از نام حمله DNS Flood میتوان متوجه شد که این حملات روی سیستم DNS متمرکز هستند. در ادامه این مطلب از بلاگ ابر زَس، درباره یکی از شایعترین حملات به این سیستم، یعنی حمله DNS Flood بیشتر توضیح میدهیم و با نحوه عملکرد حملات و راهکارهای مقابله با آن آشنا میشویم.
DNS (مخفف Domain Name System) یکی از حیاتیترین سرویسها در اینترنت به شمار میرود و یک مؤلفه کلیدی برای تبدیل نامهای دامنه به آدرسهای IP منحصربهفرد است که اتصال به یک وبسایت را ممکن میکند. بسیاری از خدمات در اینترنت ازجمله چتها، سرویسهای ایمیل، شبکههای اجتماعی و… به DNS نیاز دارند تا پشتیبانی 24/7 داشته باشند. اهمیت بالای DNS باعث شده تا به یک هدف اصلی برای حملات هکرها تبدیل شود، اما این در حالی است که اغلب سازمانها در زمان ایمنسازی زیرساختهای خود آن را نادیده میگیرند. در ادامه مطلب بررسی میکنیم که حمله DNS Flood چیست، چگونه عمل میکند و چطور میتوان با آن مقابله کرد.
حمله DNS Flood چیست؟
سرور DNS درست مانند یک دفترچه تلفن، به هدایت دستگاههای مختلف در اینترنت، سرورهای وب موردنظر و درنتیجه محتوای جستجو شده، کمک میکنند. به عبارت دیگر هنگامی که آدرس www.xaas.ir را در مرورگر خود وارد میکنید، یک سرور DNS با جستجو در دیتابیسی مشابه دفترچه تلفن، این آدرس دامنه را به IP متناظر با آن تبدیل میکند و IP مورد نظر را به سیستم شما اطلاع میدهد. در نهایت مرورگر شما میتواند از طریق آن آدرس IP به اطلاعات سایت دسترسی پیدا کند.
حمله DNS Flood یکی از انواع حملات Flood است که خود از انواع حملات DDoS محسوب میشوند. در حمله DNS Flood هکرها تلاش میکنند سرورهای DNS خاصی را مورد هدف قرار دهند و اختلالات متعددی را به شکل ترافیک غیرواقعی و مخرب، به آنها روانه کنند. در مسیر هدایت کاربر از جستجو تا یافتن نتیجه در اینترنت، چنانچه DNS بهدرستی پیدا نشود، نمیتوان آدرس موردنظر را هم پیدا کرد.
بهعبارتدیگر، در یک حمله DNS Flood در فرایند رزولوشن DNS اختلال ایجاد شده و توانایی اپلیکیشن وب یا API برای پاسخ به ترافیک قانونی، مختل میشود. معمولاً تشخیص این که ترافیک ورودی به سرور واقعی است یا درنتیجه حملات DNS Flood ایجاد شده، کار بسیار سختی است. ترافیک غیرواقعی در این حملات، از مکانهای مختلف ایجاد شده و از الگوی ترافیک قانونی و واقعی پیروی میکند.
نحوه عملکرد حمله DNS Flood
حالا که میدانیم حمله DNS چیست، بیایید با نحوه عملکرد این حملات آشنا شده و ببینیم که چطور اجرا میشوند. عملکرد اصلی DNS، دقیقاً جایی بین آدرسهای ساده وبسایتها (مانند example.com) و آدرسهای IP سخت و دشوار (اعدادی مانند 192.168.0.1) است. بهاینترتیب، زمانی که یک حمله موفقیتآمیز زیرساختهای DNS را درگیر کند، دسترسی به یک وبسایت برای کاربران تقریباً غیرممکن خواهد بود. حملات DNS Flood یکی از انواع نسبتاً جدیدتر حملات DDoS هستند که ازطریق افزایش بات نتهای اینترنت اشیا یا (IoT) با پهنای باند گسترده، اجرا میشوند.
حملات سیل DNS برای تحتتأثیر قرار دادن سرورهای DNS ارائهدهندگان، از اتصالات پهنای باند بالای دوربینهای مبتنی بر IP، دستگآههای DVR و سایر دستگاههای اینترنت اشیا کمک میگیرند. اجرا حملات به این صورت است که حجم درخواستهای دستگاههای IoT بر سرویسهای ارائهدهنده DNS غلبه کرده و درنتیجه، دسترسی قانونی به سرورهای DNS ارائهدهنده، مختل میشود.
نوع دیگری از حملات DNS، حملات DNS Amplification یا تقویت DNS است که با حمله DNS Flood متفاوت هستند. در حملات تقویت DNS، ترافیک سرورهای DNS ناامن، منعکس و تقویت میشود تا منشأ حمله پنهان شده و اثربخشی آن بیشتر شود. در این نوع از حملات، از دستگاههای با اتصالات با پهنای باند کمتر برای ارسال درخواستهای متعدد به سرورهای DNS ناامن استفاده میشود.
نحوه کاهش اثر حمله DNS Flood
حملات DNS Flood یک تغییر کلی نسبت به حملات مبتنی بر تقویت (Amplification) سنتی را ارائه میدهند. با در دسترس بودن باتنتها با پهنای باند گستردهتر، مهاجمان میتوانند سازمانهای بزرگتر را هدف قرار دهند. علاوه بر بهروزرسانی یا جایگزینی دستگاههای IoT، راه مقاومت در برابر حمله DNS Flood آن است که یک سیستم بزرگ با توزیعهای متعدد از جمله سرویس CDN داشته باشیم که ترافیک جعلی و مربوط به حمله را بررسی، جذب و مسدود میکند.
باوجود روشهای متعدد مقابله با حملات DNS Flood، هکرها و مهاجمین هم روشهایی برای تقویت حملات دارند. برای مثال، چنانچه هکرها از تعداد زیادی آدرسهای IP استفاده کنند، میتوانند الگوهای تشخیص حمله و ناهنجاری را دور بزنند. چنین روشهایی باعث میشود تا جلوگیری و کاهش اثر حمله DNS Flood دشوارتر شود. بااینحال، روشهای متعدد برای مقابله با این دسته از حملات وجود دارد که مهمترین آنها عبارتاند از:
حفظ محرمانگی Resolver
یکی از روشهای مقابله با حملات DNS Flood آن است که مطمئن شوید که سرور DNS Resolver بهصورت خصوصی است و برای کاربران خارجی باز نیست. بهتر است استفاده از Resolver را محدود کنید تا تنها کاربران شبکه داخلی بتوانند به آن دسترسی داشته باشند و از آلوده شدن حافظه کش توسط مهاجمان، جلوگیری کنید.
استفاده از سرویس کاهش حملات DDoS
نگهداری سرورهای DNS در هر جایی آن را مستعد قرارگرفتن در معرض حملات DDoS خواهد کرد. برای جلوگیری از این مسئله، میتوانید از خدمات کاهش حملات DDoS استفاده کنید که توسط سرویسهای متعددی ارائه میشود. این سرویسها میتوانند ترافیک ناخواسته را مسدود و به ایمن شدن سرویس DNS کمک کنند.
مدیریت پچها
یکی از ابزارهای حیاتی کاهش اثر حملات سیل DNS، مدیریت وصلههای امنیتی است. ازآنجاییکه مهاجمین و هکرها به سوء استفاده از آسیبهای نرمافزاری تمایل دارند، اجرای هرچه سریعتر پچها میتواند بسیار مفید باشد. یک روش جلوگیری از سوءاستفاده از این آسیبپذیریها، بهروز نگهداشتن سرورهای دامنه است.
استفاده از یک سرور DNS اختصاصی
برای کنترل هزینهها، معمولاً سازمانها و بهخصوص سازمانهای کوچک سعی میکنند تا سرور DNS خود را روی سرورهای خود راهاندازی کنند. چنین کاری آسیبپذیری سیستم در برابر حمله DNS Flood را افزایش میدهد و به همین دلیل، توصیه میشود خدمات DNS را روی به یک سرور اختصاصی منتقل کنید.
بررسی و ایجاد یک ممیزی DNS
یکی از دلایل آسیبپذیری در برابر حملات آن است که سازمانها اغلب زیر دامنههای قدیمی خود را فراموش میکنند. برخی از این زیر دامنهها از نرمافزار قدیمی استفاده میکنند و بهراحتی در معرض سوءاستفاده قرار میگیرند. ایجاد یک فیلتر و ممیزی برای زونهای DNS باعث میشود تا یک بینش کلی نسبت به آسیبپذیریهای مرتبط با DNS داشته باشید و ببینید که چه راهکارهایی برای جلوگیری از حملات، باید بیشتر موردتوجه قرار گیرند.
از آنجاییکه رزولوشن DNS در ارتباطات معمولی اینترنتی کاربرد دارد، هنگام بارهای سنگین، معمولاً بهسختی میتوان حملات DNS Flood را از یک ترافیک سنگین قانونی تشخیص داد. مخصوصاً زمانی که ترافیکهای جعلی ایجادشده، منابع منحصربهفرد متعددی هم داشته باشند، تشخیص آنها بسیار دشوارتر میشود. هکرها و مهاجمان از ضعفهای زیرساخت سلسلهمراتبی DNS و آسیبپذیریهای پروتکل برای ایجاد حملات سوءاستفاده میکنند.
سخن پایانی
حفظ امنیت سایبری دربرابر انواع حملات، بهخصوص دربرابر حملات DDoS مانند حمله DNS Flood بسیار اهمیت دارد. اگرچه به نظر میرسد که حفظ این امنیت کار دشواری باشد، اما غیرممکن نیست و تنها با کمی دقت در جزئیات، میتوان تا حد زیادی از وقوع آنها جلوگیری کرد. بسیار مهم است که منابع و روش اجرای این حملات را درک کنید تا بتوانید راهکارهای کاهش و جلوگیری از آنها را دنبال نمایید.
در این مطلب سعی کردیم علاوه بر معرفی حمله DNS Flood ببینیم که این حملات چطور اجرا میشود و چه راهکارهایی برای مقابله با آنها وجود دارد. با بررسی این نکات میتوانید از عواقب جدی سرقت دادهها، اختلال در روند کسبوکار خود و همچنین ازبینبردن نظم اجرای عملکردهای مختلف در سیستمهای سازمان، جلوگیری کنید.
