DNS Hijacking چیست؟ سرقت DNS نوعی حمله سایبری است که شامل دستکاری سیستم نام دامنه (DNS) برای هدایت مجدد کاربران به وبسایتهای جعلی یا سرقت اطلاعات حساس (مانند نام کاربری و رمز عبور) میشود.
در این مقاله، به بررسی روشهای انجام حملات DNS Hijacking، تأثیرات آن بر شبکه و کاربران و راهکارهای مقابله با این نوع حملات خواهیم پرداخت. همچنین، نکاتی را برای افزایش امنیت سیستم DNS و جلوگیری از سرقت DNS معرفی خواهیم کرد.
DNS چیست
DNS مخفف عبارت Domain Name System است. این سیستم یک ساختار توزیع شده است که در اینترنت برای ترجمه نام دامنهها به آدرسهای IP استفاده میشود.
DNS یک سیستم نامگذاری غیرمتمرکز سلسله مراتبی است که نامهای دامنه قابل خواندن برای انسان (مانند www.example.com) را به آدرسهای IP (مانند 192.0.2.1) که رایانهها میتوانند آن را درک کنند، ترجمه میکند.
در واقع دی ان اس دفترچه تلفن اینترنت است. کاربران از طریق نامهای دامنه مانند site.com به اطلاعات و محتوای آنلاین دسترسی دارند.
مرورگرها از طریق IP با یکدیگر تعامل دارند. DNS نام دامنه را به آدرسهای IP ترجمه میکند تا مرورگرها بتوانند منابع اینترنتی را از سرورها در نقاط مختلف جهان بارگیری کنند.
سرورهای DNS نیاز کاربران را به حفظ آدرسهای IP مانند ۱۹۲٫۱۶۸٫۱٫۱ (در IPV4) یا آدرسهای IP پیچیدهتر مانند ۲۴۰۰:cb00:2048:1::c629:d7a2 (در IPV6) از بین میبرند، تا به جای حفظ کردن این اعداد، از نامهای معنیدار و سادهتر استفاده کنید.
به طورخلاصه، DNS وظیفه ترجمه نام دامنهها به آدرسهای IP را برعهده دارد تا کاربران بتوانند به راحتی منابع مختلف در اینترنت دسترسی پیدا کنند.
DNS چگونه کار میکند
وقتی نام دامنه را در مرورگر خود وارد میکنید، مرورگر ابتدا به سرور DNS محلی خود متصل میشود و درخواست ترجمه آدرس IP برای آن نام دامنه را ارسال میکند.
سپس سرور DNS محلی، درخواست را به سرورهای DNS در سلسله مراتب بالاتر ارسال میکند تا ترجمه را دریافت کند. این فرآیند تا رسیدن به سرور DNS اصلی برای آن نام دامنه ادامه مییابد.
سرور DNS مسئول نگهداری اطلاعات مربوط به نام دامنه است و آدرس IP متناظر با آن را برمیگرداند. سپس این اطلاعات به سرور دی ان س محلی و سپس به مرورگر شما ارسال میشود.
در نهایت، مرورگر شما از طریق آدرس آی پی دریافت شده به سرور موردنظر متصل میشود و صفحه وب مربوطه را بارگیری میکند.
سرقت DNS چیست
DNS Hijacking یکی از روشهای حملات سایبری است که در آن، حملهکننده تغییراتی در سیستم نام دامنه (DNS) اعمال میکند تا ترافیک شبکه را به سمت سرورهای مختلف هدایت کند.
ربودن DNS با به خطر انداختن سرور دی ان اس یا رایانه کاربر برای هدایت درخواستهای DNS به سرور دیگری که توسط مهاجم کنترل میشود، کار میکند.
به عنوان مثال، اگر مهاجم به یک سرور DNS دسترسی پیدا کند، میتواند سوابق دی ان اس را برای یک دامنه خاص تغییر دهد تا به یک آدرس IP متفاوت، اشاره کند.
این کار میتواند با تغییر رکوردهای DNS موجود یا ایجاد رکوردهای جدیدی که بر رکوردهای قانونی غلبه میکنند، انجام شود.
هنگامی که کاربر نام دامنه را تایپ میکند، سرور DNS مخرب با آدرس IP کنترل شده توسط مهاجم پاسخ میدهد که میتواند برای هدایت کاربر به یک وب سایت جعلی که شبیه به وب سایت قانونی به نظر میرسد، استفاده شود.
همچنین ربودن DNS میتواند با آلوده کردن سیستم کاربر به بدافزاری که تنظیمات DNS را تغییر میدهد، انجام شود.
این کار میتواند از طریق ایمیلهای فیشینگ یا سواستفاده از آسیب پذیریها در مرورگر یا سیستم عامل کاربر انجام شود.
پس از تغییر تنظیمات DNS، هر زمان که کاربر قصد دسترسی به سایت قانونی را داشته باشد، به وب سایت مهاجم هدایت میشود.
بیشتر بدانید : چگونه باج افزار Akira سرورهای VMware ESXi را هدف قرار میدهد
DNS Hijacking ممکن است پیامدهای بسیاری داشته باشد. مهاجمان میتوانند از وبسایتهای جعلی برای سرقت اطلاعات ورود به سیستم یا دادههای حساس (مانند شماره کارت اعتباری) استفاده کنند.
همچنین میتوانند از سرور DNS ربوده شده برای انجام حملات اضافی (مانند دانلود بدافزار یا کلاهبرداریهای فیشینگ) استفاده کنند.
این نوع حمله باعث میشود که کاربران به سایتها و خدماتی هدایت شوند که قصد دسترسی به آنها را ندارند و ممکن است برای جمعآوری اطلاعات حساس یا انجام فعالیتهای مخرب استفاده شوند.
سیستم نام دامنه (DNS)، مسئول ترجمه نامهای دامنه به آدرسهای آیپی است که توسط دستگاههای شبکه استفاده میشود.
هنگامی که کاربر یک نام دامنه را در مرورگر وارد میکند، سیستم DNS مسئول ترجمه آن نام دامنه به آدرس آیپی متناظر است.
اما در صورتی که سیستم DNS مورد حمله قرار گیرد، تغییراتی در پاسخهای DNS اعمال میشود و کاربران به طور نادرست به سایتها هدایت میشوند.
حملات DNS Hijacking میتوانند به چندین روش از جمله تغییر تنظیمات سرور DNS، تغییر فایلهای پیکربندی سیستم عامل یا حمله به روترها و دستگاههای شبکه انجام شوند.
با انجام این تغییرات، حمله کننده میتواند ترافیک شبکه را به سرورهای خود هدایت کند و اطلاعات حساس کاربران را جمع آوری یا مخرب عمل نماید.
انواع حملات DNS Hijacking چیست
در ادامه مطلب DNS Hijacking چیست، شما را با چهار نوع اصلی تغییر مسیر DNS آشنا خواهیم کرد.
Local DNS hijack
مهاجمان، بدافزار تروجان را روی رایانه کاربر نصب میکنند و تنظیمات DNS را در سیستم عامل یا در مرورگرها تغییر دهند و ترافیک شبکه را به سرورهای جعلی هدایت کنند.
DNS Cache Poisoning
در این نوع حملات، حملهکننده تلاش میکند برای سرور DNS جعلی، دادههای غلط و تقلبی ارسال کند. اگر سرور DNS اطلاعات جعلی را به عنوان پاسخی دریافت کند، آن اطلاعات را در حافظه نهان (cache) خود ذخیره میکند. از آن پس، هر کاربری که به سرور DNS متصل شود، نتایج غلط را دریافت میکند.
Router DNS hijack
بسیاری از روترها دارای پسوردهای پیش فرض یا آسیب پذیریهای سفت افزار (Firmware) هستند. مهاجمان میتوانند یک روتر را تصاحب کنند و پس از بازنویسی تنظیمات DNS، ترافیک شبکه را به سرورهای دی ان اس خود هدایت کنند و تمام کاربران متصل به آن روتر را تحت تاثیر قرار دهند.
Man in the middle DNS
مهاجمان ارتباط بین یک کاربر و یک سرور DNS را رهگیری میکنند و آدرسهای IP مقصد متفاوتی را در اختیار سایتهای مخرب قرار میدهند.
در واقع، در این نوع حملات، حملهکننده درون شبکه قرار میگیرد و ترافیک DNS را میان کاربر و سرور دی ان اس هدایت میکند.
Rogue DNS Server
مهاجمان میتوانند سرور DNS را هک کنند و سوابق دی ان اس را تغییر دهند تا درخواستهای دی ان اس را به سایتهای مخرب هدایت کنند.
به منظور محافظت در برابر حملات DNS Hijacking، بهتر است از روترها، سیستمعاملها و نرمافزارهای مطمئن و بهروز استفاده کنید.
روشهای کاهش DNS Hijacking چیست
در ادامه مطلب DNS Hijacking چیست، مراحلی که کاربران میتوانند برای جلوگیری از ربودن DNS انجام دهند را شرح خواهیم داد.
استفاده از سرویس DNS رسمی
لازم است به جای استفاده از سرویس DNS مشکوک یا سرورهای DNS عمومی، از سرویس DNS رسمی ارائه دهنده خدمات اینترنت خود استفاده کنید. این سرویسها معمولاً امنیت بیشتری را به همراه دارند و از روشهای امنیتی مانند DNSSEC پشتیبانی میکنند.
استفاده از DNSSEC در DNS Hijacking چیست
DNSSEC نسخه امن شده از پروتکل DNS است که به شما اطمینان میدهد که پاسخهای دریافتی از سرور DNS همان پاسخهای قابل اعتمادی هستند که توسط صاحب دامنه برای شما ارسال شدهاند. با فعال کردن DNSSEC، میتوانید خطر DNS Hijacking را به طور قابل توجهی کاهش دهید.
استفاده از HTTPS
یکی دیگر از روشهای کاهش DNS Hijacking استفاده از وبسایتها و سرویسهایی است که از Https استفاده میکنند. Https با ایجاد ارتباطات رمزنگاری شده از تغییر مسیر توسط هکر جلوگیری میکند.
بروزرسانی سیستم عامل و برنامهها
لازم است سیستم عامل و برنامههای مورد استفاده، به روزرسانی شده باشند. برنامهها و سیستم عامل، بهروزرسانیهای امنیتی را ارائه میدهند که ممکن است آسیبپذیریهای احتمالی که توسط حملات DNS Hijacking مورد بهرهبرداری قرار میگیرند را برطرف کنند.
استفاده از فایروال
استفاده از Firewall با قابلیت جلوگیری از حملات پیشرفته میتواند کمک کند تا حملات DNS Hijacking شناسایی و مسدود شوند.
توجه به امنیت سرویس DNS و استفاده از روشهای امنیتی مختلف میتواند خطر DNS Hijacking را به حداقل برساند.
ریدایرکت در مقابل DNS spoof
DNS spoof حملهای است که در آن ترافیک از یک وب سایت قانونی مانند www.google.com به یک وب سایت مخرب مانند google.attacker.com هدایت میشود.
جعل DNS را میتوان با تغییر مسیر DNS به دست آورد. به عنوان مثال، هکرها میتوانند یک سرور DNS را به خطر بیندازند و از این طریق وبسایتهای قانونی را جعل کنند و کاربران را به سمت وبسایتهای مخرب هدایت کنند.
Cache poison روش دیگری برای دستیابی به جعل DNS، بدون اتکا به سرقت DNS (تسخیر فیزیکی تنظیمات DNS) است. سرورهای DNS، روترها و کامپیوترها سوابق DNS را کش میکنند.
مهاجمان میتوانند با وارد کردن یک ورودی DNS جعلی، حاوی یک مقصد IP جایگزین برای همان نام دامنه، حافظه نهان DNS را آلوده کنند. سرور DNS دامنه را به وبسایت جعلی منتقل میکند تا زمانی که حافظه پنهان به روز شود.
جمع بندی
DNS Hijacking یک تهدید جدی امنیتی است که میتواند عواقب خطرناکی برای کاربران و سازمانها به همراه داشته باشد. در این نوع حملات، هکر نوعی تغییر در تنظیمات سرویس DNS ایجاد میکند تا ترافیک شبکه را به سمت منابع ناامن و کنترل شده توسط خودش هدایت کند. با تغییر مسیر ترافیک اینترنت، هکرها میتوانند از اطلاعات حساس استفاده کنند و آسیبهای جدی امنیتی بهوجود بیاورند. برای مقابله با DNS Hijacking، لازم است کاربران از راهکارهای امنیتی موجود برای کاهش خطر این نوع حملات استفاده کنند.
[yasr_overall_rating]
