DNS Hijacking چیست؟

۱۹ آبا ۱۳۹۵ 3 دیدگاه مطالب آموزشی

DNS Hijacking چیست و چطور کار می کند؟

DNS Hijacking که گاهی تحت عنوان “تغییر مسیر DNS” نیز خوانده می شود، نوعی حمله خرابکارانه است که با اعمال  کردن تغییرات خرابکارانه به جای تنظیمات پیش فرض TCP/IP آن را به یک سرور DNS مخرب ارجاع می دهد. به عبارت دیگر، وقتی مهاجم کنترل کامپیوتر را با تغییر تنظیمات DNS به دست می گیرد، منجر به انتقال به یک سرور DNS مخرب می شود و این فرآیند تحت عنوان DNS Hijacking خوانده می شد.

همانطور که همه ما می دانیم سیستم نام دامنه یا “Domain Name System (DNS)” مسئول ترجمه نام دامنه از حالت کاربرپسند آن مثل www.google.com به معادل آدرس IP آن “۷۴.۱۲۵.۲۳۵.۴۶” می باشد. اگر به درک روشنی از DNS ونحوه کارکرد آن برسید، حتما ساختار DNS Hijacking نیز برای شما آشکار می شود. پاراگراف بعدی برای شماست اگر به طور کلی از DNS هیچ چیزی نمی دانید.

 Domain Name Systemیا  DNSچطور عمل می کند؟

DNS و ساختار حمله DNS Hijacking
DNS و ساختار حمله DNS Hijacking

در دنیای اینترنت به ویژه در مبحث شبکه کامپیوتری، شما بسیار با مفاهیم Domain Name System  یا Domain Name Service مواجه می شوید که به اختصار DNS خوانده می شود. یادگیری مفهوم DNS چه برای کسانی که قصد هک کردن یک شبکه را دارند و چه کسانی که قصد محافظت و ارتقاء امنیت شبکه را دارند مفهومی پایه ای است.

هر کامپیوتر در دنیای نت یک آدرس IP دارد. فرقی نمی کند این یک کامپیوتر خانگی باشد یا کامپیوتر یک سازمان خاص، IP همواره وجود دارد. این آدرس IP برای برقراری اتصال بین سیستم کاربر و سرور به منظور انتقال Data لازم است. بدون این آدرس مبدأ و مقصدی برای ارسال وجود ندارد.

با وجود میلیونها وب سایت در دنیای اینترنت، به خاطر سپردن این همه آدرس با شباهت هایی که بین این همه عدد هست دشوار است. نام دامنه برای این منظور پا به عرصه نهاده است و در حقیقت نام دامنه برای انسانها و DNS برای شبکه هاست. فکر می کنم برای منظور مطلب ما، همینقدر توضیح برای DNS کافی باشد.

نحوه کار DNS Hijacking چگونه است؟

گفتیم که DNS مسئول نسبت دادن آدرس های کاربرپسند به معادل آدرس IP آنها در شبکه می باشد. سرور DNS توسط Internet service provider یا به اختصار ISP یا برخی تشکیلات تجاری نگهداری می شود. به صورت پیش فرض کامپیوتر شما برای استفاده از سرور DNS از طریق ISP پیکربندی شده است. در برخی موارد کامپیوتر شما در حال استفاده از DNS سازمانهای مشهور مثل گوگل است، در این موارد به شما گفته می شود که همه چیز امن است و درست کار می کند.

خوب، حالا به قسمت وحشتناک ماجرا رسیدیم. تا اینجا راجع به بدافزار، کرم کامپیوتر، تروجان و روت کیت حرف زده بودیم، اما دنیای خرابکاران، یک قاره بزرگ است. موقعیتی را تصور کنید که یک هکر یا برنامه بدافزاری، دسترسی غیر مجاز به کامپیوتر شما داشته باشد و تنظیمات DNS را تغییر دهد، حالا در این موقعیت کامپیوتر شما از یک سرور DNS مخرب استفاده می کند که توسط آقا یا خانم هکر مدیریت می شود! در این حالت، هکر یا برنامه بدافزاری نام دامنه های مطلوب شما را (مثل بانکها، درگاه های بانکی، موتورهای جستجو و شبکه های اجتماعی و…) می تواند به  IPوب سایت های مخرب مورد نظرش خودش ترجمه کند. در برخی مواقع ساختار وب سایت عینا شبیه سازی می شود. این کار در مورد درگاه های بانکی که ساختار ظاهری ساده ای دارند، راحت تر است. بنابر این وقتی شما آدرس وب سایت مورد نظرتان را در نوار آدرس مرورگر تایپ می کنید، ممکن است به جای آن یک وب سایت جعلی ببینید. در برخی موارد این می تواند منجر به یک دردسر جدی شود.

برای ایمن شدن، همین حالا اقدام کن...

بالاترین سطح امنیت، پیشگیری است، شاید تنها لحظه ای بعد خیلی دیر باشد!!!

خطرات DNS Hijacking چیست؟

خطرات DNS Hijacking چیست؟
خطرات DNS Hijacking چیست؟

خطرات DNS Hijacking بسیار به مقاصد پشت این نوع از حمله ها بستگی دارد. خیلی از ISPها مثل OpenDNS و Comcast از DNS Hijacking برای نمایش آگهی های تبلیغاتی به کاربران یا جمع آوری آمار از کاربران استفاده می کنند. هرچند در این موارد آسیبی جدی به کامپیوتر کاربران وارد نمی شود اما همین کار نیز ناقض استانداردهای RFC درمورد مسئولیت های ISPها می باشد.

برخی دیگر از خطراتی که DNS Hijacking می تواند ایجاد کند به قرار زیر هستند.

Pharming

در این نوع از حمله، ترافیک یک وب سایت به وب سایت دیگری منتقل می شود. مثلا فرض کنید کاربری می خواهد وارد وب سایت فیسبوک شود، اما به جای آن وارد وب سایتی پراز انواع و اقصام POP-UPها یا آگهی های تبلیغاتی جورواجور می شود. این روش عمدتا از سوی هکرها برای درآمد حاصل از تبلیغات به کار گرفته می شود.

Phishing

در این نوع از حمله، کاربر دقیقا به وبسایتی با حال و هوا، احساس و طراحی مشابه وب سایتی که می خواد وارد می شود. برای مثال کاربری که می خواهد وارد حساب بانکی خود شود و صفحه ای مشابه با صفحه ورود به خدمات بانکی را مشاهده می کند، در نتیجه به آسانی اطلاعات ورودش دزدیده می شود.

چگونه از حمله DNS Hijacking جلوگیری کنیم؟

دربیشتر موارد مهاجمان از بدافزارها و برنامه های مخرب و تروجان، به منظور DNS Hijacking استفاده می کنند. این تروجان های DNS Hijacking عمدتا تحت عنوان کدک ویدئو یا صدا، برنامه های دانلود ویدئو یا یوتیوب، یا برنامه های رایگان گسترش می یابند. بنابر این راه نخست دور ماندن از وب سایت هایی است که به ارائه دانلودهای رایگان می پردازند. نکته دیگر تغییر رمز عبور روتر می باشد. باید بدانید که در بسیاری از مواقع، شما از طریق روتر و رمز عبور پیش فرض کارخانه که تغییر نداده اید هک می شوید. در صورت تغییر این رمز عبور، دیگر مطمئن خواهید بود که مهاجمان، لااقل از این رمز عبور پیش فرض نمی توانند برای ورود به تنظیمات روتر استفاده کنند. اگر به مطالبی که در اینترنت در مورد هک Ethernet ADSL Router نوشته شده مراجعه کنید می بینید که یکی از بدیهی ترین روش ها همین استفاده از رمز عبور پیش فرض است.

بهترین پیشگیری نصب یک آنتی ویروس قدرتمند با قابلیت به روز رسانی است که تمامی دغدغه های امنیتی شما را به خوبی پوشش دهد.

برخی از بدترین حملات DNS Hijacking تاریخ

برخی از بدترین حملات DNS Hijacking تاریخ
برخی از بدترین حملات DNS Hijacking تاریخ

مسلما تمامی موارد حملات DNS از دانلود نرم افزارهای رایگان به وجود نیامده اند. تمامی توسعه دهندگان نرم افزار نسبت به وجود آسیب پذیری در نرم افزارهایشان مسئول هستند. با این حال مخاطرات دنیای تکنولوژی همواره در کمین است. دانستن حملات مشهور DNS شما را از افتادن در دام های مشابه بر حذر می دارد.

تروجان DNSChanger

اولین بدافزاری که مثال می زنیم DNSChanger است که DNS بیش از ۴میلیون کاربر را مورد حمله قرار داد و تغییر داد. این تروجان روی درآمد حاصل از تبلیغات جعلی مانور می داد و به لطف ناامنی در سیستم های میزبان، بیش ۱۴ میلیون دلار آمریکا درآمد کسب کرد.

حمله DDOS و پایان کار کسب و کار شرکت امنیتی Blue Security

هر حمله ای وحشتناک ترین حمله دنیا است اگر شما قربانی آن باشید. برای شرکت ارائه دهنده ضد هرزنامه Blue Security این جمله، حقیقتی تلخ و محض است. استارت آپی که مورد حملات DNS در اوایل ماه مه سال ۲۰۱۶ قرار گرفت. این شرکت یک ضد اسپم را به بازار تکنولوژی ارائه کرد که از طریق برآورد حجم شکایات، شرکتهای ارسال کننده هرزنامه را وادار به حذف پروفایل قربانیان از پایگاه داده می کرد. در مقابل برخی از ارسال کنندگان هرزنامه، به زیرساخت امنیت DNS شرکت Blue Security حمله کردند. شرکت مجددا رکوردهای مربوط به DNS خود را تغییر داد تا کاربران بتوانند باز هم به وبلاگ این شرکت که توسط سرور SIX APART پشتیبانی می شد منتقل شوند. این راهکار موقتا جواب موثری داد، اما در ادامه ۱۰ میلیون کاربر در سرویس محبوب بلاگ SIX APART ساعتها در دسترسی به وبلاگ هایشان دچار دردسر شدند.

دو هفته گذشت و Blue Security اعلام کرد که دیگر بی خیال ارائه آن نرم افزار ضد هرزنامه لعنتی شده است و دیگر به حیات خود در ردای یک شرکت ضد هرزنامه ادامه نخواهد داد. البته کسی هم توقع دیگری نداشت! اسپمرها جنگ را بردند و کمپانی و شرکای تجاری هم درس تلخی از این حمله DNS گرفتند.

حمله به نام دامنه ICANN

در ۲۶ ماه ژوئن ۲۰۰۸ بازدید کنندگان وب سایت icann.com پیامی را از سوی کسانی که خود را شیاطین نت یا NetDevilz خوانده بودند خواندند که اعلام می کرد NetDevilz توانسته ICANN را مورد حمله قرار دهد. خوب از این دست حملات بسیار است، اما این حمله وحشتناک از این جهت هزل آمیز بود که ICANN شرکتی اینترنتی برای مدیریت و نگهداری نام ها و شماره های مربوط با اشخاص و سازمانها بود و این حمله DNS شرکت را متهم به امنیت ضعیف و بی ثباتی کرد.

این حمله از یک ایده مهندسی اجتماعی آغاز شد و در نهایت نام دامنه و نام سرورهای ICANN و تعدادی دامنه مربوط به آن، به سروری که توسط خرابکاران مدیریت می شد، منتقل شد. بعد از ۲۰ دقیقه این مشکل شناسایی شد اما اطلاعات غلط در طول ۴۸ ساعت به بسیاری از کاربران فرستاده شد. این حادثه باعث شد کمیته مشورتی امنیت و ثابت ICANN که به اختصار SSAC خوانده می شود، مجموعه ای از دستورالعمل ها را تنظیم کند تا ثبت کنندگان، از این پس برای ورود نام دامنه مشتری، ناگزیر از رعایت آن بودند. سیستم های مدیریت رمز عبور، احراز هویت کنترل دسترسی در نتیجه این اتفاق به شدت تقویت شد. بخش مربوط به “برخی از بدترین حملات DNS Hijacking تاریخ” توسط یکی از نویسندگان SSAC تنظیم شده است.

باگ کامینسکی و به خطر افتادن همه اینترنت

در جولای ۲۰۰۸ محققی به نام کامینسکی کشف کرد یک ضعف در ساختار DNS وجود دارد و نرم افزاری برای رخنه از طریق این ضعف توسعه داد. این خطا به هکرها و خرابکاران اجازه می داد یک صفحه وب یا حساب ایمیل را در برابر چشم همگان از طریق DNSهای کش شده در سیستم ISPها آلوده کرده و مورد حمله قرار دهند. بلافاصله پس از کشف این راز، بسیاری از متخصصین امنیت و تکنولوژی، توسعه دهندگان نرم افزارهای DNS، شرکت های ISP و خود کامینسکی، برای حل این مشکل دست به کار شدند. این مسئله به شکل گیری پروتکل استاندارد امنیتی DNSSEC منجر شد تا خطرات مربوط به DNSهای کش شده که هنوز هم وجود دارند، کاهش یابند. به قول Edmund Burke کسانی که از تاریخ درس نمی گیرند، طعمه خوبی برای تکرار آن هستند.

موارد بسیاری از DNS Hijacking وجود دارند که اشاره به همه آنها از حوصله این مطلب خارج است. حتی آدرس شرکت هایی نظیر گوگل و لنوو نیز در بعضی کشورها مثل ویتنام به آدرس های دیگری منتقل شدند. خطر همواره در کمین است. کاربر باید خودش هوشیار باشد.

من یک قربانی DNS Hijacking هستم؟ چه کنم؟

یک شوخی بی مزه هست که اگر  کامپیوتر شما توسط یک بدافزار DNSChanger آلوده شده باشد، چاره ای جز خودکشی نیست، البته در اغلب موارد نیاز به خودکشی نیست!! از یک نرم افزار امنیتی قوی با قابلیت به روز رسانی استفاده کنید. ویروس کش ارائه دهنده این سیستم های امنیتی است. در عین حال تنظیمات DNS خود را بررسی کنید تا مطمئن شوید از DNS IP لیست سیاه استفاده نمی کنید. در صورت وجود مشکل، می بایست تنظیمات DNS را مجددا انجام دهید.

برای ایمن شدن، همین حالا اقدام کن...

اطلاعات مهم تر و با ارزش تر، امنیت بسیار بیشتری می خواهند!!!

برچسب ها
3 دیدگاه
  1. Pingback: Phishing چیست؟ (بخش 1) | ویروس کش

  2. حسین

    خیلی خوب بود ممنون

    پاسخ
  3. بک لینک رایگان

    سلام سایت خوبی دارید . به سایت ما سر بزنید. بک لینک رایگان میدیم https://site.ir24.org/

    پاسخ

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

− 3 = 1