سیستم نام دامنه (DNS) نقش بسیار مهمی در تعاملات اینترنتی دارد و عدم نظارت درست بر آن باعث میشود که هکرها بتوانند از آن برای اجرای حملات مختلف استفاده کنند.
در این مطلب به بررسی کامل حمله هایجک یا ربودن DNS و راههای پیشگیری از آن میپردازیم.
ربودن DNS چیست؟
سیستم نام دامنه منبعی از آدرسهای اینترنتی (یا همان نام دامنه) است که به آیپی مربوط به خودشان انتساب داده میشوند. این سیستم شبیه به یک دفترچه تلفن است که در آن نام و شماره افراد را ذخیره میکنید و باید برای بازیابی شماره تلفن، نام شخص را جستجو کنید.
ربودن DNS که به آن تغییر مسیر DNS هم گفته میشود اقدامی است که در آن مهاجمان سایبری جدول DNS را دستکاری میکنند و ترافیک را به سمت سیستمهای دامنه مخرب هدایت میکنند.
چرا مهاجمان DNS را هدف میگیرند؟
مهاجمان از ترفند ربودن DNS برای انجام عملی موسوم به فارمینگ استفاده میکنند. در این روش مهاجم برای ایجاد درآمد از بازدیدها و کلیکها، تبلیغات غیرضروری نمایش میدهد. همچنین این روش برای هدایت بازدیدکنندگان به یک نسخه جعلی از سایتها و سرقت اطلاعات آنها هم استفاده میشود.
البته بعضی ISPها هم از این تکنیک با هدف جمع آوری دادههای کاربران برای مقاصد بیزنسی استفاده میکنند.
بعضی از شرکتها هم برای سانسور محتوا یا انتقال کاربران به سایتی متفاوت از این تکنیک استفاده میکنند. چنین اقدامی کاملاً بحث برانگیز است چون کاربران را در معرض حملات تزریق اسکریپت بین درگاهی قرار میدهند.
حمله ربودن DNS چگونه انجام میشود؟
مهاجمان باید برای اجرای این حمله، مودم را تحت کنترل گرفته، به ارتباطات مربوط به DNS نفوذ کرده یا روی کامپیوتر کاربر بدافزار نصب میکنند. اگر چنین اتفاقی رخ دهد مهاجم میتواند کل ترافیک وب شما را تحت نظارت بگیرد.
اگر شرکتی که کار ثبت آدرس برای یک آیپی را انجام میدهد امنیت لازم را نداشته باشد، ممکن است مهاجمان با حمله به آن شرکت، آدرس سایت را به یک آیپی متفاوت انتساب دهند. به این ترتیب وقتی این آدرس از رکورد DNS استخراج شود، به جای آیپیِ سرور اصلی، به آیپی سیستم مهاجمان ارجاع خواهد داشت.
وقتی کاربری این آدرس را در مرورگرش تایپ کند، به سایت مهاجمان هدایت میشود. وقتی کاربران به سایت مهاجمان هدایت شوند، نسخه جعلی سایت که دقیقاً مثل سایت اصلی و با هدف سرقت اطلاعات لاگین و دسترسی به حساب آنها طراحی شده را مشاهده میکنند.
انواع حملات ربودن DNS
مجرمان برای دسترسی غیرمجاز به DNS از تکنیکهای مختلفی استفاده میکنند که متداول ترین آنها عبارتند از:
1. ربودن DNS به صورت محلی
در این روش یک بدافزار روی سیستم کاربر نصب شده و تنظیمات DNS روی سیستم را تغییر میدهد. به این ترتیب کاربر بدون اینکه متوجه شود به سایت جعلی منتقل میشود.
2. ربودن روتر DNS
روتر (یا مسیریاب) DNS دستگاهی است که ارایه دهنده سرویس نام دامنه از آن برای تطبیق دادن آدرس سایتها با آیپی استفاده میکنند. ممکن است در میان افزار این دستگاهها آسیب پذیری وجود داشته یا رمز ضعیفی داشته باشند. مهاجمان از همین کاستیها برای تحت اختیار گرفتن روتر و تغییر تنظیمات DNS آن استفاده میکنند.
3. ربودن DNS با حمله مرد میانی
در حمله مرد میانی مهاجمان برای استراق سمع یا تغییر پیامها، خودشان را در کانال ارتباطی بین کاربر و سرور DNS قرار میدهند.
ممکن است مهاجم تغییرات DNS را تغییر داده، آیپی خودش را وارد کرده و یا کاربران را به سایتهای آلوده هدایت کند.
4. ربودن سرور DNS
در این روش، مهاجم سرور DNS را هک کرده و تنظیمات سایتهای مورد هدف را در این سرور عوض میکنند تا آیپی آنها به یک سایت مخرب اشاره کند. وقتی کاربری قصد ورود به این سایت را داشته باشد، به سایت جعلی و آلوده مهاجمان هدایت میشود.
چگونه از ربودن DNS پیشگیری کنیم؟
برای ایمن سازی سرورهای وب در برابر ربودن DNS، این نکات را در نظر داشته باشید:
- بررسی تنظیمات روتر DNS: برای حفظ امنیت DNS باید تنظیمات DNS روتر را بررسی و تأیید کنید. همچنین باید رمز آن را به صورت منظم عوض کنید.
- پیاده سازی قفل رجیستری در اکانت دامنه: قفل رجیستری راهکاری است که توسط ارایه دهنده سرویس میزبانی، برای حفظ امنیت دامنهها در برابر تغییر، انتقال و حذف غیرمجاز استفاده میشود. حتماً احرازهویت دو مرحله ای را هم برای اکانت دامنه خودتان فعال کنید.
- نصب ابزارهای ضد بدافزار: حتماً روی کامپیوترتان آنتی ویروس نصب کنید تا تلاشهای مخرب مهاجمان برای افشای اطلاعاتتان را خنثی کنید. استفاده از وی پی ان و رمزهای قوی و تغییر مرتب آن هم توصیه میشود.