حمله DNS Flood چیست؟ + روش‌های مقابله با آن

از نام حمله DNS Flood می‌توان متوجه شد که این حملات روی سیستم DNS متمرکز هستند. در ادامه این مطلب از بلاگ ابر زَس، درباره یکی از شایع‌ترین حملات به این سیستم، یعنی حمله DNS Flood بیشتر توضیح می‌دهیم و با نحوه عملکرد حملات و راهکارهای مقابله با آن آشنا می‌شویم.

DNS (مخفف Domain Name System) یکی از حیاتی‌ترین سرویس‌ها در اینترنت به شمار می‌رود و یک مؤلفه کلیدی برای تبدیل نام‌های دامنه به آدرس‌های IP منحصربه‌فرد است که اتصال به یک وب‌سایت را ممکن می‌کند. بسیاری از خدمات در اینترنت ازجمله چت‌ها، سرویس‌های ایمیل، شبکه‌های اجتماعی و… به DNS نیاز دارند تا پشتیبانی 24/7 داشته باشند. اهمیت بالای DNS باعث شده تا به یک هدف اصلی برای حملات هکرها تبدیل شود، اما این در حالی است که اغلب سازمان‌ها در زمان ایمن‌سازی زیرساخت‌های خود آن را نادیده می‌گیرند. در ادامه مطلب بررسی می‌کنیم که حمله DNS Flood چیست، چگونه عمل می‌کند و چطور می‌توان با آن مقابله کرد.

حمله DNS Flood چیست؟

سرور DNS درست مانند یک دفترچه تلفن، به هدایت دستگاه‌های مختلف در اینترنت، سرورهای وب موردنظر و درنتیجه محتوای جستجو شده، کمک می‌کنند. به عبارت دیگر هنگامی که آدرس www.xaas.ir را در مرورگر خود وارد می‌کنید، یک سرور DNS با جستجو در دیتابیسی مشابه دفترچه تلفن، این آدرس دامنه را به IP متناظر با آن تبدیل می‌کند و IP مورد نظر را به سیستم شما اطلاع می‌دهد. در نهایت مرورگر شما می‌تواند از طریق آن آدرس IP به اطلاعات سایت دسترسی پیدا کند.

حمله DNS Flood یکی از انواع حملات Flood است که خود از انواع حملات DDoS محسوب می‌شوند. در حمله DNS Flood هکرها تلاش می‌کنند سرورهای DNS خاصی را مورد هدف قرار دهند و اختلالات متعددی را به شکل ترافیک غیرواقعی و مخرب، به آن‌ها روانه کنند. در مسیر هدایت کاربر از جستجو تا یافتن نتیجه در اینترنت، چنانچه DNS به‌درستی پیدا نشود، نمی‌توان آدرس موردنظر را هم پیدا کرد.

به‌عبارت‌دیگر، در یک حمله DNS Flood در فرایند رزولوشن DNS اختلال ایجاد شده و توانایی اپلیکیشن وب یا API برای پاسخ به ترافیک قانونی، مختل می‌شود. معمولاً تشخیص این که ترافیک ورودی به سرور واقعی است یا درنتیجه حملات DNS Flood ایجاد شده، کار بسیار سختی است. ترافیک غیرواقعی در این حملات، از مکان‌های مختلف ایجاد شده و از الگوی ترافیک قانونی و واقعی پیروی می‌کند.

نحوه عملکرد حمله DNS Flood

حالا که می‌دانیم حمله DNS چیست، بیایید با نحوه عملکرد این حملات آشنا شده و ببینیم که چطور اجرا می‌شوند. عملکرد اصلی DNS، دقیقاً جایی بین آدرس‌‌های ساده وب‌سایت‌ها (مانند example.com) و آدرس‌های IP سخت و دشوار (اعدادی مانند 192.168.0.1) است. به‌این‌ترتیب، زمانی که یک حمله موفقیت‌آمیز زیرساخت‌های DNS را درگیر کند، دسترسی به یک وب‌سایت برای کاربران تقریباً غیرممکن خواهد بود. حملات DNS Flood یکی از انواع نسبتاً جدیدتر حملات DDoS هستند که ازطریق افزایش بات نت‌های اینترنت اشیا یا (IoT) با پهنای باند گسترده، اجرا می‌شوند.

حملات سیل DNS برای تحت‌تأثیر قرار دادن سرورهای DNS ارائه‌دهندگان، از اتصالات پهنای باند بالای دوربین‌های مبتنی بر IP، دستگآه‌های DVR و سایر دستگاه‌های اینترنت اشیا کمک می‌گیرند. اجرا حملات به این صورت است که حجم درخواست‌های دستگاه‌های IoT بر سرویس‌های ارائه‌دهنده DNS غلبه کرده و درنتیجه، دسترسی قانونی به سرورهای DNS ارائه‌دهنده، مختل می‌شود.

نوع دیگری از حملات DNS، حملات DNS Amplification یا تقویت DNS است که با حمله DNS Flood متفاوت هستند. در حملات تقویت DNS، ترافیک سرورهای DNS ناامن، منعکس و تقویت می‌شود تا منشأ حمله پنهان شده و اثربخشی آن بیشتر شود. در این نوع از حملات، از دستگاه‌های با اتصالات با پهنای باند کمتر برای ارسال درخواست‌های متعدد به سرورهای DNS ناامن استفاده می‌شود.

نحوه کاهش اثر حمله DNS Flood

حملات DNS Flood یک تغییر کلی نسبت به حملات مبتنی بر تقویت (Amplification) سنتی را ارائه می‌دهند. با در دسترس بودن بات‌نت‌ها با پهنای باند گسترده‌تر، مهاجمان می‌توانند سازمان‌های بزرگ‌تر را هدف قرار دهند. علاوه بر به‌روزرسانی یا جایگزینی دستگاه‌های IoT، راه مقاومت در برابر حمله DNS Flood آن است که یک سیستم بزرگ با توزیع‌های متعدد از جمله سرویس CDN داشته باشیم که ترافیک جعلی و مربوط به حمله را بررسی، جذب و مسدود می‌کند.

باوجود روش‌های متعدد مقابله با حملات DNS Flood، هکرها و مهاجمین هم روش‌هایی برای تقویت حملات دارند. برای مثال، چنانچه هکرها از تعداد زیادی آدرس‌های IP استفاده کنند، می‌توانند الگوهای تشخیص حمله و ناهنجاری را دور بزنند. چنین روش‌هایی باعث می‌شود تا جلوگیری و کاهش اثر حمله DNS Flood دشوارتر شود. بااین‌حال، روش‌های متعدد برای مقابله با این دسته از حملات وجود دارد که مهم‌ترین آن‌ها عبارت‌اند از:

حفظ محرمانگی Resolver

یکی از روش‌های مقابله با حملات DNS Flood آن است که مطمئن شوید که سرور DNS Resolver به‌صورت خصوصی است و برای کاربران خارجی باز نیست. بهتر است استفاده از Resolver را محدود کنید تا تنها کاربران شبکه داخلی بتوانند به آن دسترسی داشته باشند و از آلوده شدن حافظه کش توسط مهاجمان، جلوگیری کنید.

استفاده از سرویس کاهش حملات DDoS

نگهداری سرورهای DNS در هر جایی آن را مستعد قرارگرفتن در معرض حملات DDoS خواهد کرد. برای جلوگیری از این مسئله، می‌توانید از خدمات کاهش حملات DDoS استفاده کنید که توسط سرویس‌های متعددی ارائه می‌شود. این سرویس‌ها می‌توانند ترافیک ناخواسته را مسدود و به ایمن شدن سرویس DNS کمک کنند.

مدیریت پچ‌ها

یکی از ابزارهای حیاتی کاهش اثر حملات سیل DNS، مدیریت وصله‌های امنیتی است. ازآنجایی‌که مهاجمین و هکرها به سوء استفاده از آسیب‌های نرم‌افزاری تمایل دارند، اجرای هرچه سریع‌تر پچ‌ها می‌تواند بسیار مفید باشد. یک روش جلوگیری از سوءاستفاده از این آسیب‌پذیری‌ها، به‌روز نگه‌داشتن سرورهای دامنه است.

استفاده از یک سرور DNS اختصاصی

برای کنترل هزینه‌ها، معمولاً سازمان‌ها و به‌خصوص سازمان‌های کوچک سعی می‌کنند تا سرور DNS خود را روی سرورهای خود راه‌اندازی کنند. چنین کاری آسیب‌پذیری سیستم در برابر حمله DNS Flood را افزایش می‌دهد و به همین دلیل، توصیه می‌شود خدمات DNS را روی به یک سرور اختصاصی منتقل کنید.

بررسی و ایجاد یک ممیزی DNS

یکی از دلایل آسیب‌پذیری در برابر حملات آن است که سازمان‌ها اغلب زیر دامنه‌‌های قدیمی خود را فراموش می‌کنند. برخی از این زیر دامنه‌ها از نرم‌افزار قدیمی استفاده می‌کنند و به‌راحتی در معرض سوءاستفاده قرار می‌گیرند. ایجاد یک فیلتر و ممیزی برای زون‌های DNS باعث می‌شود تا یک بینش کلی نسبت به آسیب‌پذیری‌های مرتبط با DNS داشته باشید و ببینید که چه راهکارهایی برای جلوگیری از حملات، باید بیشتر موردتوجه قرار گیرند.

از آنجایی‌که رزولوشن DNS در ارتباطات معمولی اینترنتی کاربرد دارد، هنگام بارهای سنگین، معمولاً به‌سختی می‌توان حملات DNS Flood را از یک ترافیک سنگین قانونی تشخیص داد. مخصوصاً زمانی که ترافیک‌های جعلی ایجادشده، منابع منحصربه‌فرد متعددی هم داشته باشند، تشخیص آن‌ها بسیار دشوارتر می‌شود. هکرها و مهاجمان از ضعف‌های زیرساخت سلسله‌مراتبی DNS و آسیب‌پذیری‌های پروتکل برای ایجاد حملات سوءاستفاده می‌کنند.

سخن پایانی

حفظ امنیت سایبری دربرابر انواع حملات، به‌خصوص دربرابر حملات DDoS مانند حمله DNS Flood بسیار اهمیت دارد. اگرچه به نظر می‌رسد که حفظ این امنیت کار دشواری باشد، اما غیرممکن نیست و تنها با کمی دقت در جزئیات، می‌توان تا حد زیادی از وقوع آن‌ها جلوگیری کرد. بسیار مهم است که منابع و روش اجرای این حملات را درک کنید تا بتوانید راهکارهای کاهش و جلوگیری از آن‌ها را دنبال نمایید.

در این مطلب سعی کردیم علاوه بر معرفی حمله DNS Flood ببینیم که این حملات چطور اجرا می‌شود و چه راهکارهایی برای مقابله با آن‌ها وجود دارد. با بررسی این نکات می‌توانید از عواقب جدی سرقت داده‌ها، اختلال در روند کسب‌وکار خود و همچنین ازبین‌بردن نظم اجرای عملکردهای مختلف در سیستم‌های سازمان، جلوگیری کنید.