حمله مجدد DNS روشی پیچیده است که توسط عوامل مخرب برای سوء استفاده از مرورگرهای وب و مکانیسم های امنیتی آنها استفاده می شود. از اعتماد ذاتی به DNS (سیستم نام دامنه) برای دور زدن سیاست همان مبدأ (SOP) اعمال شده توسط مرورگرهای وب استفاده می کند. این حمله می تواند برای هدف قرار دادن کاربرانی که از وب سایت هایی بازدید می کنند که با سرویس های شبکه تعامل دارند، مانند روترها، دوربین ها، چاپگرها یا حتی سیستم های داخلی شرکت استفاده شود. با دستکاری پاسخهای DNS، مهاجمان میتوانند به اطلاعات حساس دسترسی غیرمجاز داشته باشند، کد دلخواه را اجرا کنند یا سایر اقدامات مخرب را انجام دهند.
تاریخچه منشا حمله مجدد DNS و اولین اشاره به آن
مفهوم پیوند مجدد DNS برای اولین بار توسط دانیل بی جکسون در پایان نامه کارشناسی ارشد خود در سال 2005 معرفی شد. با این حال، این حمله پس از کشف پیاده سازی های عملی برای بهره برداری از مرورگرهای وب در سال 2007 مورد توجه قرار گرفت. جرمیا گروسمن، کارشناس امنیت برنامه های کاربردی وب، پست وبلاگ در سال 2007 توضیح می دهد که چگونه می توان از دوباره بایندینگ DNS برای دور زدن SOP و به خطر انداختن دستگاه های شبکه در پشت فایروال قربانی استفاده کرد. از آن زمان، دوباره بایندینگ DNS به موضوع مورد علاقه مهاجمان و مدافعان تبدیل شده است.
اطلاعات دقیق در مورد حمله مجدد DNS
حمله مجدد DNS شامل یک فرآیند چند مرحلهای است که در آن مهاجمان مرورگرهای وب قربانیان را فریب میدهند تا درخواستهای ناخواسته به دامنههای دلخواه ارسال کنند. حمله به طور کلی مراحل زیر را دنبال می کند:
-
دسترسی اولیه: قربانی از یک وب سایت مخرب بازدید می کند یا فریب می خورد تا روی یک پیوند مخرب کلیک کند.
-
وضوح دامنه: مرورگر قربانی یک درخواست DNS برای حل دامنه مرتبط با وب سایت مخرب ارسال می کند.
-
پاسخ مشروع کوتاه مدت: در ابتدا، پاسخ DNS حاوی یک آدرس IP است که به سرور مهاجم اشاره می کند. با این حال، این آدرس IP به سرعت به یک IP قانونی مانند یک روتر یا یک سرور داخلی تغییر می کند.
-
دور زدن خط مشی یکسان: با توجه به کوتاه بودن TTL (Time-To-Live) پاسخ DNS، مرورگر قربانی منشاء مخرب و منشاء قانونی را یکسان می داند.
-
بهره برداری: کد جاوا اسکریپت مهاجم اکنون می تواند درخواست های متقاطع را به دامنه قانونی ارسال کند و از آسیب پذیری ها در دستگاه ها و سرویس های قابل دسترسی از آن دامنه سوء استفاده کند.
ساختار داخلی حمله مجدد DNS. نحوه عملکرد حمله مجدد DNS
برای درک ساختار داخلی یک حمله دوباره بایندینگ DNS، بررسی اجزای مختلف درگیر ضروری است:
-
وب سایت مخرب: مهاجم میزبان یک وب سایت با کد جاوا اسکریپت مخرب است.
-
سرور DNS: مهاجم یک سرور DNS را کنترل می کند که به درخواست های DNS برای دامنه مخرب پاسخ می دهد.
-
دستکاری TTL: سرور DNS در ابتدا با یک مقدار کوتاه TTL پاسخ می دهد و باعث می شود که مرورگر قربانی برای مدت کوتاهی پاسخ DNS را در حافظه پنهان نگه دارد.
-
هدف قانونی: سرور DNS مهاجم بعداً با یک آدرس IP متفاوت پاسخ می دهد و به یک هدف قانونی (مثلاً یک منبع شبکه داخلی) اشاره می کند.
-
دور زدن خط مشی یکسان: با توجه به کوتاه بودن TTL، مرورگر قربانی دامنه مخرب و هدف قانونی را به عنوان یک مبدا در نظر می گیرد و درخواست های متقاطع را فعال می کند.
تجزیه و تحلیل ویژگی های کلیدی حمله DNS rebinding
حمله مجدد DNS چندین ویژگی کلیدی را نشان می دهد که آن را به یک تهدید قوی تبدیل می کند:
-
پنهان کاری: از آنجایی که این حمله از مرورگر قربانی و زیرساخت DNS استفاده می کند، می تواند از اقدامات امنیتی سنتی شبکه فرار کند.
-
بهره برداری متقاطع: به مهاجمان اجازه می دهد تا SOP را دور بزنند و آنها را قادر می سازد با دستگاه ها یا سرویس های شبکه ای که باید از طریق وب غیرقابل دسترسی باشند، تعامل داشته باشند.
-
پنجره زمان کوتاه: حمله به مقدار کوتاه TTL برای جابجایی سریع بین آدرسهای IP مخرب و قانونی متکی است و تشخیص و کاهش آن را چالش برانگیز میکند.
-
بهره برداری از دستگاه: پیوند مجدد DNS اغلب دستگاههای IoT و تجهیزات شبکهای را که ممکن است دارای آسیبپذیریهای امنیتی باشند، هدف قرار میدهد و آنها را به بردارهای حمله بالقوه تبدیل میکند.
-
زمینه کاربر: حمله در زمینه مرورگر قربانی رخ می دهد و به طور بالقوه امکان دسترسی به اطلاعات حساس یا جلسات تأیید شده را می دهد.
انواع حملات DNS rebinding
انواع مختلفی از تکنیک های حمله مجدد DNS وجود دارد که هر کدام ویژگی ها و اهداف خاصی دارند. در اینجا چند نوع رایج وجود دارد:
تایپ کنید | شرح |
---|---|
کلاسیک DNS Rebinding | سرور مهاجم برای دسترسی به منابع داخلی مختلف پاسخ DNS را چندین بار تغییر می دهد. |
Single A Rebinding Rebinding | پاسخ DNS فقط شامل یک آدرس IP است که به سرعت به IP داخلی هدف تغییر می کند. |
در حال بایند شدن مجدد میزبان مجازی | این حمله از میزبان های مجازی در یک آدرس IP واحد سوء استفاده می کند و سرویس های مختلف را در همان سرور هدف قرار می دهد. |
Rebinding مبتنی بر زمان | پاسخهای DNS در فواصل زمانی مشخص تغییر میکنند و به مرور زمان به سرویسهای مختلف دسترسی پیدا میکنند. |
حمله مجدد DNS چالش های امنیتی جدی ایجاد می کند و کاربردهای بالقوه آن عبارتند از:
-
دسترسی غیرمجاز: مهاجمان می توانند به دستگاه های شبکه داخلی دسترسی پیدا کرده و آنها را دستکاری کنند که منجر به نقض داده ها یا کنترل غیرمجاز می شود.
-
افزایش امتیاز: اگر یک سرویس داخلی دارای امتیازات بالا باشد، مهاجمان می توانند از آن برای به دست آوردن حقوق دسترسی بالاتر سوء استفاده کنند.
-
استخدام بات نت: دستگاه های اینترنت اشیا که از طریق پیوند مجدد DNS به خطر افتاده اند، می توانند برای فعالیت های مخرب بیشتر در بات نت ها استخدام شوند.
برای رفع مشکلات مرتبط با پیوند مجدد DNS، راه حل های مختلفی ارائه شده است، مانند:
-
اعتبار سنجی پاسخ DNS: حلکنندههای DNS و کلاینتها میتوانند تکنیکهای اعتبارسنجی پاسخ را برای اطمینان از قانونی بودن و عدم دستکاری پاسخهای DNS پیادهسازی کنند.
-
توسعه سیاست همان مبدأ: مرورگرها می توانند فاکتورهای دیگری را فراتر از آدرس IP در نظر بگیرند تا مشخص کنند که آیا دو مبدا یکسان هستند یا خیر.
-
تقسیم بندی شبکه: تقسیم بندی صحیح شبکه ها می تواند قرار گرفتن دستگاه ها و سرویس های داخلی در معرض حملات خارجی را محدود کند.
مشخصات اصلی و سایر مقایسه ها با اصطلاحات مشابه در قالب جداول و فهرست
مشخصه | حمله مجدد DNS | اسکریپت بین سایتی (XSS) |
---|---|---|
هدف | دستگاه ها و خدمات شبکه ای | برنامه های کاربردی وب و کاربران |
بهره برداری می کند | دور زدن خط مشی یکسان | تزریق کد و ربودن جلسه |
اصل و نسب | شامل دستکاری DNS است | به طور مستقیم به صفحات وب حمله می کند |
تأثیر | دسترسی و کنترل غیرمجاز | سرقت و دستکاری داده ها |
جلوگیری | اعتبار سنجی پاسخ DNS | پاکسازی ورودی و کدگذاری خروجی |
همانطور که اینترنت و اکوسیستم اینترنت اشیا به تکامل خود ادامه میدهند، تهدیدات حملات DNS مجدداً به تکامل خواهند رسید. در آینده می توان انتظار داشت:
-
تکنیک های پیشرفته فرار: مهاجمان ممکن است روش های پیچیده تری را برای فرار از شناسایی و کاهش ایجاد کنند.
-
امنیت DNS بهبود یافته است: زیرساخت ها و پروتکل های DNS ممکن است برای ارائه مکانیسم های امنیتی قوی تری در برابر چنین حملاتی تکامل یابند.
-
دفاع مبتنی بر هوش مصنوعی: هوش مصنوعی و یادگیری ماشین نقش مهمی در شناسایی و متوقف کردن حملات پیوند مجدد DNS در زمان واقعی ایفا خواهند کرد.
چگونه می توان از سرورهای پروکسی استفاده کرد یا با حمله مجدد DNS مرتبط شد
سرورهای پراکسی نقش دوگانه ای را در مورد حملات DNS ایفا می کنند. آنها می توانند هم اهداف بالقوه و هم مدافعان ارزشمندی باشند:
-
هدف: اگر یک سرور پراکسی پیکربندی اشتباهی داشته باشد یا دارای آسیبپذیری باشد، میتواند به نقطه ورود مهاجمان برای راهاندازی حملات مجدد DNS علیه شبکههای داخلی تبدیل شود.
-
مدافع: از سوی دیگر، سرورهای پروکسی می توانند به عنوان واسطه بین کلاینت ها و منابع خارجی عمل کنند که می تواند به شناسایی و جلوگیری از پاسخ های DNS مخرب کمک کند.
برای ارائه دهندگان سرور پروکسی، مانند OneProxy، بسیار مهم است که به طور مداوم سیستم های خود را نظارت و به روز کنند تا در برابر حملات DNS مجدداً بایند شوند.
لینک های مربوطه
برای اطلاعات بیشتر در مورد حمله مجدد DNS، میتوانید منابع زیر را بررسی کنید:
به یاد داشته باشید، آگاه ماندن از آخرین تکنیکهای حمله و اتخاذ بهترین شیوههای امنیتی برای محافظت در برابر اتصال مجدد DNS و سایر تهدیدات نوظهور ضروری است.