DNS HIJACKING چیست؛ ۷ حمله DNS و ۴ راهکار مقابله با آن

تاریخ انتشار: 2022/12/06

حملات DNS یا DNS HIJACKING چیست. ربودن سیستم نام دامنه (DNS) یا همان ربودن DNS که گاهی به آن تغییر مسیر DNS نیز گفته می‌شود، نوعی حمله سایبری است که در آن کاربر بدون اطلاع به یک سایت مخرب هدایت می‌شود. مهاجمان حملات DNS را با نصب بدافزار بر روی رایانه کاربر یا با هک کردن ارتباطات DNS انجام می‌دهند. در این مقاله به شما خواهیم گفت DNS HIJACKING چیست و در ادامه با ۷ حمله DNS و ۴ راهکار مقابله با آن آشنا خواهیم شد.

DNS چیست؟

درک اینکه ترافیک DNS چیست و چگونه کار می‌کند اولین گام اساسی در مبارزه با ربودن DNS است. یادگیری این مفاهیم اساسی به شما درک قوی از نحوه عملکرد حملات DNS و ابزارهای موجود برای اجرای آنها می‌دهد.

DNS یک پروتکل اینترنتی است که دسترسی کاربران به وب سایت‌ها را ممکن می‌کند. در واقع اتصال دامنه به هاست را فراهم میکند. DNS اتصال بین دستگاه های متصل به وب را فعال می‌کند و ارتباط با وب سایت‌ها را تسهیل می‌کند. هنگامی‌که یک کاربر یک درخواست اتصال ارسال می‌کند، رفتار عادی یک سرور DNS این است که آدرس IP وب سایت درخواستی را بازگرداند. با این حال، این ترافیک DNS ممکن است در برابر حملات ربودن DNS آسیب پذیر باشد.

جهت اطلاع از قیمت دامنه اینجا کلیک نمایید.

ترافیک DNS چگونه کار می‌کند؟

هنگامی‌که یک آدرس وب سایت را در نوار URL مرورگر خود تایپ می‌کنید، دستگاه شما درخواستی را برای آدرس IP آن وب سایت به سرور DNS ارسال می‌کند. سپس سرور DNS آن آدرس IP را برمی‌گرداند و دستگاه شما آدرس IP سرور DNS را ذخیره می‌کند و به آن اجازه می‌دهد به وب سایت متصل شود.

ربودن DNS چیست؟

ربودن DNS (DNS HIJACKING) شامل ایجاد تغییراتی در جستجوهای DNS کاربر پس از ثبت دامنه است که منجر به هدایت به مقصد مورد نظر مهاجم می‌شود. مجرمان سایبری از حملات DNS و ابزارهای هک کردن برای سرقت پول از حساب‌های بانکی، کلاهبرداری از کارت اعتباری، فروش اطلاعات شناسایی شخصی در دارک وب و انجام سایر اقدامات مخرب استفاده می‌کنند.

هکرها می‌توانند پس از خرید و ثبت دامنه، از سرقت DNS برای تکمیل سایر تکنیک‌های حمله سایبری، مانند Pharming (نمایش تبلیغات ناخواسته برای ایجاد درآمد) و فیشینگ (ترغیب کاربران برای کلیک کردن بر روی پیوندهای وب‌سایت‌های مخرب برای سرقت داده‌ها و اعتبار آنها) استفاده کنند. این نوع حملات سایبری می‌توانند به طور قابل توجهی مخرب باشند و بر ترافیک DNS تأثیر بگذارند.

دلیل ربوده شدن DNS چیست؟

هنگامی‌که یک هکر پرس و جو یا تنظیمات DNS کاربر را می‌رباید، انگیزه اصلی آنها سود مالی است. این کار می‌تواند شامل فریب دادن کاربران به دادن اطلاعات شخصی باشد تا بتوانند مرتکب کلاهبرداری یا سرقت هویت شوند. از طرف دیگر، آنها تبلیغات ناخواسته و مزاحم را به کاربران نشان می‌دهند که از نمایش‌ها و کلیک‌ها درآمد ایجاد می‌کنند.

این امر از طریق Pharming به دست می‌آید، نوعی حمله فیشینگ که در آن تنظیمات DNS کاربر تغییر می‌کند تا آنها را به یک سایت مخرب هدایت کند. همانطور که در بالا اشاره شد، این سایت‌ها مملو از تبلیغات و پنجره های بازشو هستند. فارمینگ با فیشینگ متفاوت است و از برخی جهات خطرناک‌تر است، زیرا نیازی به کلیک کردن روی لینکی از کاربران برای هدایت به یک سایت ندارد.

بعلاوه، برای ارائه دهندگان خدمات اینترنتی (ISP) غیرمعمول نیست که درخواست های DNS کاربران خود را ربوده و در صورت تایپ URL نادرست، آنها را به وب سایت های تبلیغاتی هدایت کنند. به طور مشابه، دولت‌ها می‌توانند پرس و جوهای DNS ساکنان خود را برای سانسور دامنه های خاص یا ساب دامنه تغییر دهند.

۲ روش رایج DNS HIJACKING

۱. Man-in-the-middle attacks

Man-in-the-middle attacks

حمله MitM زمانی اتفاق می‌افتد که یک مهاجم بتواند ترافیک بین دو سرور DNS را رهگیری کرده و آن را تغییر دهد. این کار را می‌توان با راه اندازی یک سرور DNS جعلی انجام داد که هر دو سیستم را فریب می‌دهد تا فکر کنند روابط کاملا قانونی است یا از یک آسیب پذیری امنیتی در یکی از سرورها استفاده می‌کند. از این نوع حمله می‌توان برای هدایت ترافیک به وب سایت های مخرب، سرقت اطلاعات حساس و یا حتی بستن کل وب سایت استفاده کرد.

۲. Attacks that use malware

Attacks that use malware

مهاجمان، سرورهای DNS را با استفاده از بدافزارها هک می‌کنند و وب سایت های مورد نظر را مجدداً پیکربندی می‌کنند تا آدرس IP آنها به وب سایت های مخرب اشاره کند. این روش شامل هک کردن روترهای DNS، تغییر تنظیمات و تحت تأثیر قرار دادن تمام کاربران متصل به آن روتر است. این مثال تنها یک نوع از انواع احتمالی هک DNS هستند. جهت اطلاع از این که malware چیست اینجا کلیک نمایید.

۷ نوع حملات DNS

۱. Local DNS hijack

مهاجم با نصب بدافزار یا تروجان یا باج افزار بر روی سیستم کاربر، می‌تواند تنظیمات DNS منطقه ای را تغییر داده و کاربر را به یک سایت مخرب هدایت کند. این روش ربودن DNS می‌تواند منجر به سرقت هویت شود. جهت اطلاع از این که باج اقزار چیست اینجا کلیک نمایید.

۲. Router DNS hijack

حمله DNS روتر زمانی اتفاق می‌افتد که مهاجمان یک روتر را با رمز عبور پیش‌فرض هک کنند و تنظیمات DNS آن را بازنویسی کنند و کاربران متصل به دستگاه را به سمت سرور خاصی هدایت کنند.

۳. Man in the middle DNS attacks

حمله مرد میانی یا حمله MITM یک حمله از طریق شنود است که در آن یک بازیگر کاربر مانع از ارتباط و انتقال داده بین سرورهای فرستنده و گیرنده می‌شود. آنها به عنوان شخص ثالث بین رشته ارتباطی عمل می‌کنند. نام “مرد در وسط” با این فعالیت سایبری مرتبط است. به این ترتیب، هکران به عنوان طرف های قانونی برای هر دو طرف رفتار می‌کنند. حملات Man-in-the-Middle برای رهگیری، سرقت یا تغییر داده ها، مختل کردن ارتباطات و ارسال لینک های مخرب به هر یک از طرفین انجام می‌شود.

۴. Rogue DNS Server

در حملات DNS سرورهای Rogue ، مهاجم نحوه عملکرد سرور DNS را با هک کردن سرور، تغییر سوابق DNS و هدایت درخواست‌ها به سایت‌های مخرب تغییر می‌دهد.

۵. OnPath DNS Hijacking

حمله OnPath حمله ای ست که در آن مهاجمان ارتباط بین سرور DNS و کاربر را مسدود می‌کنند و آدرس‌های IP متعددی را ارائه می‌دهند که به سایت‌های مخرب اشاره می‌کنند.

۶. DNS Spoofing

در حملات جعل DNS، یک درخواست از یک وب سایت قانونی به یک وب سایت مخرب هدایت می‌شود. یک مهاجم می‌تواند سرور DNS را طوری تغییر دهد که کاربران را به یک وب سایت مخرب هدایت کند که به طور ظاهری مشابه سایت اصلی است.

۷. Cache Poisoning

سرورها، سیستم‌ها و روترها رکوردهای DNS را در یک کش ذخیره می‌کنند. در این نوع حمله سایبری یعنی جعل DNS با مسموم کردن کش، هکرها یک ورودی DNS جعلی را وارد می‌کنند تا حافظه پنهان را مسموم کند و یک مقصد IP جایگزین برای یک دامنه خاص یا ادان دامنه (جهت اطلاع از این که ادادن دامنه چیست اینجا کلیک نمایید.) باقی بگذارد. جهت اطلاع از این که دومین اینترنتی چیست اینجا کلیک نمایید.

مقایسه ریدایرکت با حمله جعلی DNS

ربودن دامنه، که به آن «سرقت دامنه» نیز گفته می‌شود، نوعی جعل DNS است که در آن یک عامل تهدید با تغییر DNS با هدایت دامنه به سرور دیگری، دامنه را می‌دزدد. همچنین، DNS Poisoning یا “DNS Cache Poisoning” بدون تغییر در تنظیمات DNS (مانند ربودن دامنه) به جعل DNS دست می‌یابد. یعنی در این روش روی رکوردهای DNS تمرکز می‌کند و آنها را تغییر می‌دهد، که منجر به هدایت آدرس IP اشتباه توسط دامنه می‌شود.

از طرف دیگر وقتی یک URL را به دیگری ریدایرکت میکنید، به سادگی آن را به آدرس دیگری در همان دامنه یا دامنه متفاوت ارسال می‌کنید. می‌توانید ریدایرکتی راه‌اندازی کنید که وقتی بازدیدکنندگان سعی می‌کنند به URL متعلق به دامنه قدیمی‌شما دسترسی پیدا کنند، به صورت اتومانیک بازدیدکننگان را به نام دامنه جدید شما می‌فرستد.

در مورد سرقت DNS چه کاری می‌توان انجام داد؟

بهترین راه برای محافظت از سازمان شما در برابر حملات ربودن DNS، افزایش آگاهی کارکنان از حملات DNS و اطمینان از داشتن متخصصان مناسب برای جلوگیری و پاسخگویی به حملات سایبری است.

ربودن DNS یک مشکل امنیتی جدی است که به مهاجم اجازه می‌دهد وب سایت، ایمیل یا سایر سرویس های آنلاین شما را کنترل کند. برای جلوگیری یا جلوگیری از ربودن DNS، توصیه می‌شود از نرم افزار امنیتی قابل اعتمادی استفاده کنید که سایت را در برابر انواع تهدیدات محافظت می‌کند.

۴ راهکار مقابله با DNS HIJACKING

در ادامه چند راه برای افزایش امنیت تنظیمات DNS، ddns و جلوگیری از هک شدن درخواست های شما وجود دارد:

جهت اطلاع از این که ddns چیست اینجا کلیک نمایید.

۱. کاهش برای نیم سرورها و resolvers

کاهش برای نیم سرورها و resolvers

مراقب resolvers‌ها در شبکه باشید

ریزالورهای DNS را قبل از قرار دادن پشت فایروال (بدون پیوند به ارتباطات خارجی)، خاموش کنید.

محدودیت شدید دسترسی به نیم سرورها

با استفاده از احراز هویت چند عاملی، فایروال‌ها و سایر اقدامات امنیتی فیزیکی و شبکه، دسترسی به سرورهای نام DNS را محدود کنید.

اقدامات لازم برای مقابله با حملات cache

با استفاده از شناسه‌های جستجو تصادفی، پورت‌های منبع تصادفی با مسمومیت حافظه پنهان مبارزه کنید.

اصلاح آسیب پذیری های شناخته شده

فوراً آسیب‌پذیری‌ها را برای جلوگیری از ربودن DNS بررسی کنید، زیرا هکرها اغلب به دنبال سرورهای DNS آسیب‌پذیر می‌گردند.

جداسازی نیم سرور معتبر از resolverها

سرورهای معتبر نام DNS را از resolverها اجرا نکنید. آنها را جداگانه اجرا کنید تا از مسمومیت کش جلوگیری کنید.

محدود کردن Zone transfers

سوابق Zone transfers را محدود کنید، زیرا حاوی اطلاعات ارزشمندی برای مهاجمان با استفاده از ابزارهای ربودن DNS است.

۲. کاهش برای کاربران نهایی

کاهش برای کاربران نهایی

به URL سایت توجه کنید تا مطمئن شوید که همان سایتی است که می‌خواهید بازدید کنید. اگر قسمتی از آدرس ناآشنا به نظر می‌رسد، مرورگر خود را ببندید و تنظیمات DNS خود را بررسی کنید. سایت های فیشینگ گواهینامه SSL (لایه سوکت های امن) معتبر ندارند. اطمینان حاصل کنید که سایت شما دارای گواهینامه SSL معتبر است. هرگز داده های حساس (به عنوان مثال، اطلاعات شخصی، جزئیات کارت اعتباری) را در یک فرم وب در یک سایت بدون گواهی SSL یا در صورت وجود خطای http معتبر وارد نکنید. جهت خرید ssl اینجا کلیک نمایید.

۳- کاهش برای مدیران سایت ها

۱. دسترسی ایمن

شما مجبور نیستید از سرورهای DNS ارائه شده توسط ISP خود استفاده کنید. در عوض، یک سرویس DNS رایگان و جایگزین مانند Google Public DNS، OpenDNS یا Cloudflare را انتخاب کنید. امنیت دامنه شما مستقیما روی سئو سایت (جهت اطلاع از این که سئو منفی چیست اینجا کلیک نمایید.) نیز تاثیرگذار است. جهت اطلاع از سئو تکنیکال اینجا کلیک نمایید.

۲. قفل مشتری

راه دیگر برای جلوگیری از ربودن DNS، استفاده از قفل رجیستری در برابر تهدیدات سایبری است.

قفل رجیستری سرویسی است که توسط یک رجیستری نام دامنه برای محافظت از امنیت دامنه در برابر به روز رسانی، انتقال و حذف غیرمجاز ارائه می‌شود. اگر ارائه دهنده خدمات میزبان شما این سرویس را ارائه نمی‌دهد، باید به دنبال یکی از ارائه دهنده خدمات باشید. جهت اطلاع از این که دامنه چیست اینجا کلیک نمایید.

اطمینان حاصل کنید که احراز هویت دو مرحله ای را در حساب دامنه خود به عنوان یک لایه امنیتی اضافی فعال کرده اید.

۳. DNSSEC

با راه اندازی پسوند امنیتی سیستم نام دامنه (DNSSE) در کنترل پنل وب سایت خود، امنیت را بیشتر تقویت کنید. این روش امنیت DNS را تقویت می‌کند و در عین حال از تغییر مسیر DNS، حمله man-in-the-middle و مسمومیت حافظه پنهان جلوگیری می‌کند. جهت اطلاع از این که ddnssec چیست اینجا کلیک نمایید.

۴. استفاده از نیم سرور محافظت شده

جهت افزایش امنیت دامنه شما میتوانید دامنه پریمیوم استفاده نمایید. از tldهای (جهت اطلاع از این که tld چیست اینجا کلیک نمایید.) معتبر برای سایت خود استفاده نموده و همچنین از نیم سرورهای محافظت شده روی دامنه خود استفاده نمایید. جهت اطلاع از این که دامنه پریمیوم چیست اینجا کلیک نمایید.

نحوه تشخیص حملات DNS

۱. استفاده از دستور ping

می‌توانید با استفاده از پینگ کردن دامنه مشکوک، سرقت DNS را شناسایی کنید. اگر نتایج نشان دهد که آدرس IP وجود ندارد، متوجه خواهید شد که DNS شما هک نشده است. از طرف دیگر، اگر دامنه مشکوک را پینگ کنید و یک آدرس IP ظاهر شود، احتمال زیادی وجود دارد که DNS شما هک شده باشد.

روی مک

برای انجام تست پینگ در مک، Finder را باز کنید و به Applications > Utilities بروید. سپس برنامه ترمینال را باز کنید و ping و سپس یک فاصله و سپس آدرس IP یا دامنه را تایپ کنید. برای توقف تست، روی صفحه کلید Control + C را فشار دهید.

روی ویندوز

در ویندوز به جستجو در نوار وظیفه بروید و عبارت cmd را تایپ کنید تا Command Prompt ظاهر شود.

Command Prompt را باز کنید. ping را در کادر سیاه تایپ کنید و کلید فاصله را بزنید. دامنه مورد نظر برای پینگ را تایپ کنید.

روی لینوکس

ساختار اصلی پینگ به شرح زیر است. جهت بررسی کافیست نام دامنه را در دستور زیر جایگزین hostname نمایید.

ping [option] [hostname] or [IP address]

۲. استفاده از چک کننده روتر

مهاجمان می‌توانند از بدافزار برای دسترسی به صفحه مدیریت روتر شما استفاده کنند. پس از ورود، آنها می‌توانند تنظیمات DNS را تغییر دهند تا روتر از سروری استفاده کند که مهاجم آن را مدیریت می‌کند. برای بررسی این نوع حمله، کافی است به صفحه مدیریت روتر خود بروید و تنظیمات DNS آن را بررسی کنید.

۳. استفاده از WhoIsMyDNS.com

یکی دیگر از ابزارهای آنلاین عالی WhoIsMyDNS است که به شما این امکان را می‌دهد که وب سرور واقعی را پیدا کنید که از طرف شما به درخواست های DNS پاسخ می‌دهد. اگر DNS نمایش داده شده برای شما ناآشنا است، ممکن است قربانی سرقت DNS شده باشید. جهت اطلاع از این که whois چیست اینجا کلیک نمایید.

چگونه سرقت DNS را متوقف کنیم و ایمن بمانیم؟

از سایت خود در برابر هک شدن محافظت کنید. اگر سایت شما قبلاً آلوده شده است، بهتر است محتویات فایل HOSTS را حذف کرده و آن را ریست کنید. پس از آن، از آنتی ویروس استفاده کنید، که به شما کمک می‌کند تا DNS Changers را حذف کنید. بررسی کنید که آیا تغییر دهنده DNS DNS شما را تغییر داده است یا خیر. اگر چنین است، باید تنظیمات DNS خود را تغییر دهید. شما می‌توانید این کار را به طور خودکار بررسی کنید. همچنین با بررسی DNS در روتر و سپس بر روی کامپیوترهای جداگانه در شبکه خود شروع کنید.

کلام آخر

همانطور که می‌بینید، سرویس DNS برای کارکرد روزانه وب سایت های شرکت و خدمات آنلاین شما بسیار مهم است.

اگر یک بررسی منظم DNS انجام ندهید، مهاجمان از راه دور می‌توانند این را به عنوان فرصتی جذاب برای انجام حملات مخرب علیه شبکه های شما ببینند. بنابراین، بسیار مهم است که سرورهای DNS و ترافیک خود را همیشه زیر نظر داشته باشید.

اگر به دنبال راه هایی برای جلوگیری از این نوع مشکلات DNS هستید، با متخصصی وب رمز تماس حاصل نمایید.

[faq]

سوالات متداول

به عنوان مثال، تکنیک‌های تونل‌سازی DNS، عاملان تهدید را قادر می‌سازد تا اتصال شبکه را به خطر بیندازند و به سرور مورد نظر دسترسی از راه دور داشته باشند. اشکال دیگر حملات DNS می‌توانند عاملان تهدید را قادر به حذف سرورها، سرقت داده ها، هدایت کاربران به سایت های جعلی و انجام حملات انکار سرویس توزیع شده (DDoS) کنند.

بله. VPN به جلوگیری از ربودن DNS کمک می‌کند. اکثر سرویس های VPN سرورهای DNS خود را اجرا می‌کنند و از رهگیری درخواست های DNS شما جلوگیری می‌کنند.

ربودن DNS یک تکنیک رایج حمله سایبری است که به نام پیکربندی مجدد سرور نام دامنه شناخته می‌شود.

مهاجمان می‌توانند در انواع مختلف حملات DNS به DNS شما آسیب برسانند. برای مثال، شخصی می‌تواند DNS شما را ربوده تا برای سرقت داده‌های شخصی شما یا انتشار بدافزار به دستگاه شما را به وب‌سایت‌های مخرب هدایت کند. در جعل DNS، سوابق DNS شما را می‌توان تغییر داد تا شما را به وب سایت های جعلی هدایت کند.

ربودن سیستم نام دامنه (ربایش DNS) تاکتیکی است که برای هدایت شما به وب سایت هایی متفاوت از وب سایت هایی که قصد بازدید از آنها را دارید، معمولاً برای سرقت اطلاعات شخصی شما، نمایش تبلیغات ناخواسته یا تحمیل سانسور اینترنتی استفاده می‌شود. به آن DNS Poisoning یا DNS spoofing نیز می‌گویند.

منبع : www.imperva.com en.wikipedia.org www.wallarm.com www.paloaltonetworks.com www.sentinelone.com