هجمات الـ Domain Name System (DNS)

و مع هذه الأهميه للDNS يعد أحد أكثر الأجزاء التي تم التغاضي عنها عندما تقوم أي منظمة بإجراء تشديد أمني لبنيتها التحتية. لأن العديد من المنظمات لا تدرك أن DNS هو ناقل هجوم حاسم. غالبًا ما يتم العثور عليه بدون حماية مناسبة، قديمة أو ضعيفة تمامًا. سنتحدث اليوم عن أكثر أنواع هجمات DNS شيوعًا:

الـ DNS hijacking:

يستخدم المهاجمون طرق اختطاف DNS لإعادة توجيه وحل استعلام DNS بشكل غير صحيح. يحدث هذا عندما يكتسب المتسلل التحكم في DNS server ويمكنه تحويل حركة المرور إلى DNS server مزيف. نتيجة لذلك، يحصل المستخدمون على موقع ويب مزيف، عادةً دون أن يدركوا ذلك. هناك طرق مختلفة لاختطاف DNS، مثل poisoning the DNS cache بعنوان IP غير صحيح، أو تسلل البرامج الضارة إلى جهاز التوجيه الذي يغير إعدادات DNS، وتمكين الوصول إلى الشبكة وإعادة توجيه استفسارات DNS أو استخدام هجمات man-in-the-middle. يسمح هذا  للمتسللين باعتراض الاتصال بينك وبين موقع الويب وبالتالي التلاعب بطلب DNS من خلال توفير عنوان IP مختلف. يمكنهم أيضًا تعديل أجهزة توجيه DNS واستخدام ما يسمى rogue DNS server لإعادة توجيه حركة المرور.

الـ DNS tunneling:

هذا الهجوم ليس جديدًا لأنه موجود منذ أكثر من 20 عامًا، لكنه لا يزال يشكل تهديدًا خطيرًا. تسمح هذه التقنية الضارة للمهاجم بتكوين الاتصال بجهاز الكمبيوتر الخاص بك والبرامج الضارة والبيانات الضارة الأخرى من خلال نموذج العميل والخادم. لن تدرك أنك «تتحدث» مع server مصاب بالبرامج الضاره .

يقوم جهاز DNS resolver بإنشاء نفق بينك وبين المهاجم لإعادة توجيه الاستعلام بالبيانات المخفية اللازمة لارتكاب الهجوم على نظامك. لا تقتصر حالات الإساءة النموذجية المتعلقة بنفق DNS على تهريب البيانات. يمكن أن تتضمن استفسارات وردود DNS أيضًا برامج أو بروتوكولات ضارة أخرى.

الـ DNS spoofing:

يتم استخدام DNS spoofing لاختطاف طلب المتصفح لموقع ويب وإعادة توجيه حركة المرور في المجال، متظاهرًا بالتوجه عبر وجهات الخادم الشرعية. يتم تحقيق ذلك إما عن طريق تغيير عنوان IP لخوادم DNS أو عن طريق تغيير عنوان IP لـ DNS نفسه, يحدث هجوم انتحال DNS عندما ينتحل المهاجم شخصية DNS server ويرسل ردودًا على استفسارات DNS مختلفة عن تلك التي يرسلها ال legitimate server. يمكن للمهاجمين إرسال كل نوع من الإجابات على سؤال الضحية، بما في ذلك عناوين IP المزيفة للمضيفين أو أنواع أخرى من المعلومات الخاطئة.

DNS poisoning و DNS cache poisoning:

من المؤكد أنك سمعت عن caching الويب، أي مخزن بيانات الإنترنت الذي سيتم استرداده في الزيارة التالية. DNS له وظيفة مماثلة لهذا .
عندما يقوم المهاجمون بتسميم DNS، فإنهم يحقنون عناوين IP الاحتيالية في local memory cache. عندما يحدث هذا، ستصل إلى ما يشبه موقع الويب النموذجي الذي كنت تبحث عنه. في الواقع، إنها نسخة مزيفة مصممة لسرقة بياناتك. لتسميم DNS، يمكن للمهاجمين اتباع عدة طرق من machine-in-the-middle، وتسميم كل من DNS والمتصفح، إلى اختطاف الخادم عند إعادة تشكيل الطلبات على خادم DNS أو البريد العشوائي والهجمات الأخرى القائمة على التشفير. هذا الهجوم ضار بشكل خاص لأنه، على سبيل المثال، تبدو صفحة تسجيل الدخول أصلية ولا يدرك المستخدمون أن الشخص الخبيث الذي سمم DNS قد سرق بيانات اعتماد تسجيل الدخول الخاصة بهم. في بعض الأحيان لا يهدف التسمم DNS إلى سرقة البيانات الحساسة فقط و لكن لأغراض أخرى أيضا.

DNS tracking/logging:

عندما يتم الوصول لإسم النطاق، يتم الاستفسار عن خادم DNS للحصول على معلومات. عند القيام بذلك، يتم إرسال المعلومات حول المستخدم إلى مزود خدمة الإنترنت المسؤول عن هذا الخادم، والذي يسجل عنوان IP الخاص بك وبالتالي موقعك التقريبي. تقوم شهادات TLS/SSL بتشفير الاتصال بحيث لا يتمكن المتسللون من قراءة المحتوى. لكن هذا لا يخفي IP الخاص بك عند زيارة اسم المجال. إذا كان شخص ما قادرًا على تتبع عنوان IP، فمن المحتمل أن يربطه بمعلومات مخزنة أخرى مثل الاسم والعنوان والتفاصيل المصرفية وغير ذلك الكثير. يمكن للقراصنة جمع هذه المعلومات وربطها لارتكاب هجماتهم. وفي الماضي، قام بعض مقدمي خدمات الإنترنت بتجميع هذه المعلومات لإعادة بيعها ل third parties، غالباً ما تكون معلنة، مما مكنهم من تنفيذ استراتيجياتهم بطريقة مستهدفة.

وبهذا نكون تعرفنا على أكثر الهجمات المستخدمه على ال Domain Name System و إلى اللقاء في مقالات آخرى.