DNS Cache Poisoning چیست؟ (Aka DNS Spoofing)

مسموم بودن با حافظه نهان DNS یک حمله سایبری است که کامپیوتر شما را فریب می دهد که به آدرس صحیح ، فکر کند ، اما این طور نیست. مهاجمان از مسمومیت با حافظه نهان DNS برای ربودن ترافیک اینترنت و سرقت اطلاعات کاربری یا اطلاعات شخصی استفاده می کنند.

همچنین با عنوان DNS spoofing ، حملات مسموم با حافظه نهان DNS سعی در ترغیب کاربران به وارد کردن اطلاعات شخصی خود به وب سایت های ناایمن دارد.

وارونیس می تواند حملات مسمومیت با حافظه نهان DNS را با نظارت بر DNS و شناسایی رفتارهای غیر طبیعی در فعالیت کاربر شما.

DNS Caching چیست؟

 مسموم کردن حافظه نهان DNS یا تعریف کلاهبرداری

قبل از اینکه در مورد حمله صحبت کنیم ، نیاز به یک تازه کننده در ذخیره سازی DNS و DNS داریم. DNS کاتالوگ جهانی برای آدرس های IP و نام دامنه است. ذخیره سازی DNS سیستمی است که این آدرس ها را در سرورهای DNS در سراسر جهان ذخیره می کند.

برای سریع نگه داشتن درخواست DNS ، سازندگان اصلی یک سیستم DNS توزیع شده ایجاد کردند. هر سرور لیستی از سوابق DNS را که می شناسد ذخیره می کند – به این حافظه پنهان گفته می شود. اگر نزدیکترین سرور DNS شما آدرس IP مورد نیاز شما را نمی داند ، از سایر سرورهای DNS سؤال می کند تا اینکه آدرس IP را برای وب سایت مورد نظر خود پیدا کند. سرور DNS شما سپس ورودی جدید را در حافظه نهان ذخیره می کند.

نمونه ها و تأثیرات مسمومیت با حافظه نهان DNS

DNS به هیچ وجه برای مدیریت اینترنت مدرن طراحی نشده است. با گذشت سالها بهتر می شود ، اما یک سرور DNS اشتباه پیکربندی شده که ورودی DNS را از یک سرور در چین بیرون می آورد – و ناگهان ، هیچ کس نمی تواند به فیس بوک برسد. این واقعه نشان می دهد که چقدر به DNS وابسته هستیم. یک نفر سرور را اشتباه تنظیم می کند و ناگهان صدها میلیون نفر اثرات را احساس می کنند.

ویکی لیکس همچنین مورد حمله مهاجمین قرار گرفت که از یک حمله مسموم از حافظه نهان DNS برای ربودن ترافیک به نسخه مشابه WikiLeaks خود استفاده می کردند. این یک حمله عمدی بود که برای دستیابی به ترافیک از ویکی لیکس با موفقیت در نظر گرفته شده بود.

حملات مسموم شده با حافظه نهان DNS برای افراد عادی فرخنده و دشوار است. DNS در حال حاضر یک سیستم اعتماد به نفس است ، به همین دلیل استفاده از آن آسان است. انسانها به DNS به یک خطا اعتماد دارند و هرگز درستی بررسی نمی کنند که آیا آدرس در مرورگر آنها آدرسی است که آنها انتظار داشتند. مهاجمان از این نارضایتی و بی احتیاطی برای سرقت مدارک معتبر یا موارد بیشتر استفاده می کنند.

چگونه یک حمله مسمومیت با حافظه نهان DNS کار می کند؟

 مسموم بودن کش DNS تصور می کند که چگونه کار می کند

مسموم کردن حافظه نهان DNS وقتی نزدیکترین سرور DNS شماست ورودی که شما را به آدرس اشتباه ارسال می کند – معمولاً یک مهاجم کنترل می کند. در اینجا چند تکنیک مختلف که مهاجمان برای مسموم کردن حافظه نهان DNS استفاده می کنند ، آورده شده است.

جعل پاسخ با استفاده از حمله تولد

DNS پاسخ به سؤالات بازگشتی را تأیید نمی کند ، بنابراین اولین پاسخ در حافظه نهان ذخیره می شود. مهاجمان از "پارادوكس تولد" استفاده می كنند تا سعی كنند پاسخ درخواست جعلی را برای درخواست كننده پیش بینی و ارسال كنند. این حمله تولد از تئوری ریاضی و احتمال استفاده می کند تا یک حدس بزنید. در این حالت ، مهاجم در تلاش است تا شناسه معامله درخواست DNS شما را حدس بزند ، بنابراین پاسخ جعلی با ورود جعلی DNS قبل از پاسخ واقعی به شما می رسد.

یک حمله روز تولد موفقیت تضمینی نیست ، اما در نهایت ، یک مهاجم یک پاسخ جعلی را در یک حافظه پنهانی دزدکی می کند. هنگامی که این حمله موفقیت آمیز باشد ، مهاجمی از ورود DNS جعلی تا زمانی که زمان زندگی (TTL) منقضی شود ، بازدید خواهد کرد.

Exploit Kaminsky's Exploit

بهره برداری کامینسکی تغییر روز تولد است. حمله ارائه شده در BlackHat 2008.

اول ، مهاجم یک درخواست کننده DNS را برای یک دامنه غیر موجود مانند "fake.varonis.com" یک جستجوگر DNS ارسال می کند. "حل کننده سپس پرس و جو را به سرور نام معتبر ارسال می کند تا بتواند آدرس IP برای دامنه فرعی کاذب. در این مرحله ، مهاجم با تعداد زیادی از پاسخ های جعلی ، حل کننده را سیلاب می کند ، به این امید که یکی از این جعل کنندگان با شناسه معاملات پرس و جو اصلی مطابقت داشته باشد.

در صورت موفقیت ، مهاجمان حافظه نهان DNS حل کننده هدفمند را با یک آدرس IP جعلی برای – در این مثال – varonis.com مسموم کرده است. این حل کننده به هرکسی که از آن سؤال کند ادامه خواهد داد که آدرس IP برای varonis.com عبارت درخواست جعلی تا TTL است.

استراق سمع

و البته ، یک مهاجم با دسترسی کافی به شبکه می تواند ترافیک محلی DNS را تماشا کند و با هر تعداد تکنیک ، حافظه نهان را مسموم کند. با این حال ، اگر مهاجمین در حال حاضر در شبکه شما هستند ، موارد دیگری دارید.

چگونه می توان DNS Cache Poisoning

 مسموم کش DNS را بصری از چگونگی کشف آن شناسایی کرد

بنابراین ، چگونه حمله مسمومیت با حافظه نهان DNS را تشخیص می دهید؟ سرورهای DNS خود را برای نشانگر حملات احتمالی کنترل کنید. انسان قدرت محاسباتی برای پیگیری مقدار درخواست DNS برای نظارت بر شما ندارد. تجزیه و تحلیل امنیت داده ها را برای نظارت بر DNS خود اعمال کنید تا رفتار DNS طبیعی را از حملات تشخیص دهید.

  • افزایش ناگهانی فعالیت DNS از یک منبع واحد درباره یک دامنه واحد ، نشانگر حمله احتمالی تولد است.
  • افزایش فعالیت DNS از یک منبع واحد که در حال جستجوی سرور DNS برای چندین نام دامنه بدون بازگشت است ، نشانگر تلاش برای یافتن ورودی برای استفاده برای مسمومیت است.

علاوه بر نظارت بر DNS ، رویدادهای Active Directory و رفتار سیستم سیستم را برای فعالیت غیر طبیعی نظارت می کند. و حتی بهتر ، از Analytics برای همبستگی فعالیت بین هر سه بردار استفاده کنید تا زمینه ارزشمندی به استراتژی امنیت سایبری خود اضافه کنید.

چگونه می توان در برابر مسمومیت با حافظه نهان DNS محافظت کرد

 نکات مسموم از حافظه نهان DNS

فراتر از نظارت و تجزیه و تحلیل ، شما می توانید تغییرات پیکربندی را روی سرور DNS خود ایجاد کنید.

  • برای محافظت در برابر حملات احتمالی هدفمند هدفمند ، سؤالات بازگشتی را محدود کنید.
  • فقط داده های مربوط به دامنه درخواستی را ذخیره کنید
  • پاسخ ها را محدود کنید تا فقط در مورد دامنه درخواست شده پاسخ دهید
  • مشتریان را مجبور کنید که از HTTPS استفاده کنند

مطمئن شوید که از آخرین نسخه های نرم افزار BIND و DNS استفاده می کنید ،

و در آخر ، DNSSEC یک پروتکل جدید DNS است که درخواست های DNS را برای جلوگیری از جعل رمزنگاری می کند. این پروتکل هنوز به طور گسترده اتخاذ نشده است ، زیرا روند کند DNS را کند می کند. DNS بیش از HTTPS (DoH) یک ویژگی رقابتی برای نسخه بعدی DNS است تا بتواند درخواست های DNS را ایمن کند بدون اینکه سرعت آن را مانند DNSSEC بکشد. جالب خواهد بود بدانید که کدام یک استاندارد جدید می شود.

سؤالات متداول مسمومیت DNS Cache

سؤالات متداول در مورد کلاهبرداری DNS را در زیر مشاهده کنید.

س: آیا DNS Caching و DNS Spoofing Same Thing هستند؟

پاسخ: بله ، کلاهبرداری و ذخیره سازی DNS یکسان است.

س: چگونه DNS Cache Poisoning کار می کند؟

A: مسموم کش کش DNS با فریب سرور DNS شما در صرفه جویی در ورودی جعلی DNS . ترافیک در ورودی DNS جعلی به سرور مهاجمین می رود که تصمیم به سرقت داده ها می گیرند.

س: کدام ویژگی های امنیتی می تواند برای محافظت در برابر مسمومیت با حافظه نهان DNS استفاده شود؟

A: نظارت ، تحلیلی ، DNSSEC ، جنس بعدی firewalls، CASB .

س: چگونه می توانید برای حمله مسمومیت به DNS کش بررسی کنید؟

A: پس از مسموم کردن حافظه نهان DNS ، تشخیص آن دشوار است. این ممکن است یک روش بهتر برای نظارت بر داده های شما و محافظت از سیستم های خود در برابر نرم افزارهای مخرب برای محافظت در برابر سازش ناشی از یک حافظه پنهان DNS باشد.

به آزمایشگاه حمله مستقیم سایبر بروید تا ببینید که چگونه از مانیتور DNS برای شناسایی تهدیدات امنیت سایبری واقعی استفاده می کنیم.