DNS Spoofing چیست

وقتی می خواهید به سایتی مثل گوگل دسترسی پیدا کنید، قبل از هرچیز باید به سرورهای گوگل وصل شوید و این امر با وارد کردن نام گوگل در آدرس مرورگر مد نظر خود اتفاق می افتد اما در حقیقت سرورها و روترهای موجود در شبکه، شما را با یک IP به سرور مد نظر وصل می کنند و از آدرس های دامنه مثل Google.com استفاده نمی کنند بلکه از آدرس IP آن مانند 4.2.2.4 استفاده می کنند.

آدرس های مد نظر ما چگونه به یک IP قابل فهم برای سرور تبدیل می شوند؟ این اتفاق توسط DNS می افتد. DNS آدرس را دریافت کرده و سپس آن را به IP تبدیل می کنند و یا IP را دریافت کرده و آن را به آدرس تبدیل می کند. روتر، نام آدرس را برای DNS ارسال می کند و سپس اطلاعاتی را از DNS دریافت می کند و درنتیجه شما را به آدرس سایت مورد نظرتان هدایت می کند.

اگر هکرها یا حمله کننده ها بتوانند به DNS آسیب برسانند و یا اطلاعات را به اشتباه وارد کنند شما به جای وصل شدن به آدرس مقصد، به سرور تقلبی متصل می شوید و در این صورت به سیستم یا سرور شما حمله می شود. ما در ادامه این مقاله درباره DNS Spoofing چیست و انواع حملات آن و روش های جلوگیری از حملات DNS را بررسی خواهیم کرد پس تا انتهای این مقاله با ما همراه باشید.

DNS Spoofingچیست؟

همان طور که می دانید DNS همان نام دامنه است، اگر سرور نام دامنه شما جعل شود، DNS Spoofing رخ داده است. در واقع وقتی DNS ضعیف باشد، حملاتی به خاطر ضعفِ دامنه وب سایت ها رخ می دهد که این حملات را DNS Spoofing می گوییم. اما چگونه این حمله اتفاق می افتد؟

این حمله بر روی سوابق تغییر یافته DNS شما اتفاق می افتد و موجب می گردد ترافیک آنلاین شبکه به یک وب سایت جعلی که مشابه با وب سایت مقصد است هدایت شود و امنیت اطلاعاتی شما را به خطر می اندازد همچنین عواقب دیگری نیز در پی دارد.

اکثر مهاجمان از ابزارهای از پیش ساخته برای انجام جعل DNS استفاده می کنند. برخی از عوامل تهدید ابزارهای خود را می نویسند، اما برای این نوع حمله غیر ضروری است. مکان هایی با WiFi عمومی رایگان هدف اصلی هستند، اما می توان آن را در هر مکان با دستگاه های متصل انجام داد.

یک شبکه خانگی یا تجاری می تواند در برابر این حمله آسیب پذیر باشد، اما این مکان ها معمولا بر این موضوع نظارت دارند که فعالیت های مخرب را شناسایی کنند. WiFi عمومی به صورت نادرست پیکربندی شده اند و ایمنی پایینی دارند به همین علت است همیشه میگویند به امنیت وای فای خود فکر کنید.

بیشتر بخوانید: نرم افزار Quad9 چیست

حملات DNS Spoofing به چند روش صورت می گیرد:

چرا حملات DNS Spoofing را باید شناسایی و برطرف کرد یا بهتر است بگوییم که این حملات DNS چه عواقبی دارند؟ در واقع حمله کننده ها که در اصطلاح به آن ها هکر می گویند، به اطلاعات حساس کاربران دسترسی پیدا می کنند و آن ها را می دزدند و این فرصت را در اختیار مهاجمین قرار می دهند که به آن ها دسترسی پیدا کنند. این وب سایت های مخرب باعث ایجاد ویروس در سیستم کاربر نیز می گردد.

• MITM یا Man in the middle:

این حمله موجب رهگیری روابطی است که بین کاربران و سرور DNS صورت می پذیرد که موجب می شود کاربران به آدرس مخرب و اشتباهی هدایت شوند. به بیان بهتر می توان گفت یک هکر در میان مرورگر وب و سرور DNS قرار می گیرد و به هر دو حمله می کند. در این حمله هم Cache مسموم می و هم DNS سرور نیز مسموم می گردد. در نتیجه شما یک سایت مخرب خواهید داشت که توسط یک هک هدایت می شود.

• حمله به DNS با استفاده از هرزنامه:

معمولا لینک هایی در هرزنامه ایمیل ها وجود دارد که حاوی کدهای مخرب هستند، این ایمیل ها در تلاش اند تا کاربر را بترسانند و او را مجاب به کلیک بر روی لینک های موجود در ایمیل کنند و همین امر موجب آسیب و حمله به کامپیوتر شما می گردد.

دقت داشته باشید تصاویر و بنرهای تبلیغاتی نیز قابل اعتماد نیستند و می توانند کاربران را به سمت کدهای مخرب هدایت کنند و در نتیجه موجب آسیب و خرابی میشود. این لینک ها شما را به سمت سایت های جعلی خواهند برد که مشابه با سایت های مورد نظر شماست و تهدید جدی برایتان به بار خواهد آورد و ممکن است دچار خسارت و آسیب های جدی در سایتان بشوید.

• ربوده شدن مستقیم سرور DNS برای بازگرداندن آدرس IP مخرب پیکربندی شده

حمله کننده بر روی IP کامپیوتر محلی خود یک وب سرور جعلی ایجاد می کند که مشابه با وب سایت مقصد به نظر برسد. بنابراین برای کاربران، وب سایت های جعلی و نادرست نمایش داده می شود و در نهایت موجب نصب بدافزار روی کامپیوتر کاربران می گردد.

چون DNS رمزگذاری نشده است بنابراین کار را برای مهاجمان و حمله کننده ها آسان تر می سازد و همچنین آدرس IP که ترافیک شبکه به سمت آن هدایت می شود را تائید نمی کند.

از طرف دیگر DNSSEC روش های دیگری برای تائید کردن، ایجاد می کند تا امنیت DNS را بالا ببرد و همچنین یک امضای رمزنگاری شده ای که صرفا منحصر به کاربر مورد نظر است ایجاد می کند و در کنار سایر سوابق آن را ذخیره می کند. لازم است بدانید که پروتکل DNSSEC امنیت حملات DNS را بالا می برد ولی خود دارای نکات منفی نیز می باشد.

معایب DNSSEC چیست؟

• محرمانه نبودن اطلاعات و داده ها: یکی از مشکلات و معایبی که DNSSEC دارد این است که با وجود احراز هویت، پاسخ های DNS را رمزنگاری نمی کند و کماکان مهاجمان می توانند با ترافیک شبکه همسو شده و از اطلاعات و داده ها سو استفاده کنند.
• استقرار پیچیده: این پروتکل به درستی پیکربندی نشده است همین علت موجب می گردد که امنیت کاسته شده و یا حتی نتوانیم به وب سایت دسترسی پیدا کنیم.
• محدوده منطقه: اعتبارسنجی DNSها با توجه به سوابق منابع به وجود می آیند. همچنین برای عبور کردن از محدوده DNS باید تمامی سوابق مورد استفاده قرار گیرند. نسخه های جدیدی از این پروتکل تولید شده است که NSEC3 و NSEC5 نام گذاری شده اند. این نسخه های جدید نام میزبان را منتشر کرده و آنها را رمزنگاری می کند و موجب جلوگیری از شمارش منطقه یا محدوده می شود.

DNS Cache Poisoning چیست؟

DNS Cache Poisoning یکی از حملات گمراه کننده به شمار می رود که در صورت عدم اطلاع از چگونگی اتصال شما توسط اینترنت، ممکن است فکر کنید که وب سایت شما هک شده است و شما فریب می خورید. گاهی هم ممکن است که دستگاه شما هک شده باشد، از طرفی ابزارهای امنیتی فقط می توانند بخشی از این تهدیدات را کنترل کنند در این صورت اوضاع وخیم تر می گردد .

حذف کردن و از بین بردن داده ها و اطلاعات مورد حمله قرار گرفته و مسموم بسیار سخت و دشوار است. با پاکسازی کردن هم سروری که آلوده شده باشد مشکلش برطرف نمی شود و به سایت جعلی باز خواهد گشت، از طرفی اگر دسکتاپی آلوده نباشد و به سرور آلوده ای متصل گردد، آن را مسموم خواهد کرد.

خطرات حاصل از DNS Cache Poisoning کدامند؟

• سرقت داده ها و اطلاعات: این تهدیدات برای هکرها بسیار درآمدزا هستند. وب سایت های بانک و برخی فروشگاه های اینترتتی به راحتی قابل جعل و آسیب هستند، بنابراین ممکن است رمز عبور، اطلاعات کارت های بانکی و اطلاعات شخصیتان در معرض خطر باشند و به سایت هایی فرستاده شوند که برای همین امر طراحی شده اند.
• آلودگی بدافزارها: تهدید دیگری که ممکن است کامپیوتر شما با آن مواجه شود آدرس های اشتباه و جعلی هستند. ممکن است آدرس مقصد شما به لینک های خراب آلوده شده باشد و یا دانلود های خودکار برایند دیگری برای آلوده سازی سیستم شما هستند. بنابراین باید از ابزارهای امنیتی استفاده کنید تا خطرات این چنینی را پیشگیری کنید.
• تاخیر در بروزرسانی امنیتی: این اتفاق در اثر حملات DNS جعلی می تواند رخ دهد. اگر وب سایت های جعلی امنیت اینترنتی را نیز تخریب کرده باشند در نتیجه بروزرسانی های امنیتی نیز انجام نمی شود و سیستم شما در معرض تهدیدات و ویروس ها قرار می گیرد.
• سانسور کردن: این خطر رایج در دنیاست که در نتیجه این اتفاق کشور چین تغییراتی بر روی DNS های خود بوجود آورده است تا اطمینان حاصل کند که وب سایت هایی که در این کشور بازدید می شوند مورد تائید هستند.

تفاوت میان  Spoofing و Poisoning:

Spoofing و Poisoning دو مفهوم متفاوت هستند، در مواقعی که بر روی سرور حمله ای می خواهد صورت پذیرد، حملات DNS Spoofing و Poisoning مفهوم اصلی خود را نشان می دهند و در برخی شرایط هر دو، یک مفهوم را می رسانند.

در کل ماهیت هر دو ایجاد تغییر و جابه جایی است اما در poisoning آدرس IP در کش DNS تغییر می کند مثلا کاربر را به سمت آدرس جعلی که قرار است حمله بر روی آن صورت پذیرد هدایت می کند، اما در Spoofing هدف اصلی جعل کردن است. وقتی شما آدرس Mac را تغییر می دهید در حقیقت موفق شده اید که کش را نیز مسموم کنید.

چگونه با استفاده از روش DNS Cache Locking از حملات جلوگیری کنیم؟

این روش یکی از روش های مقابله با حملات است که برای جلوگیری و مقابله با حملات باید Cache Locking خود را فعال کنید. این استراتژی به شما کمک می کند تا اطلاعات Cache شما در طول مقدار مناسبی بوده و OverWrite شوند که این امر موجب جلوگیری از حمله DNS Cache Poisoning می گردد.

یکی دیگر از حملاتی که می توانید با کمک این روش از وقوع آن جلوگیری کنید مسموم کردن DNS Cache است. در حمله به DNS Cache شما، یک آدرس جعلی در در حافظه کش ذخیره می شود و DNS آدرس سایت مخرب را به شما یادآور می شود این حمله می تواند همیشه رخ بدهد چه مشکلی که درسرور بوده حل شده باشد و چه سرور مشکلی نداشته باشد.

روش های جلوگیری از جعل حملات DNS:

وقتی می خواهید از جعل شدن حملات DNS خود جلوگیری کنید، باید بدانید که حفاظت و امنیت سمت کاربر محدود است و از طرف دیگر مالکان توانایی بیشتری در حفاظت از کاربرانشان را دارند. برای برقراری امنیت و جلوگیری از مسموم شدن باید هم کاربر و هم مالک از وب سایت های جعلی دوری کنند.

مالک یک وب سایت مسئولیت دفاع از کاربران را بر عهده دارد، بنابراین آنها می توانند از ابزارها و پروتکل هایی استفاده کنند تا جلوی تهدیدات را گرفته و از نفوذ آن ها جلوگیری شود. برخی از این روش ها در زیر عنوان شده است:

1. ابزاری برای تشخیص جعل DNS: این ابزار در واقع محصولات امنیتی در سمت کاربر هستند، که داده ها را قبل از ارسال بررسی می کنند و سپس آن ها را ارسال می کنند.
2. افزونه های امنیتی نام دامنه (DNSSEC): DNSSEC یک برچسب برای تائید این است که آدرس داده ها امن هستند و موجب دور نگه داشتن و امن نگه داشتن از آدرس های جعلی می شود.
3. رمزگذاری سرتاسری: هنگامی که داده ها در طی پاسخ و یا درخواست رمزگذاری می شوند موجب از بین رفتن دسترسی مهاجمان می گردند زیرا نمی توانند گواهینامه امنیتی وب سایت اصلی را جعل کنند.

بیشتر بخوانید: حمله Cross site scripting یا XSS چیست

چگونه کاربران می توانند از حملات DNS در امان باشند؟

برای حفظ امنیت سیستم خود باید به نکاتی توجه کنید که شاید از نظرتان خیلی مهم به نظر نیایند ولی همین موارد موجب حفظ امنیت سرور از سمت کاربر خواهد شد. مثلا کاربران نباید بر روی لینک هایی که نمی شناسند کلیک کنند، این لینک ها ممکن است در ایمیل ها، لینک های شبکه اجتماعی و یا پیامک باشند.

ابزارهایی که لینک ها را کوتاه می کنند موجب می گردند که آدرس مقصد پنهان شود، پس از این چنین لینک ها دوری کنید. لینک ها را خودتان به صورت دستی در مرورگر بنویسید و زمانی این کار را انجام دهید که خیالتان آسوده باشد این لینک مطمئن است.

کامپیوتر خود را اسکن کنید، این کار موجب می شود تا حملات DNS مسموم را شناسایی کنید و از طرفی به نرم افزار شما کمک می شود تا آلودگی حذف گردد. از طرفی می دانید که سایت های جعلی می توانند آلودگی را به برنامه های دیگر انتقال دهند، بنابراین برای پیدا کردن ویروس ها باید سیستم را اسکن کنید.

گاهی ممکن است برعکس آن هم رخ دهد. مثلا یک بدافزار شما را به سمت سایت جعلی و اشتباه هدایت کند و بهتر است همیشه از سایت های محلی استفاده کنید. سعی کنید کش سیستم خود را در صورت نیاز پاک کنید، این روش به پاک شدن سیستم شما کمک خواهد کرد.

خیلی راحت نرم افزار RUN را در ویندوز باز کنید و  دستور ipconfig/flushdns را انجام دهید. این امکانات معمولا در network setting reset است یا اینکه سیستم خود را در حالت هواپیما قرار دهیدو دستگاه را مجددا راه اندازی کنید، در صورت هرگونه مشکل می توانید روش انجام کار مربوط به سیستم خود را از طریق اینترنت جستجو کنید.

به طور کلی شما می توانید با استفاده از نرم افزارهای مدیریتی مانند: DNS Spoofing، اتوماسیون مدیریت ساده تری داشته باشید و به استانداردهای موجود تمرکز کنید. سرعت بالای پاسخگویی موجب رضایت بیشتر مشتری می گردد و همچنین مشترکان جدید زیادی امکان اضافه شدن را دارند.