مسمومیت و جعل حافظه کش DNS - چیست؟

DNS مخفف Domain Name System است و به مرورگر کمک می کند تا آدرس IP یک وب سایت را پیدا کند تا بتواند آن را در رایانه شما بارگذاری کند. حافظه پنهان DNS(DNS cache) فایلی در رایانه شما یا ISP شما است که حاوی لیستی از آدرس های IP وب سایت هایی است که به طور منظم استفاده می شوند. این مقاله توضیح می دهد که مسمومیت کش DNS و جعل(DNS) DNS چیست .(DNS)

مسمومیت کش DNS

هر بار که کاربر یک URL وب سایت را در مرورگر خود تایپ می کند، مرورگر با یک فایل محلی ( DNS Cache ) تماس می گیرد تا ببیند آیا ورودی برای حل آدرس IP وب سایت وجود دارد یا خیر. مرورگر به آدرس IP وب سایت ها نیاز دارد تا بتواند به وب سایت متصل شود. نمی تواند به سادگی از URL برای اتصال مستقیم به وب سایت استفاده کند. باید در یک آدرس IP IPv4 یا IPv6 مناسب حل شود . اگر رکورد وجود داشته باشد، مرورگر وب از آن استفاده خواهد کرد. در غیر این صورت برای دریافت آدرس IP به سرور DNS می رود. (DNS)به این کار جستجوی DNS(DNS lookup) گفته می شود .

یک کش DNS بر روی رایانه شما یا رایانه سرور (DNS)DNS ISP شما ایجاد می شود تا زمان صرف شده برای جستجوی DNS(DNS) یک URL کاهش یابد. اساساً(Basically) کش های DNS فایل های کوچکی هستند که حاوی آدرس IP وب سایت های مختلف هستند که اغلب در رایانه یا شبکه استفاده می شوند. قبل از تماس با سرورهای DNS ، رایانه‌های موجود در شبکه با سرور محلی تماس می‌گیرند تا ببینند آیا ورودی در حافظه پنهان DNS وجود دارد یا خیر . اگر وجود داشته باشد، کامپیوترها از آن استفاده خواهند کرد. در غیر این صورت سرور با یک سرور DNS تماس می گیرد و آدرس IP را واکشی می کند. سپس DNS(DNS) محلی را به روز می کندکش با آخرین آدرس IP برای وب سایت.

هر ورودی در کش DNS بسته به سیستم عامل ها و دقت رزولوشن های DNS دارای محدودیت زمانی است. پس از پایان دوره، رایانه یا سرور حاوی حافظه پنهان DNS با سرور (DNS)DNS تماس گرفته و ورودی را به‌روزرسانی می‌کند تا اطلاعات صحیح باشد.
با این حال، افرادی هستند که می توانند حافظه پنهان DNS را برای فعالیت های مجرمانه مسموم کنند.

مسموم کردن حافظه نهان(Poisoning the cache) به معنای تغییر مقادیر واقعی URL ها(URLs) است. به عنوان مثال، مجرمان سایبری می توانند وب سایتی شبیه به xyz.com ایجاد کنند و رکورد DNS آن را در کش DNS خود وارد کنند. (DNS)بنابراین، وقتی xyz.com را در نوار آدرس مرورگر تایپ می‌کنید، مرورگر آدرس IP وب‌سایت جعلی را برمی‌دارد و شما را به جای وب‌سایت واقعی به آنجا می‌برد. به این میگن Pharming(Pharming) . با استفاده از این روش، مجرمان سایبری می‌توانند اعتبار ورود شما و سایر اطلاعات مانند جزئیات کارت، شماره امنیت اجتماعی، شماره تلفن و موارد دیگر را برای سرقت هویت(identity theft) از شما خارج کنند . DNSمسمومیت نیز برای تزریق بدافزار به رایانه یا شبکه شما انجام می شود. هنگامی که با استفاده از کش DNS مسموم وارد یک وب سایت جعلی می شوید، مجرمان می توانند هر کاری که می خواهند انجام دهند.(DNS)

گاهی اوقات، به جای کش محلی، مجرمان می توانند سرورهای DNS جعلی را نیز راه اندازی کنند تا در صورت درخواست، آدرس های IP جعلی را ارائه دهند. این مسمومیت با DNS سطح بالا است و بسیاری از کش های (DNS)DNS را در یک منطقه خاص خراب می کند و در نتیجه کاربران بیشتری را تحت تأثیر قرار می دهد.

درباره(Read about) : Comodo Secure DNS | OpenDNS | Google Public DNS | Yandex Secure DNS | فرشته DNS.

جعل کش DNS

DNS Cache Poisoning و Spoofing

DNS spoofing is a type of attack that involves impersonation of DNS server responses in order to introduce false information. In a spoofing attack, a malicious user attempts to guess that a DNS client or server has sent a DNS query and is waiting for a DNS response. A successful spoofing attack will insert a fake DNS response into the DNS server’s cache, a process known as cache poisoning. A spoofed DNS server has no way of verifying that DNS data is authentic, and will reply from its cache using the fake information.

DNS Cache Spoofing شبیه به DNS Cache Poisoning است، اما یک تفاوت کوچک وجود دارد. DNS Cache Spoofing مجموعه ای از روش هایی است که برای مسموم کردن کش DNS استفاده می شود. (DNS)این می تواند یک ورود اجباری به سرور یک شبکه کامپیوتری برای تغییر و دستکاری حافظه پنهان DNC باشد. این می تواند راه اندازی یک سرور DNS جعلی باشد تا پاسخ های جعلی هنگام پرس و جو ارسال شود. راه‌های زیادی برای مسموم کردن کش DNS وجود دارد و یکی از راه‌های رایج، جعل DNS Cache(DNS Cache Spoofing) است.

بخوانید(Read) : چگونه با استفاده از ipconfig متوجه شویم که آیا تنظیمات DNS رایانه شما به خطر افتاده است.

مسمومیت کش DNS - پیشگیری

روش های زیادی برای جلوگیری از مسمومیت کش DNS وجود ندارد. (DNS Cache)بهترین روش این است که سیستم های امنیتی خود را افزایش دهید(scale up your security systems) تا هیچ مهاجمی نتواند شبکه شما را به خطر بیاندازد و حافظه پنهان DNS محلی را دستکاری کند. از یک فایروال خوب(good firewall) استفاده کنید که بتواند حملات مسمومیت کش DNS را شناسایی کند. پاک کردن مکرر کش DNS نیز گزینه ای است که برخی از شما ممکن است در نظر بگیرید.(Clearing the DNS cache)(Clearing the DNS cache)

به غیر از افزایش مقیاس سیستم های امنیتی، مدیران باید سفت افزار و نرم افزار خود را به روز کنند(update their firmware and software) تا سیستم های امنیتی را به روز نگه دارند. سیستم عامل ها باید با آخرین به روز رسانی ها وصله شوند. هیچ پیوند خروجی شخص ثالثی نباید وجود داشته باشد. سرور باید تنها رابط بین شبکه و اینترنت(Internet) باشد و پشت یک فایروال خوب باشد.

روابط اعتماد سرورها(trust relations of servers) در شبکه باید بالاتر رود تا از هیچ سروری برای رزولوشن DNS درخواست نکنند. (DNS)به این ترتیب، تنها سرورهایی که گواهی‌های اصلی دارند، می‌توانند در حین حل کردن سرورهای DNS با سرور شبکه ارتباط برقرار کنند.

دوره هر ورودی در کش DNS باید کوتاه باشد تا رکوردهای (period)DNS به دفعات بیشتر واکشی شده و به روز شوند. این ممکن است به معنای دوره‌های زمانی طولانی‌تر برای اتصال به وب‌سایت‌ها (گاهی) باشد، اما احتمال استفاده از کش مسموم را کاهش می‌دهد.

قفل کش DNS(DNS Cache Locking) باید روی سیستم ویندوز(Windows) شما روی 90٪ یا بیشتر پیکربندی شود. قفل کش در (Cache)ویندوز سرور(Windows Server) به شما امکان می دهد کنترل کنید که آیا اطلاعات موجود در کش DNS می توانند رونویسی شوند یا خیر. برای اطلاعات بیشتر در این مورد به TechNet(TechNet) مراجعه کنید .

از DNS Socket Pool استفاده کنید زیرا سرور (DNS Socket Pool)DNS را قادر می‌سازد تا از تصادفی‌سازی پورت منبع هنگام صدور پرس و جوهای DNS استفاده کند. (DNS)TechNet می‌گوید: این امر امنیت بیشتری را در برابر حملات مسمومیت حافظه پنهان فراهم می‌کند.

پسوندهای امنیتی سیستم نام دامنه (DNSSEC)(Domain Name System Security Extensions (DNSSEC)) مجموعه ای از برنامه های افزودنی برای سرور ویندوز(Windows Server) است که امنیت را به پروتکل DNS اضافه می کند. (DNS)شما می توانید در این مورد بیشتر بخوانید(here) .

دو ابزار وجود دارد که ممکن است برای شما جالب باشد(There are two tools that may interest you) : F-Secure Router Checker ربودن DNS را بررسی می کند و ابزار امنیتی WhiteHat ربوده شدن DNS را بررسی می کند.

اکنون بخوانید: (Now read:) ربودن DNS(What is DNS Hijacking) چیست؟

مشاهده و نظرات استقبال می شود.(Observation and comments are welcome.)



زاب رجایی

About the author

من یک مهندس نرم افزار با بیش از 10 سال سابقه در زمینه مهندسی ویندوز هستم. من در توسعه برنامه‌های مبتنی بر ویندوز، و همچنین سخت‌افزار و درایورهای صوتی برای نسل بعدی سیستم‌عامل ویندوز مایکروسافت، ویندوز 11، تخصص دارم. تجربه من در ساخت برنامه‌های ویندوز، من را برای هر شرکتی که به دنبال توسعه محصولات فناوری نوآورانه است، دارایی ارزشمندی می‌کند.


Related posts