[go: nahoru, domu]
پرش به محتوا

جعل سامانه نام دامنه: تفاوت میان نسخه‌ها

از ویکی‌پدیا، دانشنامهٔ آزاد
نمایش تاریخچه به صورت تعاملی
→ تفاوت قدیمی‌تر
محتوای حذف‌شده محتوای افزوده‌شده
دیداریویکی‌متن
Makecat-bot (بحث | مشارکت‌ها)
ربات‌ها
۲۵٬۰۵۳ ویرایش‌ها
جز r2.7.3) (ربات: افزودن he:הרעלת DNS
Mehdi.barmasi (بحث | مشارکت‌ها)
۱۱۵ ویرایش‌ها
اضافه کردن راه حل فایروال برای جلوگیری از این حملات
 
(۱۹ نسخهٔ میانی ویرایش شده توسط ۱۳ کاربر نشان داده نشد)
خط ۱: خط ۱:
'''جعل سامانه نام دامنه''' {{به انگلیسی| DNS spoofing}} یا آلوده کردن کش سامانه نام‌دامنه {{به انگلیسی|DNS cache poisoning}}، یک حملهٔ هک کامپیوتری است که به موجب آن، داده‌هایی که در کش پایگاه دادهٔ یک کارساز سیستم نام دامنه قرار گرفته‌اند، هنگام مسیریابی مجدد یک درخواست برای یک صفحه وب، منجر به بازگرداندن یک آدرس آی‌پی اشتباه شده و ترافیک را به سمت رایانهٔ دیگری (معمولاً متعلق به مهاجم) منحرف می‌کند.
'''جعل سامانه نام دامنه''' {{به انگلیسی| DNS spoofing}} یا آلوده‌کردن کش سامانه نام‌دامنه {{به انگلیسی|DNS cache poisoning}}، یک حملهٔ هک کامپیوتری است که به موجب آن، داده‌هایی که در کش پایگاه دادهٔ یک کارساز [[سامانه نام دامنه|سیستم نام دامنه]] قرار گرفته‌اند، هنگام مسیریابی مجدد یک درخواست برای یک [[صفحه وب]]، منجر به بازگرداندن یک [[آدرس آی‌پی]] اشتباه شده و ترافیک را به سمت رایانهٔ دیگری (معمولاً متعلق به مهاجم) منحرف می‌کند.


== سیستم نام دامنه ==
== سیستم نام دامنه ==
یک کارساز نام دامنه، دامنهٔ اینترنتی قابل خواندن برای انسان (مانند '''example.com''') را به یک آدرس عددی یعنی آی‌پی ترجمه می‌کند تا از آن برای مسیریابی بین کارخواه و کارساز وب استفاده شود.
یک کارساز نام دامنه، [[دامنهٔ اینترنتی]] قابل خواندن برای انسان (مانند '''example.com''') را به یک آدرس عددی یعنی آی‌پی ترجمه می‌کند تا از آن برای مسیریابی بین [[کارخواه (رایانش)|کارخواه]] و [[کارساز وب]] استفاده شود.
هنگامی که یک کارساز سیستم نام دامنه، داده‌های غیر موثق دریافت کرده باشد، و آن‌را برای بهینه‌سازی عملکرد، کش {{انگلیسی|Cache}} کند، مسموم در نظر گرفته می‌شود که برای کارخواه‌های آن کارساز، داده‌های غیر اصیل تأمین می‌کند. اگر یک کارساز "DNS" مسموم شود، ممکن است یک آدرس آی‌پی نادرست برگردانده و ترافیک را به سمت رایانهٔ دیگری (معمولاً متعلق به مهاجم) منحرف کند.
هنگامی که یک کارساز سیستم نام دامنه، داده‌های غیر موثق دریافت کرده باشد، و آن را برای بهینه‌سازی عملکرد، کش {{انگلیسی|Cache}} کند، مسموم در نظر گرفته می‌شود که برای کارخواه‌های آن کارساز، داده‌های غیر اصیل تأمین می‌کند. اگر یک کارساز "DNS" مسموم شود، ممکن است یک آدرس آی‌پی نادرست برگردانده و ترافیک را به سمت رایانهٔ دیگری (معمولاً متعلق به مهاجم) منحرف کند.


== آلوده کردن کش سیستم نام دامنه ==
== آلوده کردن کش سیستم نام دامنه ==
معمولاً یک کامپیوتر تحت شبکه، از یک کارساز DNS که توسط سازمان رایانهٔ کاربر یا یک شرکت خدمات اینترنتی [[شرکت خدمات اینترنتی]] فراهم می‌شود، استفاده می‌کند. کارسازهای DNS به طور کلی به منظور بهبود وضوح عملکرد پاسخ و با استفاده از ذخیره کردن نتایج بدست آمده از پرس و جوها، در شبکهٔ یک سازمان مستقر می‌شوند. حملات مسموم کردن روی یک کارساز DNS، می‌توانند کاربرانی که به طور مستقیم توسط کارساز مصالحه شده سرویس داده می‌شوند و یا به طور غیر مستقیم توسط کارساز(های) پایین دست آن، در صورت قابل اجرا بودن، تحت تأثیر قرار بگیرند.
معمولاً یک کامپیوتر تحت شبکه، از یک کارساز DNS که توسط سازمان رایانهٔ کاربر یا یک شرکت خدمات اینترنتی [[شرکت خدمات اینترنتی]] فراهم می‌شود، استفاده می‌کند. کارسازهای DNS به‌طور کلی به منظور بهبود وضوح عملکرد پاسخ و با استفاده از ذخیره کردن نتایج بدست آمده از پرس و جوها، در شبکهٔ یک سازمان مستقر می‌شوند. حملات مسموم کردن روی یک کارساز DNS، می‌توانند کاربرانی که به‌طور مستقیم توسط کارساز مصالحه شده سرویس داده می‌شوند یا به‌طور غیرمستقیم توسط کارساز (های) پایین دست آن، در صورت قابل اجرا بودن، تحت تأثیر قرار بگیرند.
برای انجام یک حملهٔ "cache poisoning"، از حفرهٔ موجود در نرم‌افزار DNS بهره‌برداری می‌کند. در صورتی که کارساز به درستی، پاسخ‌های DNS را نمی‌تواند به منظور مطمئن شدن از معتبر بودن یک منبع، اعتبارسنجی کند (برای مثال با استفاده از ضمیمه‌های امنیتی سامانه نام دامنه یا{{به انگلیسی| DNSSEC}}، کارساز به صورت محلی، کش کردن ورودی‌های نادرست را متوقف می‌کند و این ورودی‌ها را به کاربرانی که درخواست مشابه داده بودند، می‌دهد.
برای انجام یک حملهٔ "cache poisoning"، از حفرهٔ موجود در نرم‌افزار DNS بهره‌برداری می‌کند. در صورتی که کارساز به درستی، پاسخ‌های DNS را نمی‌تواند به منظور مطمئن شدن از معتبر بودن یک منبع، اعتبارسنجی کند (برای مثال با استفاده از [[ضمیمه‌های امنیتی سامانه نام دامنه]] یا{{به انگلیسی| DNSSEC}}، کارساز به صورت محلی، کش کردن ورودی‌های نادرست را متوقف می‌کند و این ورودی‌ها را به کاربرانی که درخواست مشابه داده بودند، می‌دهد.
این تکنیک می‌تواند برای هدایت کردن کاربران یک وب‌گاه به سایت دیگری از انتخاب مهاجم به کار گرفته شود. برای مثال، یک مهاجم، ورودی‌های آدرس آی‌پی "DNS" را برای یک سایت هدف، روی کارساز "DNS" داده شده، جعل می‌کند و آن‌ها را با آدرس آی‌پی کارسازی که تحت کنترل خودش است، جایگزین می‌کند. او سپس بر روی کارساز تحت کنترلش فایل‌هایی با نام‌هایی همانند فایل‌های روی کارساز هدف، ایجاد می‌کند. این فایل‌ها می‌توانند شامل محتوای مخرب، مانند ویروس یا کرم کامپیوتری باشند. کاربری که رایانه‌اش مورد ارجاع کارساز "DNS" مسموم شده قرار گرفته‌است، می‌تواند به پذیرش محتوایی که از یک کارساز نامعتبر می‌آید فریفته شده و ندانسته، محتوای مخرب را دانلود کند.
این تکنیک می‌تواند برای هدایت کردن کاربران یک وبگاه به سایت دیگری از انتخاب مهاجم به کار گرفته شود. برای مثال، یک مهاجم، ورودی‌های آدرس آی‌پی "DNS" را برای یک سایت هدف، روی کارساز "DNS" داده شده، جعل می‌کند و آن‌ها را با آدرس آی‌پی کارسازی که تحت کنترل خودش است، جایگزین می‌کند. او سپس بر روی کارساز تحت کنترلش فایل‌هایی با نام‌هایی همانند فایل‌های روی کارساز هدف، ایجاد می‌کند. این فایل‌ها می‌توانند شامل محتوای مخرب، مانند ویروس یا کرم کامپیوتری باشند. کاربری که رایانه‌اش مورد ارجاع کارساز "DNS" مسموم شده قرار گرفته‌است، می‌تواند به پذیرش محتوایی که از یک کارساز نامعتبر می‌آید فریفته شده و ندانسته، محتوای مخرب را دانلود کند.


== انواع ==
== انواع ==
در انواع زیر، ورودی‌ها برای کارساز "ns.target.example" می‌تواند مسموم شده و به سمت کارساز نام مهاجم در آدرس آی‌پی w.x.y.z هدایت شود. این حمله‌ها بر این فرض استوار است که کارساز نام برای "target.example" عبارت است از "ns.target.example."
در انواع زیر، ورودی‌ها برای کارساز "ns.target.example" می‌تواند مسموم شده و به سمت کارساز نام مهاجم در آدرس آی‌پی w.x.y.z هدایت شود. این حمله‌ها بر این فرض استوار است که کارساز نام برای "target.example" عبارت است از "ns.target.example."
برای انجام حملات، باید کارساز "DNS" هدف را مجیور به دادن درخواستی برای یک دامنه که تحت کنترل کارساز نام مهاجم است، کند.
برای انجام حملات، باید کارساز "DNS" هدف را مجبور به دادن درخواستی برای یک دامنه که تحت کنترل کارساز نام مهاجم است، کند.


== تغییرمسیر کارساز نامِ دامنهٔ هدف ==
== تغییرمسیر کارساز نامِ دامنهٔ هدف ==
اولین نوع آلوده کردن "DNS"، شامل هدایت کردن کارساز نام دامنهٔ مهاجم به کارساز نام دامنهٔ هدف و سپس نسبت دادن یک آدرس آی‌پی مشخص شده توسط مهاجم به کارساز نام است.
اولین نوع آلوده کردن "DNS"، شامل هدایت کردن کارساز نام دامنهٔ مهاجم به کارساز نام دامنهٔ هدف و سپس نسبت دادن یک آدرس آی‌پی مشخص شده توسط مهاجم به کارساز نام است.
درخواست کارساز "DNS": رکوردهای آدرس برای subdomain.attacker.example چیست؟
درخواست کارساز "DNS": رکوردهای آدرس برای subdomain.attacker.example چیست؟
<source lang=bash>
<syntaxhighlight lang="bash">
subdomain.attacker.example. IN A
subdomain.attacker.example. IN A
</syntaxhighlight>
</source>
پاسخ مهاجم:
پاسخ مهاجم:
<source lang=bash>
<syntaxhighlight lang="bash">
Answer:
Answer:
(no response)
(no response)
خط ۲۸: خط ۲۸:
Additional section:
Additional section:
ns.target.example. IN A w.x.y.z
ns.target.example. IN A w.x.y.z
</syntaxhighlight>
</source>
یک کارساز آسیب‌پذیر، آدرس آی‌پی اضافی را برای "ns.target.example" کش خواهد کرد، که به مهاجم اجازه می‌دهد پرس و جوها به تمام دامنهٔ "target.example" را تغییر دهد.
یک کارساز آسیب‌پذیر، آدرس آی‌پی اضافی را برای "ns.target.example" کش خواهد کرد، که به مهاجم اجازه می‌دهد پرس و جوها به تمام دامنهٔ "target.example" را تغییر دهد.


=== تغییر مسیر رکورد کارساز نام به دامنهٔ هدف دیگر ===
=== تغییر مسیر رکورد کارساز نام به دامنهٔ هدف دیگر ===
نوع دوم از آلودگی کش "DNS"، در مورد تغییر مسیر کارساز نام دامنهٔ دیگر است که با درخوست اصلی به یک آدرس آی‌پی که توسط مهاجم مشخص شده‌است، نامربوط است.
نوع دوم از آلودگی کش "DNS"، در مورد تغییر مسیر کارساز نام دامنهٔ دیگر است که با دراخوست اصلی به یک آدرس آی‌پی که توسط مهاجم مشخص شده‌است، نامربوط است.
درخواست کارسازهای "DNS": رکوردهای آدرس برای "subdomain.attacker.example" کدامند؟
درخواست کارسازهای "DNS": رکوردهای آدرس برای "subdomain.attacker.example" کدامند؟
<source lang=bash>
<syntaxhighlight lang="bash">
subdomain.attacker.example. IN A
subdomain.attacker.example. IN A
</syntaxhighlight>
</source>
پاسخ مهاجم:
پاسخ مهاجم:
<source lang=bash>
<syntaxhighlight lang="bash">
Answer:
Answer:
(no response)
(no response)
خط ۴۵: خط ۴۵:
Additional section:
Additional section:
ns.attacker.example. IN A w.x.y.z
ns.attacker.example. IN A w.x.y.z
</syntaxhighlight>
</source>
یک کارساز آسیب‌پذیر، اطلاعات نامربوط را برای رکورد "target.example" کش خواهند کرد؛ که به مهاجم اجازه می‌دهد پرس و جوها را به تمام دامنهٔ "target.example" تغییر دهد.
یک کارساز آسیب‌پذیر، اطلاعات نامربوط را برای رکورد "target.example" کش خواهند کرد؛ که به مهاجم اجازه می‌دهد پرس و جوها را به تمام دامنهٔ "target.example" تغییر دهد.


== پیشگیری و کاهش خطرات ==
== پیشگیری و کاهش خطرات ==
می‌توان با استفاده از اعتماد کمتر نسبت به اطلاعاتی که از طریق سایر کارسازهای "DNS" به آن‌ها ارسال می‌شود، و با نادیده گرفتن هر رکورد "DNS" که به عقب برگردانده شده و مستقیماً به پرس و جو مرتبط نیستند، جلوی بسیاری از حملات "cache poisoning" را گرفت.
می‌توان با استفاده از اعتماد کمتر نسبت به اطلاعاتی که از طریق سایر کارسازهای "DNS" به آن‌ها ارسال می‌شود، و با نادیده گرفتن هر رکورد "DNS" که به عقب برگردانده شده و مستقیماً به پرس و جو مرتبط نیستند، جلوی بسیاری از حملات "cache poisoning" را گرفت.
[[مسیریاب|مسیریاب‌ها]]، [[دیوار آتش|دیوار آتش‌ها]]، [[پراکسی|پراکسی‌ها]] و دیگر وسایل دروازه‌ای {{به انگلیسی|Gateway}}، که کار برگردان نشانی شبکه ("NAT") انجام می‌دهند، یا به طور خاص‌تر، برگرداندن نشانی پورت (PAT) را انجام می‌دهند، به منظور ردیابی حالت ارتباط، پورت‌های مبدأ را دوباره‌نویسی می‌کنند. به هنگام تغییر پورت‌های مبدأ، وسایل "PAT"، معمولاً پورت‌های مبدأ که توسط کارساز نام به صورت تصادفی پیاده‌سازی شده‌اند را پاک کرده وجایگزین می‌کند.
[[مسیریاب]]‌ها، [[دیوار آتش]]‌ها، [[پراکسی]]‌ها و دیگر وسایل دروازه‌ای {{به انگلیسی|Gateway}}، که کار [[برگردان نشانی شبکه]] ("NAT") انجام می‌دهند، یا به‌طور خاص‌تر، برگرداندن نشانی پورت (PAT) را انجام می‌دهند، به منظور ردیابی حالت ارتباط، پورت‌های مبدأ را دوباره‌نویسی می‌کنند. به هنگام تغییر پورت‌های مبدأ، وسایل "PAT"، معمولاً پورت‌های مبدأ که توسط کارساز نام به صورت تصادفی پیاده‌سازی شده‌اند را پاک کرده و جایگزین می‌کند.
DNS امن (DNSSEC) از امضای الکترونیکی رمزنگاری امضا شده توسط یک گواهی کلید عمومی معتبر برای مشخص کردن اصالت داده‌ها، استفاده می‌کند.DNSSEC می‌تواند با حملات مسموم کننده مقابله کند، اما از سال ۲۰۰۸ تا الآن به طور گسترده مستقر نشده‌است. در سال 2010، DNSSEC در کارسازهای منطقهٔ ریشهٔ اینترنت پیاده‌سازی شد. اگرچه برخی از کارشناسان امنیتی ادعا می‌کنند با استفاده از DNSSEC به تنهایی، بدون رمزنگاری لایه کاربرد، مهاجم هنوز هم می‌تواند داده جعلی فراهم کند.
DNS امن (DNSSEC) از [[امضای الکترونیک|امضای الکترونیکی]] رمزنگاری امضا شده توسط یک گواهی [[کلید عمومی]] معتبر برای مشخص کردن اصالت داده‌ها، استفاده می‌کند.DNSSEC می‌تواند با حملات مسموم‌کننده مقابله کند، اما از سال ۲۰۰۸ تا الآن به‌طور گسترده مستقر نشده‌است. در سال ۲۰۱۰، DNSSEC در کارسازهای منطقهٔ ریشهٔ اینترنت پیاده‌سازی شد. اگرچه برخی از کارشناسان امنیتی ادعا می‌کنند با استفاده از DNSSEC به تنهایی، بدون رمزنگاری [[لایه کاربرد]]، مهاجم هنوز هم می‌تواند داده جعلی فراهم کند.
این نوع حملات همچنین می‌توانند در لایهٔ کاربرد یا لایهٔ انتقال، هنگامی که ارتباط برقرار شد، با اعتبارسنجی نقطه به نقطه، کاهش یابند. برای مثال با استفاده از HTTPS (نسخهٔ امن "HTTP")، کاربران می‌توانند چک کنند که آیا گواهی دیجیتالی کارساز معتبر است و وب‌گاه متعلق به کسی است که ادعا می‌کند. به طور مشابه، پوسته امن {{به انگلیسی|Secure Shell}} برنامهٔ ورود به سیستم از راه دور.
این نوع حملات همچنین می‌توانند در [[لایهٔ کاربرد]] یا لایهٔ انتقال، هنگامی که ارتباط برقرار شد، با اعتبارسنجی نقطه به نقطه، کاهش یابند. برای مثال با استفاده از HTTPS (نسخهٔ امن "HTTP")، کاربران می‌توانند چک کنند که آیا گواهی دیجیتالی کارساز معتبر است و وبگاه متعلق به کسی است که ادعا می‌کند. به‌طور مشابه، [[پوسته امن]] {{به انگلیسی|Secure Shell}} برنامهٔ [[ورود به سیستم]] از راه دور.

استفاده از فایروال نیز به عنوان یک راه حل برای مقابله با این نوع حملات مطرح می شود ، فایروال می تواند ترافیک شبکه را کنترل کند و تغییرات مشکوک در DNS را که از منابع مشکوک و ناشناخته می آید را به صورت خودکار مسدود کند


== منابع ==
== منابع ==
{{پانویس|چپ‌چین=بله}}
{{پانویس|چپ‌چین=بله}}
*"BIND Security Matrix". ISC Bind. Retrieved 11 May 2011.
* "BIND Security Matrix". ISC Bind. Retrieved 11 May 2011.
*"ISC Bind Security". ISC Bind. Retrieved 11 May 2011.
* "ISC Bind Security". ISC Bind. Retrieved 11 May 2011.
*"Root DNSSEC". ICANN/Verisign. pp. 1. Retrieved January 05, 2012.
* "Root DNSSEC". ICANN/Verisign. pp. 1. Retrieved January 05, 2012.
*"DNS forgery". Retrieved 06 January 2011.
* "DNS forgery". Retrieved 06 January 2011.


== پیوند به بیرون ==
== پیوند به بیرون ==
{{چپ‌چین}}
{{چپ‌چین}}
* [http://www.trusteer.com/docs/bind9dns.html BIND 9 DNS Cache Poisoning - Discovered by Amit Klein (Trusteer)]
* [https://web.archive.org/web/20080511204328/http://www.trusteer.com/docs/bind9dns.html BIND 9 DNS Cache Poisoning - Discovered by Amit Klein (Trusteer)]
* [http://www.scanit.be/advisory-2007-11-14.html Predictable transaction IDs in Microsoft DNS server allow cache poisoning]
* [https://web.archive.org/web/20080326233700/http://www.scanit.be/advisory-2007-11-14.html Predictable transaction IDs in Microsoft DNS server allow cache poisoning]
* [http://support.microsoft.com/default.aspx?scid=kb;en-us;241352 Microsoft Knowledge Base: How to prevent DNS cache pollution]
* [http://support.microsoft.com/default.aspx?scid=kb;en-us;241352 Microsoft Knowledge Base: How to prevent DNS cache pollution]
* [http://isc.sans.org/diary.php?date=2005-04-07 SANS DNS cache poisoning update]
* [https://web.archive.org/web/20070104104352/http://isc.sans.org/diary.php?date=2005-04-07 SANS DNS cache poisoning update]
* [http://www.dnssec.net/dns-threats.php DNS Threats & Weaknesses: research and presentations]
* [https://web.archive.org/web/20061013053825/http://www.dnssec.net/dns-threats.php DNS Threats & Weaknesses: research and presentations]
* [http://www.hackernotcracker.com/2007-01/blocking-unwanted-domain-names-creative-usage-of-the-hosts-file.html Blocking Unwanted Domain Names] Creative Usage of the Hosts File
* [http://www.hackernotcracker.com/2007-01/blocking-unwanted-domain-names-creative-usage-of-the-hosts-file.html Blocking Unwanted Domain Names] Creative Usage of the Hosts File
* [http://member.dnsstuff.com/includes/ToolHandler.php?ToolFormName=vu800113 Dnsstuff.com's DNS Vulnerability Check] Test to see if you are Vulnerable
* [http://member.dnsstuff.com/includes/ToolHandler.php?ToolFormName=vu800113 Dnsstuff.com's DNS Vulnerability Check]{{پیوند مرده|date=سپتامبر ۲۰۱۹ |bot=InternetArchiveBot}} Test to see if you are Vulnerable
* [http://www.grc.com/dns/dns.htm Steve Gibson of GRC's ISP DNS testing tool] Check your ISP's DNS resolvers for vulnerabilities
* [http://www.grc.com/dns/dns.htm Steve Gibson of GRC's ISP DNS testing tool] Check your ISP's DNS resolvers for vulnerabilities
* [http://www.security-database.com/toolswatch/PorkBind-1-2-Yet-another-Cache-DNS.html Security-Database Tools Watch] PorkBind Scanner for 13 DNS Flaws including the DNS Poisoning
* [https://web.archive.org/web/20120216024901/http://www.security-database.com/toolswatch/PorkBind-1-2-Yet-another-Cache-DNS.html Security-Database Tools Watch] PorkBind Scanner for 13 DNS Flaws including the DNS Poisoning
* [http://www.checkpoint.com/defense/advisories/public/dnsvideo/index.html Movie explaining DNS Cache Poisioning]
* [https://web.archive.org/web/20120721083308/http://www.checkpoint.com/defense/advisories/public/dnsvideo/index.html Movie explaining DNS Cache Poisioning]
* [http://www.unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html An Illustrated Guide to the Kaminsky DNS Vulnerability]
* [http://www.unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html An Illustrated Guide to the Kaminsky DNS Vulnerability]
* [http://www.kb.cert.org/vuls/id/800113#pat US CERT advisory: Multiple DNS implementations vulnerable to cache poisoning]
* [http://www.kb.cert.org/vuls/id/800113#pat US CERT advisory: Multiple DNS implementations vulnerable to cache poisoning]
* [http://www.wired.com/techbiz/people/magazine/16-12/ff_kaminsky Secret Geek A-Team Hacks Back, Defends Worldwide Web] An article about defending against DNS poisoning
* [http://www.wired.com/techbiz/people/magazine/16-12/ff_kaminsky Secret Geek A-Team Hacks Back, Defends Worldwide Web] An article about defending against DNS poisoning
* [http://www.ehackingnews.com/2011/11/brazil-isp-servers-under-dns-cache.html Brazil ISP servers under Massive DNS cache Poisoning attack]
* [http://www.ehackingnews.com/2011/11/brazil-isp-servers-under-dns-cache.html Brazil ISP servers under Massive DNS cache Poisoning attack] {{Webarchive|url=https://web.archive.org/web/20120425082605/http://www.ehackingnews.com/2011/11/brazil-isp-servers-under-dns-cache.html |date=۲۵ آوریل ۲۰۱۲ }}
{{پایان چپ‌چین}}[https://bluhost.dev/learn/%D8%B1%D8%A8%D9%88%D8%AF%D9%86%20%D8%AF%DB%8C%20%D8%A7%D9%86%20%D8%A7%D8%B3%20%DB%8C%D8%A7%20DNS%20Hijacking%20%DA%86%DB%8C%D8%B3%D8%AA DNS Hijacking چیست ؟]
{{پایان چپ‌چین}}
[[رده:اخلاق اینترنتی]]

[[رده:امنیت اینترنت]]
[[رده:امنیت شبکه‌های رایانه‌ای]]
[[رده:امنیت شبکه‌های رایانه‌ای]]
[[رده:حریم شخصی کاربران اینترنت]]
[[رده:سامانه نام دامنه]]
[[رده:سامانه نام دامنه]]
[[رده:سرویس دهندگان خدمات اینترنتی]]
[[رده:عملکرد امنیتی رایانه]]
[[رده:سوءاستفاده امنیتی از رایانه]]
[[رده:کلاه‌برداری اینترنتی]]
[[رده:هک (امنیت رایانه)]]
[[رده:هک]]
[[رده:هک]]

[[ca:Enverinament DNS]]
[[cs:Cache poisoning]]
[[de:Cache Poisoning]]
[[en:DNS spoofing]]
[[es:DNS cache poisoning]]
[[fr:Empoisonnement du cache DNS]]
[[he:הרעלת DNS]]
[[hu:DNS-gyorsítótár-mérgezés]]
[[it:DNS cache poisoning]]
[[ja:DNS偽装]]
[[pl:Zatruwanie DNS]]
[[pt:DNS cache poisoning]]
[[ru:Атака Каминского]]
[[zh:域名服务器缓存污染]]

نسخهٔ کنونی تا ‏۹ مهٔ ۲۰۲۳، ساعت ۲۰:۴۲

جعل سامانه نام دامنه (به انگلیسی: DNS spoofing) یا آلوده‌کردن کش سامانه نام‌دامنه (به انگلیسی: DNS cache poisoning)، یک حملهٔ هک کامپیوتری است که به موجب آن، داده‌هایی که در کش پایگاه دادهٔ یک کارساز سیستم نام دامنه قرار گرفته‌اند، هنگام مسیریابی مجدد یک درخواست برای یک صفحه وب، منجر به بازگرداندن یک آدرس آی‌پی اشتباه شده و ترافیک را به سمت رایانهٔ دیگری (معمولاً متعلق به مهاجم) منحرف می‌کند.

سیستم نام دامنه[ویرایش]

یک کارساز نام دامنه، دامنهٔ اینترنتی قابل خواندن برای انسان (مانند example.com) را به یک آدرس عددی یعنی آی‌پی ترجمه می‌کند تا از آن برای مسیریابی بین کارخواه و کارساز وب استفاده شود. هنگامی که یک کارساز سیستم نام دامنه، داده‌های غیر موثق دریافت کرده باشد، و آن را برای بهینه‌سازی عملکرد، کش (به انگلیسی: Cache) کند، مسموم در نظر گرفته می‌شود که برای کارخواه‌های آن کارساز، داده‌های غیر اصیل تأمین می‌کند. اگر یک کارساز "DNS" مسموم شود، ممکن است یک آدرس آی‌پی نادرست برگردانده و ترافیک را به سمت رایانهٔ دیگری (معمولاً متعلق به مهاجم) منحرف کند.

آلوده کردن کش سیستم نام دامنه[ویرایش]

معمولاً یک کامپیوتر تحت شبکه، از یک کارساز DNS که توسط سازمان رایانهٔ کاربر یا یک شرکت خدمات اینترنتی شرکت خدمات اینترنتی فراهم می‌شود، استفاده می‌کند. کارسازهای DNS به‌طور کلی به منظور بهبود وضوح عملکرد پاسخ و با استفاده از ذخیره کردن نتایج بدست آمده از پرس و جوها، در شبکهٔ یک سازمان مستقر می‌شوند. حملات مسموم کردن روی یک کارساز DNS، می‌توانند کاربرانی که به‌طور مستقیم توسط کارساز مصالحه شده سرویس داده می‌شوند یا به‌طور غیرمستقیم توسط کارساز (های) پایین دست آن، در صورت قابل اجرا بودن، تحت تأثیر قرار بگیرند. برای انجام یک حملهٔ "cache poisoning"، از حفرهٔ موجود در نرم‌افزار DNS بهره‌برداری می‌کند. در صورتی که کارساز به درستی، پاسخ‌های DNS را نمی‌تواند به منظور مطمئن شدن از معتبر بودن یک منبع، اعتبارسنجی کند (برای مثال با استفاده از ضمیمه‌های امنیتی سامانه نام دامنه یا(به انگلیسی: DNSSEC)، کارساز به صورت محلی، کش کردن ورودی‌های نادرست را متوقف می‌کند و این ورودی‌ها را به کاربرانی که درخواست مشابه داده بودند، می‌دهد. این تکنیک می‌تواند برای هدایت کردن کاربران یک وبگاه به سایت دیگری از انتخاب مهاجم به کار گرفته شود. برای مثال، یک مهاجم، ورودی‌های آدرس آی‌پی "DNS" را برای یک سایت هدف، روی کارساز "DNS" داده شده، جعل می‌کند و آن‌ها را با آدرس آی‌پی کارسازی که تحت کنترل خودش است، جایگزین می‌کند. او سپس بر روی کارساز تحت کنترلش فایل‌هایی با نام‌هایی همانند فایل‌های روی کارساز هدف، ایجاد می‌کند. این فایل‌ها می‌توانند شامل محتوای مخرب، مانند ویروس یا کرم کامپیوتری باشند. کاربری که رایانه‌اش مورد ارجاع کارساز "DNS" مسموم شده قرار گرفته‌است، می‌تواند به پذیرش محتوایی که از یک کارساز نامعتبر می‌آید فریفته شده و ندانسته، محتوای مخرب را دانلود کند.

انواع[ویرایش]

در انواع زیر، ورودی‌ها برای کارساز "ns.target.example" می‌تواند مسموم شده و به سمت کارساز نام مهاجم در آدرس آی‌پی w.x.y.z هدایت شود. این حمله‌ها بر این فرض استوار است که کارساز نام برای "target.example" عبارت است از "ns.target.example." برای انجام حملات، باید کارساز "DNS" هدف را مجبور به دادن درخواستی برای یک دامنه که تحت کنترل کارساز نام مهاجم است، کند.

تغییرمسیر کارساز نامِ دامنهٔ هدف[ویرایش]

اولین نوع آلوده کردن "DNS"، شامل هدایت کردن کارساز نام دامنهٔ مهاجم به کارساز نام دامنهٔ هدف و سپس نسبت دادن یک آدرس آی‌پی مشخص شده توسط مهاجم به کارساز نام است. درخواست کارساز "DNS": رکوردهای آدرس برای subdomain.attacker.example چیست؟ 

subdomain.attacker.example. IN A

پاسخ مهاجم: 

Answer:
(no response)
Authority section:
attacker.example. 3600 IN NS ns.target.example.
Additional section:
ns.target.example. IN A w.x.y.z

یک کارساز آسیب‌پذیر، آدرس آی‌پی اضافی را برای "ns.target.example" کش خواهد کرد، که به مهاجم اجازه می‌دهد پرس و جوها به تمام دامنهٔ "target.example" را تغییر دهد.

تغییر مسیر رکورد کارساز نام به دامنهٔ هدف دیگر[ویرایش]

نوع دوم از آلودگی کش "DNS"، در مورد تغییر مسیر کارساز نام دامنهٔ دیگر است که با دراخوست اصلی به یک آدرس آی‌پی که توسط مهاجم مشخص شده‌است، نامربوط است. درخواست کارسازهای "DNS": رکوردهای آدرس برای "subdomain.attacker.example" کدامند؟ 

subdomain.attacker.example. IN A

پاسخ مهاجم: 

Answer:
(no response)
Authority section:
target.example. 3600 IN NS ns.attacker.example.
Additional section:
ns.attacker.example. IN A w.x.y.z

یک کارساز آسیب‌پذیر، اطلاعات نامربوط را برای رکورد "target.example" کش خواهند کرد؛ که به مهاجم اجازه می‌دهد پرس و جوها را به تمام دامنهٔ "target.example" تغییر دهد.

پیشگیری و کاهش خطرات[ویرایش]

می‌توان با استفاده از اعتماد کمتر نسبت به اطلاعاتی که از طریق سایر کارسازهای "DNS" به آن‌ها ارسال می‌شود، و با نادیده گرفتن هر رکورد "DNS" که به عقب برگردانده شده و مستقیماً به پرس و جو مرتبط نیستند، جلوی بسیاری از حملات "cache poisoning" را گرفت. مسیریاب‌ها، دیوار آتش‌ها، پراکسی‌ها و دیگر وسایل دروازه‌ای (به انگلیسی: Gateway)، که کار برگردان نشانی شبکه ("NAT") انجام می‌دهند، یا به‌طور خاص‌تر، برگرداندن نشانی پورت (PAT) را انجام می‌دهند، به منظور ردیابی حالت ارتباط، پورت‌های مبدأ را دوباره‌نویسی می‌کنند. به هنگام تغییر پورت‌های مبدأ، وسایل "PAT"، معمولاً پورت‌های مبدأ که توسط کارساز نام به صورت تصادفی پیاده‌سازی شده‌اند را پاک کرده و جایگزین می‌کند. DNS امن (DNSSEC) از امضای الکترونیکی رمزنگاری امضا شده توسط یک گواهی کلید عمومی معتبر برای مشخص کردن اصالت داده‌ها، استفاده می‌کند.DNSSEC می‌تواند با حملات مسموم‌کننده مقابله کند، اما از سال ۲۰۰۸ تا الآن به‌طور گسترده مستقر نشده‌است. در سال ۲۰۱۰، DNSSEC در کارسازهای منطقهٔ ریشهٔ اینترنت پیاده‌سازی شد. اگرچه برخی از کارشناسان امنیتی ادعا می‌کنند با استفاده از DNSSEC به تنهایی، بدون رمزنگاری لایه کاربرد، مهاجم هنوز هم می‌تواند داده جعلی فراهم کند. این نوع حملات همچنین می‌توانند در لایهٔ کاربرد یا لایهٔ انتقال، هنگامی که ارتباط برقرار شد، با اعتبارسنجی نقطه به نقطه، کاهش یابند. برای مثال با استفاده از HTTPS (نسخهٔ امن "HTTP")، کاربران می‌توانند چک کنند که آیا گواهی دیجیتالی کارساز معتبر است و وبگاه متعلق به کسی است که ادعا می‌کند. به‌طور مشابه، پوسته امن (به انگلیسی: Secure Shell) برنامهٔ ورود به سیستم از راه دور.

استفاده از فایروال نیز به عنوان یک راه حل برای مقابله با این نوع حملات مطرح می شود ، فایروال می تواند ترافیک شبکه را کنترل کند و تغییرات مشکوک در DNS را که از منابع مشکوک و ناشناخته می آید را به صورت خودکار مسدود کند

منابع[ویرایش]

  • "BIND Security Matrix". ISC Bind. Retrieved 11 May 2011.
  • "ISC Bind Security". ISC Bind. Retrieved 11 May 2011.
  • "Root DNSSEC". ICANN/Verisign. pp. 1. Retrieved January 05, 2012.
  • "DNS forgery". Retrieved 06 January 2011.

پیوند به بیرون[ویرایش]

DNS Hijacking چیست ؟

برگرفته از «https://fa.wikipedia.org/w/index.php?title=جعل_سامانه_نام_دامنه&oldid=37105933»