امروز،
دزدی DNS چیست و برای مقابله با آن چه کنیم؟
در دنیای امروزی، حفظ امینت دستگاههای مختلف در مقابل هکرها به خودی خود مشکل است. اما همان طور که در این هفته WikiLeaks یادآوری کرد، روشی وجود دارد که هکرها به وسیلهی آن حتی بدون دست زدن مستقیم
میتوانند کنترل کل سایت شما در اختیار بگیرند. در این روش با استفاده از زیرساختهای اینترنت، کنترل بازدیدکنندههای لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید سایت شما در دسترس هکرها قرار میگیرد و حتی میتوانند ایمیلها را قبل از رسیدن به شبکهی شما بخوانند.
صبح روز گذشته، بازدیدکنندگان سایت WikiLeaks.org مشاهده کردند اطلاعاتی که قبلاً بر روی این سایت منتشر شده بود دیگر در دسترس نیست، در عوض پیامی تمسخرآمیز از طرف گروه هکری OurMine در سایت وجود دارد.
موسس ویکیلیکس، ژولیان آسانژ (Julian Assange)، در توئیتر خود توضیح داد که سایت ظاهراً از طریق DNS، یا سامانهی نام دامنه، با استفاده از یک روش قدیمی موسوم به دزدی DNS هک شده است. بر این اساس، احتمالاً
نفوذی به سرورهای سایت صورت نگرفته است. گروه OurMine برای جابجا کردن بازدیدکنندهها به مقصد مورد نظر خود، از یک لایهی اساسیتر خود اینترنت استفاده کردند.
دزدی DNS چیست؟
در دزدی DNS، از چگونگی عملکرد سامانهی نام دامنه به عنوان دفتر تلفن اینترنت استفاده میشود. به عبارت لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید دقیقتر، مرورگر چندین دفتر تلفن را بررسی کرده و هر دفتر به مرورگر میگوید که برای قدم بعدی باید به
کدام دفتر مراجعه شود، تا در نهایت، دفتر اصلی محل سروری که سایت در آن میزبانی شده را نشان میدهد، و کاربر به سایت درخواستی خود میرسد. وقتی آدرسی مثل Google.com را در مرورگر خود وارد میکنید،
سرورهای DNS که توسط اشخاص ثالث میزبانی شدهاند، مثل ثبت کنندهی دامنهی سایت، این نام را به آدرس IP سروری که اطلاعات سایت در آن میزبانی شده ترجمه میکنند.
یکی از محققان امنیتی شرکت F5 Networks که تاکنون مقالههای زیادی دربارهی DNS و چگونگی لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید امکان هک شدن آن توسط هکرها نوشته است، میگوید: «DNS اساساً اسم شما در جهان است. مردم با این اسم شما
را میشناسند. اگر کسی سرِ چشمه برود و به آن ورودیهای اشتباه بدهد، همهی ترافیک سایت شما مثل ایمیلها و سایر سرویسهایی که مقصدشان شما بودید به محل دیگری منتقل میشود.»
پیدا کردن DNS یک فرآیند پیچ در پیچ و کاملاً از کنترل وبسایت مقصد خارج است. برای ترجمهی دامنه به آدرس IP، مرورگر از یک سرور DNS – که توسط سرویس دهندهی اینترنت شما میزبانی شده – آدرس محل دامنه را میپرسد،
این سرور سپس مجدداً همین سوال را از سرور DNS که توسط نام دامنههای سطح اول (سازمانهایی که مسئول دامنههایی مثل com. یا org. هستند) یا ثبت کنندهی دامنه میزبانی شده میپرسد. بعد این سوال دوباره از
سرور DNS وبسایت پرسیده میشود. هر هکری که بتواند در مکانی از این زنجیره بازدیدکننده را به یک مقصد اشتباه بفرستد، میتواند طوری جلوه دهد که انگار سایت از کار افتاده یا حتی کاربران را به وبسایتی بفرستد که خودش کنترل آن را در دسترس دارد.
Pompon میگوید: « فرآیند پرسوجو و بازگشت اطلاعات روی سرور افراد دیگر انجام میشود. فقط در انتها بازدیدکننده به سرور شما میرسد.»
در مورد ویکیلیکس، به طور واضح مشخص نیست که مهاجم به کدام بخش زنجیره دسترسی یافته، یا چطور موفق شده بخشی از مخاطبان این سایت را به سایت خود منتقل کند. (ویکیلیکس با استفاده از یک محافظ
امنیتی موسوم به HTTPS Strict Trasport Security موفق شد از تغییر مسیر خیلی از بازدیدکنندهها جلوگیری کند و فقط یک پیغام خطا به آنها نشان دهد.) ولی به نظر نمیرسد که OurMine برای انجام این حمله نیازمند
نفوذ عمیقی به درون شبکهی ثبت کنندهی دامنه بوده باشد. با یک مهندسی اجتماعی ساده میتوان از طریق ایمیل یا لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید تماس تلفنی از مدیران شرکتهای ثبت کننده مثل Dynadot یا GoDaddy خواست تا آدرس IP محل سرورها را تغییر دهند.
دزدی DNS میتواند عواقب وخیمی داشته باشد. اگر این کار به دست هکرهایی پلیدتر از گروه OurMine انجام میشد، آنها میتوانستند منابع ویکیلیکس را به سایت جعلی خودشان منتقل کنند تا هویت گردانندگان آن را فاش کنند.
به گزارش بخش تحقیقات شرکت Kaspersky، در اکتبر ۲۰۱۶، هکرها برای تغییر مسیر ترافیک ۳۶ مورد از بانکهای برزیلی از روش دزدی DNS استفاده کردند. تا حدود ۶ ساعت، کل ترافیک این بانکها به صفحات فیشینگی منتقل میشد
که روی کامپیوتر کاربران بدافزار نصب میکرد. محقق شرکت کسپراسکای دمیتری بستوژف (Dmitry Bestuzhev) در ماه آوریل که کسپراسکای این حمله لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید را فاش کرده به Wired گفته بود: «یقیناً همهی ساز و کارهای آنلاین بانکها تحت کنترل مهاجمین است.»
در یک حادثهی دزدی DNS دیگر در سال ۲۰۱۳، هکرهایی موسوم به ارتش الکترونیک سوری کنترل وبسایت خبری نیویورک تایمز را در دست گرفتند. و احتمالاً در بزرگترین حملهی DNS چند سال اخیر، هکرها با استفاده از باتنت Mirai که
از دستگاههای اینترنت چیزها تشکیل شده بود، به سرورهای Dyn حمله کردند و باعث شدند سایتهای بزرگ زیادی مثل آمازون، توئیتر و ردیت (Reddit) ساعتها از دسترس خارج شوند.
مقابله با دزدی DNS
هیچ روشی برای محافظت قطعی در مقابل این نوع حملات که حتی به ویکیلیکس و نیویورک تایمز آسیب زدند، وجود ندارد، اما تدابیر مقابلهای خاصی میتوان در نظر داشت. مدیران سایتها میتوانند از سرویسهای ثبت دامنهای استفاده
کنند که دارای فاکتورهای چندگانهی احراز هویت باشند، یعنی مثلاً اگر کسی خواست تنظیمات DNS یک سایت را تغییر دهد باید به Google Authenticator یا Yubikey مدیر سایت لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید دسترسی داشته باشد. به این روش تنظیمات DNS فقط به دست مدیر سایت و به خواست خود ثبت کننده قابل تغییر خواهد بود.
در غیر این صورت، خیلی راحت با دزدی DNS میتوان کنترل کامل ترافیک سایت را در اختیار گرفت، و جلوگیری از این مسئله هم به کلی از توان شما خارج است.
در دنیای امروزی، حفظ امینت دستگاههای مختلف در مقابل هکرها به خودی خود مشکل است. اما همان طور که در این هفته WikiLeaks یادآوری کرد، روشی وجود دارد که هکرها به وسیلهی آن حتی بدون دست زدن مستقیم
میتوانند کنترل کل سایت شما در اختیار بگیرند. در این روش با استفاده از زیرساختهای اینترنت، کنترل بازدیدکنندههای لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید سایت شما در دسترس هکرها قرار میگیرد و حتی میتوانند ایمیلها را قبل از رسیدن به شبکهی شما بخوانند.
صبح روز گذشته، بازدیدکنندگان سایت WikiLeaks.org مشاهده کردند اطلاعاتی که قبلاً بر روی این سایت منتشر شده بود دیگر در دسترس نیست، در عوض پیامی تمسخرآمیز از طرف گروه هکری OurMine در سایت وجود دارد.
موسس ویکیلیکس، ژولیان آسانژ (Julian Assange)، در توئیتر خود توضیح داد که سایت ظاهراً از طریق DNS، یا سامانهی نام دامنه، با استفاده از یک روش قدیمی موسوم به دزدی DNS هک شده است. بر این اساس، احتمالاً
نفوذی به سرورهای سایت صورت نگرفته است. گروه OurMine برای جابجا کردن بازدیدکنندهها به مقصد مورد نظر خود، از یک لایهی اساسیتر خود اینترنت استفاده کردند.
دزدی DNS چیست؟
در دزدی DNS، از چگونگی عملکرد سامانهی نام دامنه به عنوان دفتر تلفن اینترنت استفاده میشود. به عبارت لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید دقیقتر، مرورگر چندین دفتر تلفن را بررسی کرده و هر دفتر به مرورگر میگوید که برای قدم بعدی باید به
کدام دفتر مراجعه شود، تا در نهایت، دفتر اصلی محل سروری که سایت در آن میزبانی شده را نشان میدهد، و کاربر به سایت درخواستی خود میرسد. وقتی آدرسی مثل Google.com را در مرورگر خود وارد میکنید،
سرورهای DNS که توسط اشخاص ثالث میزبانی شدهاند، مثل ثبت کنندهی دامنهی سایت، این نام را به آدرس IP سروری که اطلاعات سایت در آن میزبانی شده ترجمه میکنند.
یکی از محققان امنیتی شرکت F5 Networks که تاکنون مقالههای زیادی دربارهی DNS و چگونگی لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید امکان هک شدن آن توسط هکرها نوشته است، میگوید: «DNS اساساً اسم شما در جهان است. مردم با این اسم شما
را میشناسند. اگر کسی سرِ چشمه برود و به آن ورودیهای اشتباه بدهد، همهی ترافیک سایت شما مثل ایمیلها و سایر سرویسهایی که مقصدشان شما بودید به محل دیگری منتقل میشود.»
پیدا کردن DNS یک فرآیند پیچ در پیچ و کاملاً از کنترل وبسایت مقصد خارج است. برای ترجمهی دامنه به آدرس IP، مرورگر از یک سرور DNS – که توسط سرویس دهندهی اینترنت شما میزبانی شده – آدرس محل دامنه را میپرسد،
این سرور سپس مجدداً همین سوال را از سرور DNS که توسط نام دامنههای سطح اول (سازمانهایی که مسئول دامنههایی مثل com. یا org. هستند) یا ثبت کنندهی دامنه میزبانی شده میپرسد. بعد این سوال دوباره از
سرور DNS وبسایت پرسیده میشود. هر هکری که بتواند در مکانی از این زنجیره بازدیدکننده را به یک مقصد اشتباه بفرستد، میتواند طوری جلوه دهد که انگار سایت از کار افتاده یا حتی کاربران را به وبسایتی بفرستد که خودش کنترل آن را در دسترس دارد.
Pompon میگوید: « فرآیند پرسوجو و بازگشت اطلاعات روی سرور افراد دیگر انجام میشود. فقط در انتها بازدیدکننده به سرور شما میرسد.»
در مورد ویکیلیکس، به طور واضح مشخص نیست که مهاجم به کدام بخش زنجیره دسترسی یافته، یا چطور موفق شده بخشی از مخاطبان این سایت را به سایت خود منتقل کند. (ویکیلیکس با استفاده از یک محافظ
امنیتی موسوم به HTTPS Strict Trasport Security موفق شد از تغییر مسیر خیلی از بازدیدکنندهها جلوگیری کند و فقط یک پیغام خطا به آنها نشان دهد.) ولی به نظر نمیرسد که OurMine برای انجام این حمله نیازمند
نفوذ عمیقی به درون شبکهی ثبت کنندهی دامنه بوده باشد. با یک مهندسی اجتماعی ساده میتوان از طریق ایمیل یا لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید تماس تلفنی از مدیران شرکتهای ثبت کننده مثل Dynadot یا GoDaddy خواست تا آدرس IP محل سرورها را تغییر دهند.
دزدی DNS میتواند عواقب وخیمی داشته باشد. اگر این کار به دست هکرهایی پلیدتر از گروه OurMine انجام میشد، آنها میتوانستند منابع ویکیلیکس را به سایت جعلی خودشان منتقل کنند تا هویت گردانندگان آن را فاش کنند.
به گزارش بخش تحقیقات شرکت Kaspersky، در اکتبر ۲۰۱۶، هکرها برای تغییر مسیر ترافیک ۳۶ مورد از بانکهای برزیلی از روش دزدی DNS استفاده کردند. تا حدود ۶ ساعت، کل ترافیک این بانکها به صفحات فیشینگی منتقل میشد
که روی کامپیوتر کاربران بدافزار نصب میکرد. محقق شرکت کسپراسکای دمیتری بستوژف (Dmitry Bestuzhev) در ماه آوریل که کسپراسکای این حمله لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید را فاش کرده به Wired گفته بود: «یقیناً همهی ساز و کارهای آنلاین بانکها تحت کنترل مهاجمین است.»
در یک حادثهی دزدی DNS دیگر در سال ۲۰۱۳، هکرهایی موسوم به ارتش الکترونیک سوری کنترل وبسایت خبری نیویورک تایمز را در دست گرفتند. و احتمالاً در بزرگترین حملهی DNS چند سال اخیر، هکرها با استفاده از باتنت Mirai که
از دستگاههای اینترنت چیزها تشکیل شده بود، به سرورهای Dyn حمله کردند و باعث شدند سایتهای بزرگ زیادی مثل آمازون، توئیتر و ردیت (Reddit) ساعتها از دسترس خارج شوند.
مقابله با دزدی DNS
هیچ روشی برای محافظت قطعی در مقابل این نوع حملات که حتی به ویکیلیکس و نیویورک تایمز آسیب زدند، وجود ندارد، اما تدابیر مقابلهای خاصی میتوان در نظر داشت. مدیران سایتها میتوانند از سرویسهای ثبت دامنهای استفاده
کنند که دارای فاکتورهای چندگانهی احراز هویت باشند، یعنی مثلاً اگر کسی خواست تنظیمات DNS یک سایت را تغییر دهد باید به Google Authenticator یا Yubikey مدیر سایت لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید دسترسی داشته باشد. به این روش تنظیمات DNS فقط به دست مدیر سایت و به خواست خود ثبت کننده قابل تغییر خواهد بود.
در غیر این صورت، خیلی راحت با دزدی DNS میتوان کنترل کامل ترافیک سایت را در اختیار گرفت، و جلوگیری از این مسئله هم به کلی از توان شما خارج است.
لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید
لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید
لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید
لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید
لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید
لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید
لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید
لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید
لینک قابل نمایش نیست . لطفا ثبت نام کنید و یا وارد سایت شوید