کلاهبرداری در سامانه نام دامنه

کلاهبرداری در سامانه نام دامنه (DNS spoofing)، همچنین به عنوان آلوده‌کردن کش سامانه نام‌ دامنه (DNS cache poisoning)، یک نوع از هک امنیتی کامپیوتر است که در آن اطلاعات فاسد سیستم نام دامنه به حافظه پنهان کننده نام دامنه (DNS resolver's cache) معرفی شده است ،موجب می شود سرور نام یک نتیجه نادرست رکورد را ارسال کند، به عنوان مثال یک آدرس IP . این باعث می شود که ترافیک به کامپیوتر مهاجم (یا هر کامپیوتر دیگر) هدایت شود.

یک سرور سیستم نام دامنه یک نام دامنه قابل خواندن انسان را (مانند example.com) را به یک آدرس عددی یعنی آی‌پی که برای ارتباط بین گره ها استفاده می شود ترجمه می‌کند .

به طور معمول اگر سرور یک ترجمه درخواستی را نمی داند، از یک سرور دیگر درخواست می کند و روندبه طور بازگشتی ادامه می یابد . برای افزایش کارایی، یک سرور معمولا (حافظه پنهان) این ترجمه ها برای مقدار مشخصی از زمان به یاد خواهد داشت .

این به این معنی است که اگر یک درخواست دیگر برای همان ترجمه دریافت کند، می تواند بدون نیاز به درخواست از سرورهای دیگر پاسخ دهد، تا زمانی که آن حافظه پنهان حذف شود.

هنگامی که یک سرور DNS ترجمه غلطی دریافت کرده و آن را برای بهینه سازی عملکرد ذخیره می کند، مسموم در نظر گرفته میشود و داده های دروغین را به مشتریان می دهد. اگر یک سرور DNS مسموم شده باشد، ممکن است یک آدرس IP نادرست را برگرداند، انتقال ترافیک به یک کامپیوتر دیگر (اغلب یک مهاجم). ^[۱]

حملات آلوده سازی کش[ویرایش]

معمولاً یک کامپیوتر تحت شبکه، از یک سرور DNS که توسط ارائه دهنده خدمات اینترنت (ISP) یا یک سازمان خدمات اینترنتی فراهم می‌شود، استفاده می‌کند.

سرورهای DNS به طور کلی به منظور بهبود وضوح عملکرد پاسخ با استفاده از ذخیره کردن نتایج بدست آمده از پرس و جوها، در شبکهٔ یک سازمان مستقر می‌شوند.

حملات مسموم کننده روی یک سرور DNS، می‌توانند کاربرانی که به طور مستقیم توسط سرور اسیب دیده سرویس داده می‌شوند یا به طور غیر مستقیم توسط سرور(های) پایین دست آن، در صورت قابل اجرا بودن، تحت تأثیر قرار بدهند. ^{^{[نیازمند منبع]}}

برای انجام یک حملهٔ مسموم کننده کش، مهاجم از نقص موجود در نرم‌افزار DNS سوء استفاده می کند . یک سرور به درستی باید پاسخ های DNS را تأیید کند تا اطمینان حاصل شود که از منابع معتبر هستند (برای مثال با استفاده از DNSSEC )؛در غیر این صورت سرور ممکن است به صورت محلی، کش کردن ورودی‌های نادرست را متوقف کند و این ورودی‌ها را به کاربرانی که درخواست مشابه داده بودند، می‌دهد.

این حمله می تواند برای تغییر مسیر کاربران از یک وب سایت به سایت دیگری از انتخاب مهاجم استفاده شود. برای مثال، یک مهاجم ورودی‌های آدرس آی‌پی "DNS" را برای یک سایت هدف، روی سرور "DNS" داده شده، جعل می‌کند و آن‌ها را با آدرس آی‌پی سروری که تحت کنترل خودشان است، جایگزین می‌کند. مهاجم سپس بر روی سرور تحت کنترلش فایل‌هایی با نام‌هایی همانند فایل‌های روی سرور هدف، ایجاد می‌کند. این فایل‌ها معمولا شامل محتوای مخرب، مانند کرم های کامپیوتری یا ویروس ها هستند .کاربری که رایانه‌اش مورد ارجاع سرور "DNS" مسموم شده قرار گرفته‌است، می‌تواند به پذیرش محتوایی که از یک سرور نامعتبر می‌آید فریفته شده و ندانسته، محتوای مخرب را دانلود کند. این روش همچنین می تواند برای حملات فیشینگ مورد استفاده قرار گیرد، جایی که یک نسخه ساختگی از یک وب سایت واقعی برای جمع آوری اطلاعات شخصی مانند جزئیات کارت بانکی و اعتباری/بدهی ایجاد شده است.

انواع[ویرایش]

در انواع زیر، ورودی‌ها برای سرور ns.target.example می‌تواند مسموم شده و به سمت سرور نام مهاجم در آدرس آی‌پی w.x.y.z هدایت شود. این حمله‌ها بر این فرض استوار است که سرور نام برای target.example عبارت است از ns.target.example.^{^{[نیازمند منبع]}}

برای انجام حملات،مهاجم باید سرور "DNS" هدف را مجبور به دادن درخواستی برای یک دامنه که تحت کنترل سرور نام مهاجم است، کند.^{^{[نیازمند منبع]}}

سرور نامِ دامنهٔ هدف را تغییر مسیر دهید[ویرایش]

اولین نوع آلوده کردن کش DNS، شامل هدایت کردن سرور نام دامنهٔ مهاجم به سرور نام دامنهٔ هدف و سپس نسبت دادن یک آدرس آی‌پی مشخص شده توسط مهاجم به سرور نام است.

درخواست سرور DNS: رکوردهای آدرس برای subdomain.attacker.example چیست؟

              subdomain.attacker.example.  IN A

پاسخ مهاجم:

                                       :Answer

                                  (no response)

                               :Authority section
  .attacker.example. 3600 IN NS ns.target.example
                              :Additional section

                  ns.target.example. IN A w.x.y.z

یک سرور آسیب‌پذیر، آدرس آی‌پی اضافی را برای ns.target.example,کش خواهد کرد، که به مهاجم اجازه می‌دهد پرس و جوها به تمام دامنهٔ target.example را برطرف کند.

تغییر مسیر رکورد سرور نام به دامنه هدف دیگر[ویرایش]

نوع دوم از آلودگی کش DNS، شامل تغییر مسیر سرور نام دامنهٔ دیگر است که با درخوست اصلی به یک آدرس آی‌پی که توسط مهاجم مشخص شده‌است، نامربوط است. ^{^{[نیازمند منبع]}}

درخواست سرور DNS: رکوردهای آدرس برای subdomain.attacker.example چیست؟

                subdomain.attacker.example. IN A

پاسخ مهاجم:

                                        :Answer

                                  (no response)
                             :Authority section
  .target.example 3600 IN NS ns.attacker.exampl            

                            :Additional section
               ns.attacker.example.  IN A  wxyz

یک سرور آسیب‌پذیر، اطلاعات نامربوط را برای رکورد سرور نام target.example (ورودی نام دامنه) کش خواهند کرد؛ که به مهاجم اجازه می‌دهد پرس و جوها را به تمام دامنهٔ target.example تغییر دهد.

پیشگیری و مقابله با آن[ویرایش]

می‌توان با استفاده از اعتماد کمتر نسبت به اطلاعاتی که از طریق سایر سرور های DNS و نادیده گرفتن هر رکورد DNS که به عقب برگردانده شده و مستقیماً به پرس و جو مرتبط نیستند، جلوی بسیاری از حملات مسموم کننده کش را گرفت.

به عنوان مثال، نسخه های BIND 9.5.0-P1 ^[۲] و بالاتر، این بررسی ها را انجام می دهند. ^[۳] تصادف پورت منبع برای درخواستهای DNS، همراه با استفاده از اعداد تصادفی رمزنگاری شده برای انتخاب هر دو پورت منبع و nonce رمزنگاری 16 بیتی، احتمالا احتمال حملات موفقیت آمیز DNS را کاهش می دهد.

با این حال، هنگامی که مسیریاب ها، فایروال ها، پروکسی ها و سایر دستگاه های دروازه ای،کار ترجمه آدرس شبکه (NAT) ،یا به طور خاص، ترجمه آدرس پورت (PAT) را انجام می دهند،به منظور ردیابی حالت ارتباط، پورت‌های مبدأ را دوباره‌نویسی می‌کنند. به هنگام تغییر پورت‌های مبدأ، دستگاه های PAT، ممکن است پورت‌های مبدأ که توسط سرور نام به صورت تصادفی پیاده‌سازی شده‌اند را پاک کرده وجایگزین می‌کند. ^{^{[نیازمند منبع]}}

DNS امن (DNSSEC) از امضای الکترونیکی رمزنگاری امضا شده توسط یک گواهی کلید عمومی معتبر برای مشخص کردن اصالت داده‌ها، استفاده می‌کند. DNSSEC می‌تواند با حملات مسموم کننده مقابله کند، اما از سال ۲۰۰۸ تا الآن به طور گسترده توسعه نیافته است. در سال 2010، DNSSEC در سرورهای های منطقهٔ ریشهٔ اینترنت پیاده‌سازی شد. ^[۴]

این نوع حملات می‌توانند در لایه حمل و نقل یا لایه کاربردی، هنگامی که ارتباط برقرار شد، با اعتبارسنجی نقطه به نقطه، کاهش یابند.

یک مثال معمول از این استفاده از امنیت لایه حمل و نقل و امضای دیجیتال است . برای مثال، با استفاده از HTTPS (نسخه امن HTTP )، کاربران می‌توانند چک کنند که آیا گواهی دیجیتالی سرور معتبر است و متعلق به صاحب مورد انتظار وب سایت است. به طور مشابه، پوسته امن برنامه ورود به سیستم از راه دور ، گواهینامه های دیجیتال را در نقطه های پایانی (اگر شناخته شده) قبل از ادامه جلسه، بررسی می کند. برای برنامه های کاربردی که بارها به صورت خودکار دانلود می شوند، برنامه می تواند یک کپی از گواهی امضای خود را به صورت محلی جاسازی کند و امضا ذخیره شده در بروزرسانی نرم افزار را در برابر گواهی جاسازی شده تأیید کند. ^{^{[نیازمند منبع]}}

همچنین نگاه کنید[ویرایش]

This article "کلاهبرداری در سامانه نام دامنه" is from Wikipedia. The list of its authors can be seen in its historical and/or the page Edithistory:کلاهبرداری در سامانه نام دامنه. Articles copied from Draft Namespace on Wikipedia could be seen on the Draft Namespace of Wikipedia and not main one.

This page exists already on Wikipedia.

↑ Son, Sooel; Shmatikov, Vitaly. "The Hitchhiker's Guide to DNS Cache Poisoning" (PDF). Cornell University. Retrieved April 3, 2017.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.
↑ "BIND Security Matrix". ISC Bind. Retrieved 11 May 2011.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.
↑ "ISC Bind Security". ISC Bind. Retrieved 11 May 2011.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.
↑ "Root DNSSEC". ICANN/Verisign. p. 1. Retrieved 5 January 2012.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.

Facebook Page

Follow us on Twitter !

Read or create/edit this page in another language[ویرایش]

کلاهبرداری در سامانه نام دامنه in English

[1] Son, Sooel; Shmatikov, Vitaly. "The Hitchhiker's Guide to DNS Cache Poisoning" (PDF). Cornell University. Retrieved April 3, 2017.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.

[2] "BIND Security Matrix". ISC Bind. Retrieved 11 May 2011.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.

[3] "ISC Bind Security". ISC Bind. Retrieved 11 May 2011.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.

[rootdnssec-4] "Root DNSSEC". ICANN/Verisign. p. 1. Retrieved 5 January 2012.صفحه پودمان:Citation/CS1/en/styles.css محتوایی ندارد.

[۱]

[۲]

[۳]

[۴]