDS پیشرفته مبتنی بر هوش مصنوعی و همچنین تعدیل‌‌کنندگان بار باشد که به‌صورت Real-Time به افزایش ناگهانی ترافیک رسیدگی می‌کنند.

.