DNS که مخفف Domain Name System است یک وظیفه دارد و آن اینکه نام دامنه ی مورد نظر را گرفته و IP میزبان آن دامنه را بازگرداند. این سرویس در تمام دنیا استاندارد و یکسان است که مدیریت اصلی آن توسط سه ISP بزرگ در امریکا مدیریت می شود. پس هر درخواستی برای باز کردین صفحات Web در نهایت به این سه ISP می رسد و آن ها نیز نتیجه را بازمی گردانند.
این ISPها خدمات خدمات خود را به زیر شبکه هایی تقسیم کرده اند، مانند com،net،org،ir و ... که هر کدام از این دامنه ها توسط یک مجموعه سرور مدیریت می گردند. و دامین یا همان نام دامنه .ir که مربوط به ایران است در پژوهشگاه فیزیک نظری مدیریت می شود. همین خروج درخواست ها از حدود مرزهای رایانه ای کشور که ناشی از محلی نبودن (Local) نام ها و آدرس هاست خطراتی را در پی دارد که امنیت اطلاعات را به خطر می اندازد، چرا که اگر کسی بتواند در خواست ها را به سمتی غیر از مسیر اصلی هدایت کند در کار آن اخلال ایجاد کرده است. حتی اگر این اخلال یه وقفه ی چند لحظه ای در رسیدن پیام باشد نوعی از حمله رخ داده است. تغییر مسیر بسته های درخواستی حاوی اطلاعات که همان مشخصات فنی سایت مود نظر است می تواند یک گام پیش از رسیدن این بسته ها به میزبان اصلی آن رخ دهد و شاید چندین گام قبل تر.
DNS-Attack چیست؟
حالا یک نمونه ی ساده از حمله ی DNS را تشریح می کنیم.
در گام اول کاربر با IP خود یک سوال DNS به سرور DNS خود که در تنظیمات TCP/IP خود ثبت است ارسال می کند و HP سایت مورد نظر را می پرسد.
از گام دوم تا گام هفتم دیگر در اختیار کاربر نیست. (البته ذکر یک نکته لازم است که منظور ما از کاربر اینترنت کسی است که با Valid IP با اینترنت در ارتباط است و نه کاربران داخل شبکه های کوچک و بزرگ خصوصی). اما در کل اتفاق هایی که از گام دوم تا هفتم رخ می دهد به این شرح است. DNSسرور اصلی که کاربر با آن ارتباط دارد از سایت مورد نظر اطلاعاتی ندارد، پس مجبور است از DNSسرور دیگری که با آن در ارتباط است و نیز آدرس سایت های مورد نظر را می داند همین سوال را بپرسد. DNSسرور دوم نیز با سوال و جواب از سایر DNSسرورهای بزرگتر که این خدمات را به تمام جهان عرضه می کنند، IP سایت مورد نظر را به DNSسرور اولی باز می گرداند و آن نیز IP را به کاربر می دهد. اما در یک حمله، جریان کار اینگونه نیست و از آنجا که حمله ی DNS هزاران نوع و روش دارد که هر کدام نیز صدها شکل خاص و روش های متفاوتی دارند، ما یک نمونه ی کلی آن را به عنوان مثال بیان می کنیم.
گام اول: مهاجم با ارسال سیگنالی سیستم در خطر (که خود می تواند یک سرور باشد) را با استفاده از نرم افزاری مانند netboot مجبور به ارسال یک درخواست از DNSسرور اصلی می کند.
گام دوم: خود مهاجم سریعا پاسخ را که همان IP جعلی (Spoofed) سایت مورد نظر است را به سیستم کاربر باز می گرداند سپس DNSسرور مورد حمله، به گمان این که IP سایت مورد نظر تغییر کرده است پیامی را به تمام DNSسرورهای قربانی می فرستد و آن ها نیز سریعا اقدام به تغییر IP مورد نظر می کنند.
گام سوم: کاربران که درخواست IP سایت مورد نظر را ارسال می کنند در نهایت صفحه ی سایت غیر اصلی که مورد نظر (iroit.ir) مهاجم بوده است را دریافت می کنند و تا وقتی که DNSسرورها با اطلاعات جعلی ارائه ی خدمات کنند راهی برای دسترسی به سایت مورد نظر نیست و این اتفاق یعنی هدایت اطلاعات به جایی غیر از مسیر اصلی در جایی و زمانی رخ می دهد که نه میزبان و نه کاربر، هیچ کدام نقشی ندارند و حفاظت از آن به عهده ی مالکین خطوط ارتباطی است. امروزه بیش از یک و نیم میلیون DNSسرور به بیش از ده میلیون نام دامنه خدمات ارائه می دهند.
این ISPها خدمات خدمات خود را به زیر شبکه هایی تقسیم کرده اند، مانند com،net،org،ir و ... که هر کدام از این دامنه ها توسط یک مجموعه سرور مدیریت می گردند. و دامین یا همان نام دامنه .ir که مربوط به ایران است در پژوهشگاه فیزیک نظری مدیریت می شود. همین خروج درخواست ها از حدود مرزهای رایانه ای کشور که ناشی از محلی نبودن (Local) نام ها و آدرس هاست خطراتی را در پی دارد که امنیت اطلاعات را به خطر می اندازد، چرا که اگر کسی بتواند در خواست ها را به سمتی غیر از مسیر اصلی هدایت کند در کار آن اخلال ایجاد کرده است. حتی اگر این اخلال یه وقفه ی چند لحظه ای در رسیدن پیام باشد نوعی از حمله رخ داده است. تغییر مسیر بسته های درخواستی حاوی اطلاعات که همان مشخصات فنی سایت مود نظر است می تواند یک گام پیش از رسیدن این بسته ها به میزبان اصلی آن رخ دهد و شاید چندین گام قبل تر.
DNS-Attack چیست؟
حالا یک نمونه ی ساده از حمله ی DNS را تشریح می کنیم.
در گام اول کاربر با IP خود یک سوال DNS به سرور DNS خود که در تنظیمات TCP/IP خود ثبت است ارسال می کند و HP سایت مورد نظر را می پرسد.
از گام دوم تا گام هفتم دیگر در اختیار کاربر نیست. (البته ذکر یک نکته لازم است که منظور ما از کاربر اینترنت کسی است که با Valid IP با اینترنت در ارتباط است و نه کاربران داخل شبکه های کوچک و بزرگ خصوصی). اما در کل اتفاق هایی که از گام دوم تا هفتم رخ می دهد به این شرح است. DNSسرور اصلی که کاربر با آن ارتباط دارد از سایت مورد نظر اطلاعاتی ندارد، پس مجبور است از DNSسرور دیگری که با آن در ارتباط است و نیز آدرس سایت های مورد نظر را می داند همین سوال را بپرسد. DNSسرور دوم نیز با سوال و جواب از سایر DNSسرورهای بزرگتر که این خدمات را به تمام جهان عرضه می کنند، IP سایت مورد نظر را به DNSسرور اولی باز می گرداند و آن نیز IP را به کاربر می دهد. اما در یک حمله، جریان کار اینگونه نیست و از آنجا که حمله ی DNS هزاران نوع و روش دارد که هر کدام نیز صدها شکل خاص و روش های متفاوتی دارند، ما یک نمونه ی کلی آن را به عنوان مثال بیان می کنیم.
گام اول: مهاجم با ارسال سیگنالی سیستم در خطر (که خود می تواند یک سرور باشد) را با استفاده از نرم افزاری مانند netboot مجبور به ارسال یک درخواست از DNSسرور اصلی می کند.
گام دوم: خود مهاجم سریعا پاسخ را که همان IP جعلی (Spoofed) سایت مورد نظر است را به سیستم کاربر باز می گرداند سپس DNSسرور مورد حمله، به گمان این که IP سایت مورد نظر تغییر کرده است پیامی را به تمام DNSسرورهای قربانی می فرستد و آن ها نیز سریعا اقدام به تغییر IP مورد نظر می کنند.
گام سوم: کاربران که درخواست IP سایت مورد نظر را ارسال می کنند در نهایت صفحه ی سایت غیر اصلی که مورد نظر (iroit.ir) مهاجم بوده است را دریافت می کنند و تا وقتی که DNSسرورها با اطلاعات جعلی ارائه ی خدمات کنند راهی برای دسترسی به سایت مورد نظر نیست و این اتفاق یعنی هدایت اطلاعات به جایی غیر از مسیر اصلی در جایی و زمانی رخ می دهد که نه میزبان و نه کاربر، هیچ کدام نقشی ندارند و حفاظت از آن به عهده ی مالکین خطوط ارتباطی است. امروزه بیش از یک و نیم میلیون DNSسرور به بیش از ده میلیون نام دامنه خدمات ارائه می دهند.
1 Comment:
ممنون
ارسال یک نظر
» لطف کنید و دربارهی یادداشت بنویسید. اگر مطلب چیز دیگریست، میتوانید از طریق فرم «تماس با من»، با من مکاتبه کنید. بالای وبلاگ پیدایش میکنید.
» نظرات حاوی مطالب توهینآمیز -حالا به هر کسی که میخواهد باشد- حذف خواهند شد.
» فارسی بنویسید و برای نمایش درست آدرس وبلاگتان، "//:http" را فراموش نکنید.
» پاسخ کامنتتان را همینجا بینید.