حمله تقویت DNS چیست؟ | چگونه کار می کند؟

 

حملات DNS ها و چگونگی جلوگیری از آن ها

 

 

 

با درود به کاربران و بازدید کنندگان عزیز سایت تخصصی ناد مارکت

 

 

---

 

حمله تقویت سیستم نام دامنه (DNS) تنها یکی از انواع حملات انکار سرویس توزیع شده (DDoS) است. مانند تمام حملات DDoS، هدف مهاجمان این است که کاربران را از دسترسی به یک سیستم شبکه، سرویس، وب سایت، برنامه یا منابع دیگر با کند کردن پاسخ یا غیرفعال کردن کامل آن، بازدارند. اکثر حملات DDoS از این نظر حجمی هستند که بمباران می کنند. شبکه قربانی با ترافیکی بیشتر از توانش. وقتی یک کنسرت یا رویداد ورزشی به پایان می رسد، آن را مانند ترافیک سپر به سپر و بدون حرکت در یک آزادراه شش خطه نزدیک استادیوم در نظر بگیرید. شلوغی هزاران خودرو در آزادراه به طور همزمان جریان عادی ترافیک را مختل می کند.

 

یک حمله تقویت DNS از تکنیک های مختلفی برای دستیابی به یک هدف نهایی یعنی انکار سرویس استفاده می کند. به‌جای اینکه هزاران خودرو همزمان در آزادراه هجوم بیاورند، شش کامیون باربری پهن را تصور کنید که در کنار هم در همان آزادراه شش خطه حرکت می‌کنند. جریان ترافیک کاملاً مختل شده است - نه با یورش ناگهانی هزاران خودرو، بلکه توسط چندین وسیله نقلیه به قدری بزرگ که ترافیک عادی نمی تواند از آن عبور کند. بنابراین، در حالی که اکثر حملات DDoS با غلبه بر سیستمی با تعداد زیادی بسته با اندازه متوسط کار می کنند، یک حمله تقویت DNS از بسته های بزرگتر برای رسیدن به نتیجه مشابه استفاده می کند. با این حال، هیچ قیاسی کامل نیست، و چند جز بیشتر در داستان تقویت DNS وجود دارد، بنابراین بیایید جزئیات این حمله را با دقت بیشتری بررسی کنیم.

 

محصولاتی که شاید مایل به مشاهده آن باشید : خرید نود 32

 

حمله تقویت DNS چگونه کار می کند؟

 

 

 

در یک حمله DNS، عوامل مخرب از عملکرد عادی سیستم نام دامنه (DNS) - "address book" اینترنت - استفاده می کنند و از آن به عنوان سلاحی علیه وب سایت قربانی مورد نظر استفاده می کنند. هدف این است که وب سایت را با درخواست های جعلی جستجوی DNS که پهنای باند شبکه را تا حدی مصرف می کند که سایت از کار بیفتد، پر کند.

برای درک نحوه عملکرد حمله، اجازه دهید در سطح بالا نحوه عملکرد DNS را دوباره بررسی کنیم. هنگامی که کاربر www.example.com را در مرورگر خود تایپ می کند، DNS سرویس اینترنتی است که آن درخواست را می پذیرد، آدرس IP اختصاص داده شده به آن نام دامنه را پیدا می کند و آن را به مرورگر می فرستد تا مشتری بتواند به آن وب سایت متصل شود.

 

یک فرآیند خاص برای یافتن آن آدرس وجود دارد که با بررسی دستگاه کاربر کش محلی خود شروع می شود. اگر یافت نشد، سرورهای DNS (حل‌کننده) ارائه‌دهنده خدمات اینترنت (ISP) اختصاص داده شده را پرس و جو کنید. اگر یافت نشد، از طریق سلسله مراتبی از حل‌کننده‌های DNS در سراسر اینترنت تا زمانی که آدرس IP پیدا شود، ادامه دهید. در داخل، یک شبکه شرکتی معمولاً فقط درخواست‌های DNS را برای کارمندان خود حل می‌کند، اما اینترنت مملو از حل‌کننده‌های DNS «باز» و در دسترس عموم است که درخواست‌های DNS را برای هر کسی - از جمله مهاجمان - حل می‌کند. با استفاده از این حل‌کننده‌های باز، مهاجمان می‌توانند بسیاری از درخواست‌های جعلی را بدون برافراشتن پرچم قرمز ارسال کنند.

 

به یاد داشته باشید، هدف آنها تبدیل درخواست های DNS نسبتا کوچک به پاسخ های بزرگ است. یک درخواست معمولی DNS (فقط چند خط متن) بسیار کوچک است - معمولاً در ده ها بایت - و پاسخی را که فقط کمی بزرگتر است برمی گرداند. همانطور که در شکل زیر نشان داده شده است، یک پاسخ DNS واقعی (غیر مخرب) ممکن است دارای ضریب تقویت 1.5 یا کمتر باشد.

 

 

 

 

مهاجمان برای رسیدن به هدف خود، درخواست‌های DNS را به گونه‌ای طراحی می‌کنند که به طور قابل‌توجهی اندازه پاسخ را تقویت می‌کند. یکی از راه‌های انجام این کار این است که نه فقط آدرس IP سایتی مانند www.example.com، بلکه اطلاعات مربوط به کل دامنه را درخواست کنید (به عنوان مثال، استفاده از درخواست‌های DNS برای نوع رکورد "ANY")، بنابراین پاسخ ممکن است شامل شود. جزئیات مربوط به زیر دامنه ها، سرورهای پشتیبان، سرورهای پست الکترونیکی، نام های مستعار و موارد دیگر. ناگهان، یک درخواست DNS 10 بایتی می تواند پاسخی 10، 20 و حتی 50 برابر بزرگتر ایجاد کند.

 

 

 

 

نقش UDP در حملات تقویت DNS

اما، هنوز چه مشکلی در این تصویر بالا وجود دارد؟ پاسخ‌های DNS به مهاجم ارسال می‌شوند، نه به قربانی مورد نظر. اینجاست که پروتکل داده‌گرام کاربر (UDP) به مهاجمان کمک می‌کند.

اگر به تریلیون‌ها درخواست DNS که هر روز در سراسر اینترنت انجام می‌شود فکر می‌کنید، تبادل DNS باید با سرعتی بسیار سریع انجام شود. DNS برای این کار به UDP متکی است. سریع است زیرا وظیفه اصلی آن انتقال پیام ها بین منابع و مقاصد است. وظایف دیگری مانند تضمین تحویل یا اعتبارسنجی داده ها را انجام نمی دهد. همچنین سریع است زیرا یک پروتکل بدون اتصال است، به این معنی که "مکالمات" را پیگیری نمی کند، بنابراین هیچ راهی برای اطلاع از معتبر بودن آدرس IP منبع در یک درخواست ندارد.

 

بنابراین، مهاجمان در درخواست‌های DNS خود، آدرس IP منبع را به آدرس قربانی جعل می‌کنند. این استراتژی هم هویت مهاجم را پنهان می‌کند و هم تضمین می‌کند که تمام پاسخ‌های حل‌کننده DNS به جای حمله‌کننده به سیستم قربانی ارسال می‌شود. به این ترتیب، حل‌کننده‌های DNS به‌عنوان بازتاب‌کننده عمل می‌کنند، و پاسخ‌ها را به قربانی‌ای که هرگز درخواستی نکرده است، «باز می‌گردانند».

 

 

 

 

البته، برای موفقیت، یک مهاجم همچنان نیاز به ارسال پرس و جوهای متعدد DNS دارد و احتمالاً از چندین حل کننده DNS برای انجام این حمله استفاده خواهد کرد. مزیت این نوع حمله این است که به منابع زیادی از طرف مهاجم نیاز ندارد - یک بات نت ضروری نیست (اگرچه یک مهاجم قطعا می تواند از آن استفاده کند). با تلاش و منابع نسبتاً کمی، مهاجم می‌تواند درخواست‌های DNS را ایجاد کند که سایت قربانی را با ترافیک کافی بمباران کند تا عملکرد آن را به میزان قابل توجهی کاهش دهد یا آن را به طور کامل خاموش کند.

 

 

 

 

یکی از جز موجود در قیاس کامیون‌های با بار گسترده در آزادراه این است که بسته‌های UDP در اندازه معینی بزرگ‌تر از آن هستند که بدون شکسته شدن منتقل شوند. بنابراین، در حالی که مهاجم در تقویت قابل توجه پاسخ های DNS موفق است، زمانی که بسته ها به اندازه معینی می رسند، به بسته های کوچکتر تقسیم می شوند. در هر صورت، نتیجه خالص حمله همچنان یکسان است - سیستم قربانی همچنان بارگذاری می شود زیرا باید تمام آن بسته های تکه تکه شده را مدیریت کرده و دوباره آنها را جمع کند. نکته مهم دیگر این است که حمله همچنان به منابع نسبتا کمی از سوی مهاجم نیاز دارد.

 

در حالی که شناسایی حملات تقویت DNS نسبتاً آسان است (چون قربانی به طور ناگهانی با ترافیک یک آدرس IP جعلی مواجه می شود)، تشخیص هویت مهاجم به همین دلیل تقریباً غیرممکن است - زیرا آدرس IP منبع جعلی است. انجام این حملات برای مهاجمان آسان است، زیرا بسیاری از DNS های قابل دسترسی عمومی در اینترنت وجود دارد (برخی در هر زمان میلیون ها نفر تخمین می زنند)، و هویت واقعی مهاجم پنهان می ماند. به همین دلیل، محبوبیت این حملات در حال افزایش است و متأسفانه، هر وب سایت یا سرویس قابل دسترسی به اینترنت می تواند یک هدف بالقوه باشد.

 

نحوه دفاع در برابر حملات تقویت DNS

اگرچه حملات تقویت DNS منجر به انکار سرویس می شود، اما نمی توان در برابر حملات DDoS سنتی - به عنوان مثال، با مسدود کردن آدرس های IP منبع خاص - از آنها دفاع کرد، زیرا به نظر می رسد ترافیک منبع قانونی است و از DNS معتبر و قابل دسترسی عمومی است. حل کننده ها (مسدود کردن تمام ترافیک از حل‌کننده‌های باز می‌تواند به طور بالقوه برخی از درخواست‌های قانونی را مسدود کند.) با این حال، سازمان‌ها می‌توانند اقداماتی را برای کمک به دفاع در برابر چنین حملاتی انجام دهند.

 

امنیت خروجی

اول، سازمان‌ها باید اطمینان حاصل کنند که همه مشتریان - از سرورها گرفته تا دستگاه‌های IoT - از سرورهای DNS داخلی محلی استفاده می‌کنند که پیکربندی شده‌اند تا فقط درخواست‌های DNS را از داخل سازمان مدیریت کنند. در نهایت، هیچ ترافیک DNS نباید از شبکه سازمان خارج شود که از این سرورهای داخلی نشات گرفته باشد.

 

بسیاری از حملات، مانند DDoS، ممکن است، زیرا فایروال‌های سازمانی به ترافیکی که به مقصد اینترنت است اجازه می‌دهد از آدرس‌های IP منبع جعلی استفاده کند. به طور معمول، هنگام ارسال ترافیک به سیستم دیگری، یک دستگاه داخلی (شبکه ای) (لپ تاپ، چاپگر، سرور و غیره) یک آدرس IP منبع داخلی دارد، یعنی آدرسی که با شبکه داخلی مطابقت دارد. با این حال، در مورد دستگاه‌های در معرض خطر، مهاجم ممکن است ترافیک را با استفاده از یک آدرس IP عمومی به عنوان منبع جعلی ارسال کند. فایروال های محیطی با پیکربندی ضعیف می توانند به این ترافیک اجازه دهند بدون علامت به اینترنت منتقل شوند. سازمان ها باید اطمینان حاصل کنند که تمام ترافیکی که از شبکه آنها منشأ می گیرد و به اینترنت محدود می شود، دارای یک آدرس IP منبع است که در واقع به شبکه داخلی تعلق دارد.

 

امنیت ورودی

هر پاسخ DNS که به شبکه‌های یک سازمان می‌آید باید برای سرورهای DNS که درخواست‌های خروجی را مدیریت می‌کنند و هرگز به هیچ نقطه پایانی دیگری ارسال نشود. به این ترتیب، سازمان می تواند هر گونه پاسخ DNS را که برای آن سرورهای DNS نیست، مسدود کند. استفاده از یک فایروال آگاه از DNS نیز می تواند کمک کند، با اجازه دادن به بازگشت ترافیک به شبکه فقط از درخواست هایی که در واقع به سرورهای DNS محلی خود سازمان ارسال شده اند. به عبارت دیگر، برای هر پاسخ دریافتی باید یک درخواست DNS منطبق وجود داشته باشد، در غیر این صورت ترافیک مسدود خواهد شد.

 

سازمان‌ها همچنین می‌توانند از DNS Anycast استفاده کنند، که حجم ترافیک DNS را در سرورهای بسیاری از مکان‌ها توزیع می‌کند و به طور موثر ترافیک DNS را متعادل می‌کند تا هیچ سروری به تنهایی بارگذاری نشود.

 

علاوه بر موارد فوق، اگر میزان ترافیک ورودی اتصال شبکه را اشباع می کند، سازمان ها باید با ISP های خود همکاری نزدیکی داشته باشند تا ترافیک بالادستی را مسدود کنند. در حالی که راه حل های ISP اغلب ارزان ترین هستند، معمولا کمترین انعطاف را دارند. به همین دلیل، بسیاری از سازمان‌ها استفاده از سرویس حفاظتی DDoS (پاک کردن) شخص ثالث را انتخاب می‌کنند که احتمال توقف حمله را قبل از ورود به شبکه سازمان افزایش می‌دهد.

 

راه های کاهش حملات تقویت DNS

 

▪ سرورهای DNS محلی را طوری پیکربندی کنید که فقط درخواست‌های DNS را از داخل سازمان مدیریت کنند.

▪ از یک فایروال آگاه DNS استفاده کنید تا فقط به پاسخ‌های DNS اجازه ورود به شبکه را بدهید که با درخواست‌های ارسال شده از سرورهای DNS محلی مطابقت دارند.

▪ از DNS Anycast برای توزیع ترافیک استفاده کنید و از بارگذاری بیش از حد هر یک از سرورهای DNS خودداری کنید.

▪ در صورت امکان، از یک سرویس محافظت از DDoS (پاک کردن) شخص ثالث استفاده کنید.