حمله DNS Hijacking چیست و چگونه از آن جلوگیری کنیم؟

DNS در حل آدرس هایی(URLs) که در نوار آدرس مرورگر خود وارد می کنید مهم است. کار زیادی برای حل نام دامنه(Domain Name Resolution) انجام می شود . این یک نوع عملیات بازگشتی است که به مرورگر شما کمک می کند تا آدرس IP وب سایتی را که می خواهید به آن دسترسی پیدا کنید را دریافت کند. اگر علاقه مند هستید، می توانید درباره جستجوی DNS و سرورها(DNS Lookup and Servers) بیشتر بخوانید .

اصطلاح کش DNS به کش(DNS Cache) محلی اشاره دارد که حاوی آدرس های IP حل شده وب سایت هایی است که شما به آنها مراجعه می کنید. ایده DNS Cache صرفه جویی در زمانی است که در غیر این صورت صرف تماس با سرورهای DNS می شود که مجموعه ای از عملیات بازگشتی را برای یافتن آدرس IP واقعی URL که باید به آن دسترسی داشته باشید شروع می کنند. اما این کش می تواند توسط مجرمان سایبری به سادگی با تغییر ورودی های کش DNS به آدرس های IP جعلی برای وب سایت هایی که استفاده می کنید مسموم شود.

dns-hijacking

DNS Hijacking چیست؟

همانطور که از نام آن پیداست، DNS Hijacking یا Redirection روشی است که توسط مجرمان سایبری برای ربودن تلاش مرورگر شما برای حل کردن آدرس IP وبسایتی که می‌خواهید بارگیری کنید، استفاده می‌کنند. برای سهولت استفاده، URL هایی(URLs) که استفاده می کنیم در قالب متن هستند. برای هر URL ، یک آدرس IP وجود دارد، و مجموعه ای از عملیات برای تبدیل URL متنی به یک آدرس IP عددی انجام می شود. از آنجایی که عملیات های زیادی در حل آدرس IP وجود دارد، مجرمان سایبری می توانند از این تاخیر استفاده کرده و یک آدرس IP جعلی متعلق به آنها را به رایانه شما ارسال کنند.

رایج ترین روش برای ربودن DNS(common method for DNS Hijacking) این است که بر روی رایانه خود بدافزاری را نصب کنید که DNS را تغییر می دهد به طوری که هر زمان که مرورگر شما سعی می کند URL را حل کند، به جای سرورهای (URL)DNS واقعی که توسط ICANN استفاده می شود، با یکی از سرورهای (ICANN)DNS جعلی تماس می گیرد (مرجع اینترنت(Internet) که مسئولیت ثبت دامنه ها، مدیریت آنها، ارائه آدرس های IP، نگهداری آدرس های تماس و موارد دیگر را بر عهده دارد. سرورهای DNS(DNS) مستقیمی که رایانه شما با آنها تماس می گیرد، سرورهای DNS هستند که توسط ارائه دهنده خدمات اینترنت شما اداره می شوند -(Internet Service Provider –)مگر اینکه آنها را به چیز دیگری تغییر داده باشید. هنگامی که یک اتصال اینترنتی خریداری می شود، سرورهای DNS در حال استفاده از ISP هستند -(ISP –) توسط ICANN شناخته شده است.

بدافزار موجود در رایانه شما DNS پیش فرض مورد اعتماد رایانه شما را تغییر می دهد تا به آدرس IP دیگری اشاره کند. به این ترتیب، هنگامی که مرورگر شما سعی می کند یک آدرس IP را حل کند، رایانه شما با یک سرور DNS جعلی تماس می گیرد که آدرس IP اشتباهی را به شما می دهد. این باعث می شود مرورگر شما یک وب سایت مخرب بارگیری کند که ممکن است رایانه شما را به خطر بیندازد یا اعتبار شما را بدزدد و غیره.

ربودن DNS(DNS Hijacking) در مقابل مسمومیت کش DNS(DNS Cache)

اگرچه هر دو در سطح محلی اتفاق می‌افتند، منشأ آنها از سرورهای DNS جعلی است. در حالی که ربودن DNS شامل بدافزار(DNS hijacking involves malware) است، مسمومیت کش DNS شامل بازنویسی حافظه پنهان DNS محلی شما با مقادیر جعلی(DNS Cache poisoning involves overwriting your local DNS cache with fake values) است که مرورگر شما را به وب سایت های مخرب هدایت می کند. DNS Cache Poisoning یا Spoofing(DNS Cache Poisoning or Spoofing) شامل تکنیک هایی مانند بمباران آدرس های IP جعلی است که رایانه شما در حالی که سرورهای DNS واقعی هنوز مشغول حل کردن URL هستند، دریافت می کند. یعنی در مدت زمانی که سرورهای DNS واقعی برای حل یک URL نیاز دارند ، مجرمان سایبری پاسخ‌های زیادی را ارسال می‌کنند که URL را با آدرس‌های IP جعلی برابر می‌کنند.

به عنوان مثال، شما thewindowsclub.com را در مرورگر خود تایپ می کنید. زمانی که یک سرور DNS(DNS) واقعی آدرس‌ها را جستجو می‌کند، رایانه شما بیش از یک وضوح دریافت می‌کند که سایت در آدرس IP XYZ(XYZ IP) است. این باعث می‌شود رایانه شما باور کند که سایت در XYZ است، حتی اگر سرور DNS اصلی آدرس IP واقعی را ارسال کند، زیرا سرورهای DNS مجرمان سایبری پاسخ‌های بسیاری حاوی IP جعلی را برای thewindowsclub.com ارسال کردند.

این تفاوت در زمان به طور موثر توسط مجرمان سایبری استفاده می شود که سرورهای DNS(DNS) جعلی زیادی دارند تا آدرس های IP اشتباه و مخرب رایانه شما را در حافظه پنهان ثبت کنند. بنابراین یکی از ده قطعنامه جعلی DNS ارسال شده توسط سرورهای (DNS)DNS مجرمان سایبری بر یک قطعنامه DNS واقعی ارسال شده توسط سرورهای (DNS)DNS واقعی ارجحیت دارد . سایر روش های مسمومیت و پیشگیری از کش DNS(DNS Cache Poisoning) در لینک ارائه شده در بالا ذکر شده است.

اگرچه DNS Cache Poisoning و DNS Hijacking به جای یکدیگر استفاده می شوند، تفاوت کوچکی بین آنها وجود دارد. روش DNS Cache Poisoning شامل تزریق بدافزار به سیستم رایانه شما نمی شود، بلکه مبتنی بر روش های مختلفی است مانند روشی که در بالا توضیح داده شد که در آن سرورهای DNS جعلی وضوح (DNS)URL را سریعتر از سرور DNS واقعی ارسال می کنند و در نتیجه حافظه پنهان مسموم می شود. هنگامی که حافظه پنهان مسموم می شود، هنگامی که از یک وب سایت آلوده استفاده می کنید، رایانه شما در معرض خطر قرار می گیرد. در مورد DNS Hijacking ، شما قبلاً آلوده شده اید. یک بدافزار DNS پیش فرض شما را تغییر می دهد(DNS)ارائه دهنده خدمات به چیزی که مجرمان سایبری می خواهند. و از آنجا، وضوح URL شما را کنترل می کنند (جستجوهای (URL)DNS )، و سپس به مسموم کردن کش DNS شما ادامه می دهند.(DNS)

چگونه از سرقت DNS جلوگیری کنیم

ما قبلا در مورد نحوه جلوگیری از مسمومیت DNS(prevent DNS poisoning) بحث کرده ایم . برای متوقف کردن یا جلوگیری از ربودن DNS(DNS Hijacking) ، توصیه می‌شود از نرم‌افزار امنیتی خوب(good security software) استفاده کنید که بدافزار مانند تغییر دهنده‌های DNS را دور نگه می‌دارد. استفاده از فایروال(Firewall) خوب در حالی که یک فایروال مبتنی بر سخت افزار بهترین است، اگر آن را ندارید، می توانید حداقل فایروال روتر خود را روشن کنید.

اگر فکر می کنید قبلاً آلوده شده اید، بهتر است محتویات فایل HOSTS را(HOSTS file) حذف کرده  و فایل Hosts را ریست کنید(reset the Hosts File) . پس از انجام این کار، ادامه دهید و از آنتی بدافزار استفاده کنید که به شما کمک می کند از شر DNS Changers خلاص شوید .

بررسی کنید که آیا تغییر دهنده DNS DNS شما را تغییر داده است یا خیر . اگر چنین است، باید تنظیمات DNS خود را تغییر دهید(change your DNS settings) . شما می توانید آن را به طور خودکار بررسی کنید. از طرف دیگر، می توانید DNS را به صورت دستی بررسی کنید. با بررسی DNS ذکر شده در روتر(Router) و سپس در رایانه های جداگانه در شبکه خود شروع کنید. توصیه می‌کنم کش DNS ویندوز خود را پاک کنید و (flush your Windows DNS Cache)DNS روتر خود را به DNS دیگری مانند Comodo DNS ، Open DNS، Google Public DNS، Yandex Secure DNS، Angel DNS و غیره تغییر دهید. یک DNS امن(DNS)در روتر بهتر از پیکربندی هر کامپیوتر است.

ابزارهایی وجود دارد که ممکن است برای شما جالب باشد(There are tools that may interest you) : F-Secure Router Checker ربودن (F-Secure Router Checker)DNS را بررسی می کند ، این ابزار آنلاین ربایش DNS را بررسی می کند و ابزار امنیتی WhiteHat ربوده شدن DNS را بررسی می کند.

اکنون بخوانید(Now read) : ربودن دامنه چیست و چگونه دامنه ربوده شده را بازیابی کنیم.



ابریشم رسولی

About the author

من یک متخصص کامپیوتر هستم و از سال 2009 به مردم در زمینه کامپیوترشان کمک می‌کنم. مهارت‌های من شامل آیفون، نرم‌افزار، گجت‌ها و غیره است. من همچنین در چهار سال گذشته به عنوان مربی کار کرده ام. در آن زمان، یاد گرفتم که چگونه به مردم کمک کنم تا برنامه های جدید را یاد بگیرند و چگونه از دستگاه های خود به روشی حرفه ای استفاده کنند. من از دادن نکاتی در مورد چگونگی بهبود مهارت هایم لذت می برم تا همه بتوانند در کار یا مدرسه موفق باشند.


Related posts