دسته‌ها
شغل پردرآمد با سرمایه کم

تمام آنچه شما باید در مورد کلاهبرداری DNS بدانید تا سازمان خود را ایمن نگه دارید

DNS به خودی خود هرگز ایمن نبوده است. ایجاد در دهه 1980 هنگامی که اینترنت یک تازگی کامل بود ، امنیت در طراحی آن یک اولویت نبوده است. در طول زمان ، این امر باعث شده است تا بازیگران مخرب از این مسئله استفاده کنند و تکنیک های پیچیده حمله ای را بکار گیرند که DNS را اعمال کند ، از جمله DNS spoofing .

Foofing DNS چیست؟

DNS spoofing حمله سایبری که در آن داده های جعلی در حافظه نهاننامه DNS وارد می شوند و این باعث می شود سرور نام یک آدرس IP نادرست بازگرداند. به عبارت دیگر ، این نوع حملات از آسیب پذیری ها در سرورهای نام دامنه سوءاستفاده می كنند و ترافیك را به سمت وب سایت های نامشروع هدایت می كنند.

اما قبل از اینكه اطلاعات بیشتری راجع به جعل DNS بدست آورید ، بیایید به چگونگی كاركرد DNS بپردازیم و سعی كنیم درباره DNS اطلاعات بیشتری کسب كنیم. امنیت.

درک DNS

DNS مخفف سیستم نام دامنه است. به طور خلاصه ، این یک پایگاه داده است که اطلاعاتی در مورد نام دامنه ارائه می دهد. DNS بر روی یک ساختار سلسله مراتبی ساخته شده است ، و یک دامنه واحد در بالا به نام دامنه root و با دامنه های سطح بالا در زیر آن ساخته شده است که DNS را به بخش های مختلف تقسیم می کند. [19659006] از نظر تصویری ، DNS معمولاً به عنوان دفترچه تلفن اینترنت توصیف می شود ، زیرا نام های دامنه را به آدرس های IP به آدرس های IP ترجمه می کند.

استعاره دیگری که برای DNS استفاده می شود ، اغلب اوقات یک درخت است: [19659015] DNS دارای یک ریشه است ، و دامنه های مختلف سطح بالا (TLDs) مشابه شاخه هایی هستند که از ریشه شاخه می کنند. هر شاخه دارای شاخه های کوچک است ، که دامنه های سطح دوم هستند ، و برگ ها نام های دامنه کاملاً واجد شرایط (FQDNs) هستند ، که گاه به آنها نام های میزبان گفته می شود. تصور نکنید که این درخت یک نخل آرام یا یک بلوط قوی است. این یک هیجان یک درخت است که در سیمان با ریشه هایی که از یکدیگر دور می شوند کاشته می شود و شاخه هایی از هر جهت پراکنده می شوند ، که اغلب احساس می کنند بیشتر از هر چیز به زور اراده می شود. اگر DNS درخت است ، بیشتر شبیه درخت Banyan است ، در لاهینا ، مائوئی.

عصاره ای از "DNS Security: Defence the Domain Name Domain" توسط Allan Liska & Geoffrey استو

قبل از اینکه به جزئیات بیشتری بروم ، سعی خواهم کرد خلاصه چگونگی عملکرد فرایند قطعنامه DNS را خلاصه کنم.

بیایید بگوییم کاربر یک آدرس وب را در مرورگر تایپ می کند.

ابتدا ، سیستم عامل حافظه پنهان خود را برای IP اسکن می کند. اگر نتواند آن را پیدا کند ، از حل کننده DNS درخواست می کند (که می تواند بازگشتی ، غیر بازگشتی و تکراری باشد – اما بیایید این مبحث را برای زمان دیگری ذخیره کنیم). پاسخ.

رندرهای DNS چیست؟

وقتی کاربر سعی می کند به وب سایت دسترسی پیدا کند ، درخواستی توسط سیستم عامل به یک حل کننده DNS DNS ارسال می شود.

DNS رزولوشن با آدرس IP پاسخ می دهد ، که از وب سرور گرفته شده است ، و به این ترتیب وب سایت بارگیری می شود. در اصل ، رسیورهای DNS آدرسهای IP را پیدا می كنند كه با نام دامنه مرتبط هستند. به عبارت ساده تر ، آنها آدرس های وب سایت مانند "heimdalsecurance.com" را ترجمه می کنند که توسط افراد به راحتی می توان در آدرسهای IP عددی خوانده شد ، که یادگیری آن توسط ما تقریبا غیرممکن خواهد بود.

اگر حل کننده DNS IP را در حافظه نهان خود ذخیره نکند ، از سرور root می پرسد.

امروزه ، فقط 13 سرور نام root در دنیا وجود دارند كه توسط 12 سازمان مختلف ، كه از زمان ایجاد DNS ، سرورهای ریشه كار می كنند ، وجود دارند.

اما ، این بدان معنی نیست كه فقط 13 مکان فیزیکی وجود دارد. حفظ اینترنت. در حقیقت ، بیش از 750 نمونه سرور ریشه در سراسر جهان وجود دارد که در هر قاره توزیع می شود. با استفاده از 13 آدرس IP ، یک مورد به هر نهاد (به استثنای Verisign ، که دو سرور اصلی دارد) به آنها دسترسی دارید. بیشتر این آدرسها به سرورهای مختلف در سراسر جهان اختصاص یافته است ، بنابراین نمایش داده شدگان DNS که به این آدرسها ارسال می شوند پاسخ به موقع از سرورهای محلی دریافت می کنند.

سرور root می داند که TLD (سرور دامنه سطح بالا) را در کجا قرار دهد.

هماهنگی TLD ها تابعی از شرکت اینترنتی برای نام ها و شماره های اختصاص یافته است (ICANN). به عنوان مثال ، .COM TLD از اولین کسانی است که در سال 1985 ایجاد شد و تا به امروز بزرگترین TLD باقی مانده است.

انواع دیگر TLD ها ممکن است شامل کد کشورها باشد (.DK ، .JP ، .CA و غیره) TLD های عمومی (مانند .EDU ، .NET ، ORG.) ، TLD های زیرساختی (.ARPA – بیشتر برای مدیریت زیرساخت های شبکه فنی مورد استفاده قرار می گیرند) ، به علاوه بسیاری از انواع جدید TLD (مانند .SHOP ، .TATTOO ، .HEALTH ،

با توجه به لیستی که توسط IANA (اداره اعداد اختصاص داده شده به اینترنت) ، که بخشی از ایکانان است ، نگهداری می کند ، در حال حاضر بیش از 1500 TLD موجود است.

بنابراین ، سرور TLD چگونه به حل کننده کمک می کند؟

اگر TLD آدرس IP دامنه را نمی داند ، به لطف ثبت دامنه ، می تواند سرورهای DNS معتبر (یا نام سرور) را برای دامنه پیدا کند. . هر گاه شخصی یک دامنه را خریداری کند ، ثبت کننده دامنه نام را ذخیره می کند و سرورهای معتبر نام را به رجیستری TLD می فرستد.

سرورهای DNS معتبر پاسخهای مربوط به نمایش داده های DNS بازگشتی را ارائه می دهند. به طور معمول ، بیش از یک سرور نام به یک دامنه وصل می شود تا بار کار به طور مساوی مدیریت شود ، به خصوص در صورت خرابی.

سرورهای DNS معتبر به مناطق مختلفی اختصاص داده می شوند. صرف نظر از منطقه ای که آنها را پوشش می دهد ، آنها همیشه یک بانک اطلاعاتی با نام دامنه و آدرس های IP مربوطه خود ذخیره می کنند ، همچنین درخواست های دریافت شده از سرورهای DNS بازگشتی را حل می کنند که در تلاشند دریابند که کدام آدرس IP با کدام نام دامنه مطابقت دارد.

می خواهید بدانید که سرورهای معتبر نام دامنه شما چیست ، می توانید از یکی از وب سایت هایی که این قابلیت را ارائه می دهد استفاده کنید. به عنوان مثال ، شما ممکن است بخواهید که چه کسی را بررسی کنید.

سرانجام ، سرور نامها آدرس IP را برای شما فراهم می کند.

سرور بازگشتی DNS پس از دریافت پاسخ ، این اطلاعات را به دستگاه (و مرورگر) درخواست شده ارسال می کند. دستگاه به آدرس IP وصل می شود و صفحه وب را بارگیری می کند.

 لوگوی رسمی Heimdal

هکرها به طور فزاینده سازمان ها را در سطح ترافیک شبکه یا DNS هدف قرار می دهند.

FORSETI

FORSETI سیستم پیشگیری از حمله پیشرفته است که اجازه می دهد
شما می توانید پیشگیری ، شناسایی و پاسخ به خطرات بر اساس شبکه

  • محافظت کامل DNS و ورود به سیستم کامل شبکه.
  • از دستگاه یادگیری با استفاده از دستگاه به ارتباطات زیرساختی برای قوی Hips / HIDS و
    افزودنی IOA / IOC به شبکه شما.
  • راهی آسان برای اضافه کردن پیشگیری ، شناسایی و مسدود کردن تهدید شبکه.

آسیب پذیری ها و حملات DNS

اگرچه DNS به عنوان بسیار پیچیده و پیچیده طراحی شده است. سیستم قدرتمند ، هدف اصلی آن همواره عملکرد بوده است نه امنیت.

اما توسعه مداوم تهدیدات سایبری که صریحاً به آسیب پذیری های DNS اهرم می کند ، هیچ نشانه ای از کندی نشان نمی دهد. علاوه بر این ، انواع فعلی حملات DNS بسیار متفاوت است و به سوءاستفاده از تبادل اطلاعات بین مشتری و سرور متکی است.

انواع متداول بردارهای حمله DNS عبارتند از:

  • تونل سازی DNS – حمله ای که از مشتری استفاده می کند. معماری سرویس دهنده برای اعمال پروتکل DNS برای تونل بدافزارها و سایر مطالب. تونل همچنین می تواند برای لایه برداری داده یا برای اهداف غیر مادی دیگر مورد استفاده قرار گیرد.
  • حملات صفر روزه به دلیل نقص DNS یا آسیب پذیری ناشناخته برای ارائه دهنده DNS ، حمله صفر روزه را می توان انجام داد. قبل از استفاده هکرهای مخرب از ضعف و سوء استفاده از آن.
  • انکار سرویس (DoS) و توزیع انکار سرویس (DDoS) در یک حمله DoS ، یک ربات مخرب مقدار بسیار زیاد ترافیک را به آدرس IP می فرستد تا زمانی که هدف دیگر نتواند درخواست های مشروع را حل کند. در حمله DDoS ، مجرمان سایبری از یک botnet برای تولید مقدار زیادی درخواست وضوح استفاده می کنند.
  • DNS سریع شار برای تغییر مسیر درخواست DNS و جلوگیری از شناسایی ، مهاجم سوابق DNS را با سرعت زیاد تغییر می دهد. فرکانس.
  • DNS Spoofing (معمولاً به مسمومیت DNS نیز گفته می شود) – حمله ای که در آن بازیگران بدخواه از نقص سیستم سوء استفاده می کنند و ترافیک را از حوزه های اصلی و به سمت جعلی دور می کنند.

تشخیص جعل هویت DNS

هنگامی که یک حل کننده بازگشتی یک درخواست را به یک سرور نام معتبر ارسال می کند ، حل کننده هیچ راهی برای بررسی اعتبار پاسخ ندارد. بهترین حل کننده می تواند بررسی کند که آیا به نظر می رسد که پاسخ از همان آدرس IP باشد که در آن مرحله اول این درخواست را ارسال کرده است.

اما اتکا به آدرس IP منبع پاسخ به هیچ وجه ایده خوبی نیست. آدرس IP منبع بسته پاسخ DNS را می توان به راحتی از بین برد.

با توجه به طراحی نادرست DNS ، یک حل کننده نمی تواند پاسخی جعلی به یکی از درخواستهای آن دهد. این بدان معنی است که مجرمان سایبری می توانند به راحتی سرور معتبری که در ابتدا توسط رسیور پرسیده شده بود ، پاسخ دهند و پاسخی را که به نظر می رسد از آن سرور معتبر گرفته شده باشد ، سوء استفاده کنند.

اساساً ، یک مهاجمی می تواند کاربر را به یک سایت مخرب هدایت کند بدون اینکه کاربر متوجه آن شود.

به طور خلاصه ، DNS spoofing به تمام حمله هایی که سعی در تغییر سوابق DNS دارند به کاربر بازگرداند و وی را به یک وب سایت مخرب هدایت می کند.

ربودن ، حملات در وسط ، و مسمومیت با حافظه نهان.

مسموم با حافظه نهان DNS به عمل تغییر داده ها در حافظه نهان DNS با پاسخ DNS جعلی متکی است. این حملات را نمی توان با ابزار سنتی امنیت سایبری ، که به DNS نگاه نمی کنند ، تشخیص داد.

 لوگوی رسمی Heimdal

دیگر آنتی ویروس دیگر برای حفظ امنیت سیستم های سازمان کافی نیست.

Thor Foresight Enterprise

بعدی سپر پیشرو ژنرال ما است که تهدیدهای ناشناخته را
قبل از رسیدن به سیستم شما متوقف می کند.

  • یادگیری ماشینی از کلیه ترافیک های آنلاین دریافت شده اسکن می کند ؛
  • نقض داده ها را متوقف می کند قبل از اینکه اطلاعات حساس را در معرض نمایش بگذارید در خارج ممکن است ؛
  • تکه های خودکار برای نرم افزار و برنامه های شما بدون هیچ گونه وقفه ای ؛
  • محافظت در برابر نشت داده ها ، APT ها ، باج افزارها و سوءاستفاده ها ؛

اگرچه از نظر فنی تکنیک های کلاهبرداری DNS نیست ، اما تاکتیک هایی که بطور خلاصه در مورد آنها صحبت خواهم کرد ، گاهی اوقات افراد را به دسترسی به دامنه های نامشروع فریب می دهد و بیشتر به سهل انگاری کاربران متکی است. با چشم تیز ، از این حملات به راحتی می توان جلوگیری کرد ، بنابراین حتما مراقب آن ها نیز باشید.

حملات هموگرافی

یک حمله هموگرافی (همچنین به عنوان حمله هموگلیف ، جعل اسکریپت یا نام دامنه هوموگرافی شناخته می شود). حمله ای سایبری که در آن یک شخص مخرب از شباهت اسکریپت شخصیت برای ایجاد و ثبت دامنه های جعلی که تقریباً شبیه به واقعی نیست ، استفاده می کند تا کاربران متوجه نشوند که آنها از وب سایت دیگری بازدید می کنند.

به عنوان مثال ، کلاهبرداری بدنام PayPal که. اولین بار تقریباً 20 سال پیش مشاهده شد نمونه خوبی از حمله هموگرافی است. فریبکارانه با نام PayPai.com ، وب سایت کپی متقاعد کننده از واقعی بود. این ترکیبی از شخصیت های بزرگ و کوچک استفاده می کرد – در این حالت ، "i" با حروف بزرگ "l" به نظر می رسید.

Typosquatting

Typosquatting (همچنین به عنوان ربوده شدن مارک یا نام تجاری URL نیز شناخته می شود) یک تکنیک حمله است که توسط بعضی از مقادیر خاص تسهیل می شود. ساخته شده توسط کاربران. به عنوان مثال ، هنگامی که کاربران نام دامنه را تایپ می کنند ، آن را غلط می زنند ، و نمی توانند خطایی را تشخیص دهند ، می توانند ناخواسته به یک وب سایت نادرست که توسط typosquatters ثبت شده است ، پایان دهند.

هر دو حمله به صورت تصادفی و هموگرافی براساس تکنیک هایی انجام شده اند که از نوع مشابه استفاده می کنند. نام وب سایت برای فریب کاربران در بازدید از آنها. با این حال ، اصلی ترین تفاوت این است که در مخفی کردن حمله کنندگان ، قربانیان را با شمارش اشتباهات معمولی تایپوگرافی که معمولاً هنگام تایپ URL انجام می شود ، فریب می دهد ، در حالی که در کلاهبرداری هوموگرافی ، مرتکب با ثبت لینک های مشابه یک قربانی را فریب می دهد.

نتیجه گیری

. در برابر تهدیدات DNS محافظت می شود ، ما پیشنهاد می کنیم تغییرات مربوط به سوابق DNS و گواهی های دیجیتالی خود را کنترل کنید. از این گذشته ، می توانید استقرار DNSSEC (پسوند امنیت سیستم نام دامنه) را نیز انتخاب کنید ، که این امر باعث می شود روند تأیید هویت DNS از طریق امضاهای دیجیتال با استفاده از رمزنگاری کلید عمومی تقویت شود. گذشته ، اما نه مهم ، از یک راه حل فیلتر DNS مانند Thor Foresight Enterprise استفاده کنید که شکار ، جلوگیری ، شناسایی و تهدیدات را در سطح ترافیک مسدود می کند.

همانطور که قبلاً هم اشاره کردم ، دفاع های سنتی محافظت در برابر DNS نمی کنند. حملات اما به لطف سیستم فیلترشکن DNS با دستگاه یادگیری ، Heimdal TM Security شما را برای محافظت کامل از DNS و مسدود کردن بدافزارها به ارمغان می آورد. اگر می خواهید اطلاعات بیشتری کسب کنید ، امروز با آدرس [email protected] با ما تماس بگیرید.