ربودن DNS (Hijack) چیست و چگونه از آن پیشگیری کنیم؟

توسط سمیرا گلکار

سیستم نام دامنه (DNS) نقش بسیار مهمی در تعاملات اینترنتی دارد و عدم نظارت درست بر آن باعث می‌شود که هکرها بتوانند از آن برای اجرای حملات مختلف استفاده کنند.

در این مطلب به بررسی کامل حمله ‌هایجک یا ربودن DNS و راه‌های پیشگیری از آن می‌پردازیم.

ربودن DNS چیست؟

DNS Hijack چیست و چگونه از آن پیشگیری کنیم؟ 1

سیستم نام دامنه منبعی از آدرس‌های اینترنتی (یا همان نام دامنه) است که به آی‌پی مربوط به خودشان انتساب داده می‌شوند. این سیستم شبیه به یک دفترچه تلفن است که در آن نام و شماره افراد را ذخیره می‌کنید و باید برای بازیابی شماره تلفن، نام شخص را جستجو کنید.

ربودن DNS که به آن تغییر مسیر DNS هم گفته می‌شود اقدامی است که در آن مهاجمان سایبری جدول DNS را دستکاری می‌کنند و ترافیک را به سمت سیستم‌های دامنه مخرب هدایت می‌کنند.

چرا مهاجمان DNS را هدف می‌گیرند؟

DNS Hijack چیست و چگونه از آن پیشگیری کنیم؟ 2

مهاجمان از ترفند ربودن DNS برای انجام عملی موسوم به فارمینگ استفاده می‌کنند. در این روش مهاجم برای ایجاد درآمد از بازدیدها و کلیک‌ها، تبلیغات غیرضروری نمایش می‌دهد. همچنین این روش برای هدایت بازدیدکنندگان به یک نسخه جعلی از سایت‌ها و سرقت اطلاعات آنها هم استفاده می‌شود.

البته بعضی ISPها هم از این تکنیک با هدف جمع آوری داده‌های کاربران برای مقاصد بیزنسی استفاده می‌کنند.

بعضی از شرکت‌ها هم برای سانسور محتوا یا انتقال کاربران به سایتی متفاوت از این تکنیک استفاده می‌کنند. چنین اقدامی کاملاً بحث برانگیز است چون کاربران را در معرض حملات تزریق اسکریپت بین درگاهی قرار می‌دهند.

حمله ربودن DNS چگونه انجام می‌شود؟

DNS Hijack چیست و چگونه از آن پیشگیری کنیم؟ 3

مهاجمان باید برای اجرای این حمله، مودم را تحت کنترل گرفته، به ارتباطات مربوط به DNS نفوذ کرده یا روی کامپیوتر کاربر بدافزار نصب می‌کنند. اگر چنین اتفاقی رخ دهد مهاجم می‌تواند کل ترافیک وب شما را تحت نظارت بگیرد.

اگر شرکتی که کار ثبت آدرس برای یک آی‌پی را انجام می‌دهد امنیت لازم را نداشته باشد، ممکن است مهاجمان با حمله به آن شرکت، آدرس سایت را به یک آی‌پی متفاوت انتساب دهند. به این ترتیب وقتی این آدرس از رکورد DNS استخراج شود، به جای آی‌پیِ سرور اصلی، به آی‌پی سیستم مهاجمان ارجاع خواهد داشت.

وقتی کاربری این آدرس را در مرورگرش تایپ کند، به سایت مهاجمان هدایت می‌شود. وقتی کاربران به سایت مهاجمان هدایت شوند، نسخه جعلی سایت که دقیقاً مثل سایت اصلی و با هدف سرقت اطلاعات لاگین و دسترسی به حساب آنها طراحی شده را مشاهده می‌کنند.

انواع حملات ربودن DNS

DNS Hijack چیست و چگونه از آن پیشگیری کنیم؟ 4

مجرمان برای دسترسی غیرمجاز به DNS از تکنیک‌های مختلفی استفاده می‌کنند که متداول ترین آنها عبارتند از:

1. ربودن DNS به صورت محلی

در این روش یک بدافزار روی سیستم کاربر نصب شده و تنظیمات DNS روی سیستم را تغییر می‌دهد. به این ترتیب کاربر بدون اینکه متوجه شود به سایت جعلی منتقل می‌شود.

2. ربودن روتر DNS

روتر (یا مسیریاب) DNS دستگاهی است که ارایه دهنده سرویس نام دامنه از آن برای تطبیق دادن آدرس سایت‌ها با آی‌پی استفاده می‌کنند. ممکن است در میان افزار این دستگاه‌ها آسیب پذیری وجود داشته یا رمز ضعیفی داشته باشند. مهاجمان از همین کاستی‌ها برای تحت اختیار گرفتن روتر و تغییر تنظیمات DNS آن استفاده می‌کنند.

3. ربودن DNS با حمله مرد میانی

در حمله مرد میانی مهاجمان برای استراق سمع یا تغییر پیام‌ها، خودشان را در کانال ارتباطی بین کاربر و سرور DNS قرار می‌دهند.

ممکن است مهاجم تغییرات DNS را تغییر داده، آی‌پی خودش را وارد کرده و یا کاربران را به سایت‌های آلوده هدایت کند.

4. ربودن سرور DNS

در این روش، مهاجم سرور DNS را هک کرده و تنظیمات سایت‌های مورد هدف را در این سرور عوض می‌کنند تا آی‌پی آنها به یک سایت مخرب اشاره کند. وقتی کاربری قصد ورود به این سایت را داشته باشد، به سایت جعلی و آلوده مهاجمان هدایت می‌شود.

چگونه از ربودن DNS پیشگیری کنیم؟

برای ایمن سازی سرورهای وب در برابر ربودن DNS، این نکات را در نظر داشته باشید:

  1. بررسی تنظیمات روتر DNS: برای حفظ امنیت DNS باید تنظیمات DNS روتر را بررسی و تأیید کنید. همچنین باید رمز آن را به صورت منظم عوض کنید.
  2. پیاده سازی قفل رجیستری در اکانت دامنه: قفل رجیستری راهکاری است که توسط ارایه دهنده سرویس میزبانی، برای حفظ امنیت دامنه‌ها در برابر تغییر، انتقال و حذف غیرمجاز استفاده می‌شود. حتماً احرازهویت دو مرحله ای را هم برای اکانت دامنه خودتان فعال کنید.
  3. نصب ابزارهای ضد بدافزار: حتماً روی کامپیوترتان آنتی ویروس نصب کنید تا تلاش‌های مخرب مهاجمان برای افشای اطلاعاتتان را خنثی کنید. استفاده از وی پی ان و رمزهای قوی و تغییر مرتب آن هم توصیه می‌شود.

همچنین ممکن است دوست داشته باشید

دیدگاهی بنویسید