DNS Cache Poisoning

مسمومیت کَش DNS، که به عنوان حقه یا کلاهبرداری DNS نیز شناخته می شود، نوعی حمله است که از آسیب پذیری در سیستم نام دامنه (DNS) برای منحرف ساختن ترافیک اینترنت از سرورهای قانونی و معطوف ساختن آنها به سوی سرورهای جعلی بهره برداری می کند.

یکی از دلایل خطرناک بودن مسمومیت کَش دی ان اس آن است که از سرور دی ان اسی به سرور دی ان اسی گسترش می یابد. در سال 2010، یک رویداد مسمومیت DNS در دیواره آتش بزرگ چین رُخ داد که به طور موقت از مرزهای ملی چین گریخت، اینترنت را در ایالات متحده سانسور کرد تا اینکه این مشکل برطرف گردید.

چگونگی کارکرد DNS

هر زمان که رایانه تان با نام دامنه ای همانند ” google.com ” ارتباط برقرار نماید، نخست می بایست با سرور دی ان اس آن مرتبط گردد. سرور دی ان اس پاسخگوی یک یا چندین نشانی IP است جایی که رایانه تان می تواند به google.com دسترسی یابد. رایانه تان سپس به طور مستقیم به آن نشانی IP عددی متصل می شود. دی ان اس نشانی های قابل خواندن انسانی همانند ” google.com ” را به نشانی های IP قابل خواندن رایانه ای همانند ” 173.194.67.102 ” تبدیل می کند.

توصیه می شود این مطلب را بخوانید: HTG توضیح می دهد: DNS چیست؟

DNS Cache Poisoning2

ذخیره سازی DNS

اینترنت تنها از یک سرور دی ان اس تکی برخوردار نیست، تا به عنوان چیزی بسیار ناکارآمد شناخته شود. ارائه دهنده خدمات اینترنتی شما سرورهای دی ان اس خود را اجرا می کند، که اطلاعات را از سرورهای دی ان اس دیگری ذخیره می کنند. روتر خانگی شما به عنوان یک سرور دی ان اس عمل می کند، که اطلاعات را از سرورهای دی ان اس ISP تان دریافت و ذخیره می سازد. رایانه تان از یک حافظه نهان (کَش) دی ان اس محلی برخوردار است، بنابراین می تواند به سرعت به ارجاعات دی ان اسی مراجعه کند که به تازگی اجرا شده است، به جای آنکه دوباره بارها و بارها یک ارجاع دی ان اس را اجرا نماید.

DNS Cache Poisoning_DNS Lookup-Command

مسمومیت کَش DNS

یک حافظه نهان (کَش) دی ان اس می تواند مسموم شود چنانچه شامل یک ورودی نادرست باشد. به عنوان نمونه، چنانچه یک مهاجم، کنترل یک سرور دی ان اس را به دست گیرد و برخی از اطلاعات روی آن را تغییر دهد – برای مثال، آنها می توانند بگویند که google.com در واقع به یک نشانی IP که متعلق به مهاجم است اشاره کند – تا سرور دی ان اس به کاربرانش بگوید که در نشانی نادرستی به دنبال Google.com بگردند. نشانی مهاجم می تواند شامل برخی از انواع وبگاه های فیشینگ مخرب باشد.

مسمومیت دی ان اس شبیه به این نیز می تواند گسترش یابد. به عنوان نمونه، چنانچه ارائه دهندگان خدمات اینترنتی مختلف در حال دریافت اطلاعات دی ان اس شان از سرور به خطر افتاده باشند، ورودی دی ان اس مسموم به ارائه دهندگان خدمات اینترنتی گسترش می یابد و در آنجا ذخیره می شود. سپس این، به روترهای خانگی گسترش یافته و کَش های دی ان اس بر روی رایانه ها از آنجا که آنها به ورودی دی ان اس مراجعه می کنند، پاسخ نادرست را دریافت کرده و آن را ذخیره می سازند.

DNS Cache Poisoning3

گسترش دیواره آتش بزرگ چین به ایالات متحده

این تنها یک مشکل فرضی نیست؛ این مشکل در جهان واقعی در مقیاسی بزرگ اتفاق افتاده است. یکی از شیوه های عملکرد دیواره آتش بزرگ چین (China’s Great Firewall) از طریق مسدود سازی در سطح دی ان اس است. به عنوان نمونه، یک وبگاه مسدود شده در چین، همچون twitter.com ، ممکن است ثبت یا رکوردهای دی ان اس آن به یک نشانی نادرست بر روی سرورهای دی ان اس در چین اشاره داشته باشند. این امر به غیر قابل دسترسی شدن توییتر از طریق روش های معمول می انجامد. به این فکر کنید که چین دانسته و به عمد در حال مسموم سازی کَش های سرور دی ان اس خودش است.

در سال 2010، یک ارائه دهنده خدمات اینترنتی در بیرون از چین به اشتباه سرورهای دی ان اس خود را به گونه ای پیکربندی کرد تا اطلاعات را از سروهای دی ان اس در چین بیرون بکشد. این ارائه دهنده، رکوردهای دی ان اس نادرست را از چین گرفت و آنها را بر روی سرورهای دی ان اس خودش ذخیره ساخت. دیگر ارائه دهندگان خدمات اینترنتی اطلاعات دی ان اس را از آن ارائه دهنده خدمات اینترنتی گرفته و آن را بر روی سرورهای دی ان اس شان مورد استفاده قرار دادند. ورودی های دی ان اس مسموم  به گسترش خود تا برخی افراد در ایالات متحده ادامه دادند به طوری که دسترسی آنها را به توییتر، فیسبوک، و یوتیوب بر روی ارائه دهندگان خدمات اینترنتی آمریکایی شان مسدود ساختند. دیواره آتش بزرگ چین به بیرون از مرزهای ملی خود “رخنه” کرده، و از دسترسی مردم در هر کجای جهان به این وبگاه ها جلوگیری کرده بود. این به طور اساسی به عنوان یک حمله مسمومیت دی ان اس در مقیاسی بزرگ عمل کرده بود. (منبع.)

NASA-Blue Marble

راهکار

دلیل واقعی مسمومیت کَش دی ان اس و یک چنین مشکلی آن است که هیچ گونه شیوه واقعی برای تعیین و تشخیص اینکه آیا پاسخ های دی ان اسی که شما دریافت می کنید واقعا قانونی و مشروع هستند یا آیا آنها دستکاری شده اند وجود ندارد.

راهکار بلند مدت برای مسمومیت کَش دی ان اس، DNSSEC است. DNSSEC به سازمان ها اجازه می دهد تا ثبت یا رکوردهای دی ان اس شان را با استفاده از رمزنگاری کلید عمومی نشانه گذاری نمایند، که به شما این اطمینان را می بخشد که رایانه تان تشخیص خواهد داد که آیا یک رکورد دی ان اس می بایست مورد اعتماد واقع شود یا اینکه مسموم شده و شما را به یک مکان نادرست هدایت می کند.

توصیه می شود این مطلب را بخوانید: چگونه DNSSEC به امنیت اینترنت یاری خواهد رساند و چگونه SOPA تقریبا آن را غیرقانونی می سازد؟

منبع: HowToGeek