ما هو أمن DNS؟ dns-securityما هو أمن DNS؟ أمان DNS هو ممارسة لحماية البنية التحتية لـ DNS من الهجمات الإلكترونية من أجل الحفاظ على أداء سريع وموثوق. تتضمن إستراتيجية أمان DNS الفعالة عددًا من الدفاعات المتداخلة ، بما في ذلك إنشاء خوادم DNS متكررة ، وتطبيق بروتوكولات الأمان مثل DNSSEC ، والتي تتطلب تسجيل DNS صارم.
لماذا يعتبر أمان DNS مهمًا؟ مثل العديد من بروتوكولات الإنترنت ، لم يتم تصميم نظام DNS مع وضع الأمان في الاعتبار ويحتوي على العديد من قيود التصميم. هذه القيود ، جنبًا إلى جنب مع التقدم في التكنولوجيا ، تجعل خوادم DNS عرضة لمجموعة واسعة من الهجمات ، بما في ذلك الانتحال ، والتضخيم ، و DoS (رفض الخدمة) ، أو اعتراض المعلومات الشخصية الخاصة. ونظرًا لأن DNS جزء لا يتجزأ من معظم طلبات الإنترنت ، فقد يكون هدفًا رئيسيًا للهجمات.
بالإضافة إلى ذلك ، يتم نشر هجمات DNS بشكل متكرر بالاقتران مع الهجمات الإلكترونية الأخرى لإلهاء فرق الأمن عن الهدف الحقيقي. تحتاج المنظمة إلى أن تكون قادرة على التخفيف من هجمات DNS بسرعة حتى لا تكون مشغولة جدًا للتعامل مع الهجمات المتزامنة من خلال ناقلات أخرى.
ما هي بعض الهجمات الشائعة التي تتضمن DNS؟ لقد وجد المهاجمون عددًا من الطرق لاستهداف واستغلال خوادم DNS. فيما يلي بعض أكثرها شيوعًا:
انتحال DNS / إفساد ذاكرة التخزين المؤقت : هذا هو الهجوم حيث يتم تقديم بيانات DNS المزيفة في ذاكرة التخزين المؤقت لمحلل DNS ، مما يؤدي إلى إعادة المحلل عنوان IP غير صحيح للمجال. بدلاً من الذهاب إلى موقع الويب الصحيح ، يمكن تحويل حركة المرور إلى جهاز خبيث أو إلى أي مكان آخر يرغب فيه المهاجم ؛ غالبًا ما يكون هذا نسخة طبق الأصل من الموقع الأصلي المستخدم لأغراض ضارة مثل توزيع البرامج الضارة أو جمع معلومات تسجيل الدخول.
نفق DNS: يستخدم هذا الهجوم بروتوكولات أخرى للتنقل عبر استعلامات واستجابات DNS. يمكن للمهاجمين استخدام SSH أو TCP أو HTTP لتمرير البرامج الضارة أو المعلومات المسروقة إلى استعلامات DNS التي لم تكتشفها معظم جدران الحماية .
اختطاف DNS: في عملية اختطاف DNS ، يقوم المهاجم بإعادة توجيه الاستعلامات إلى خادم اسم مجال مختلف. يمكن القيام بذلك إما عن طريق البرامج الضارة أو من خلال التعديل غير المصرح به لخادم DNS. على الرغم من أن النتيجة مشابهة لنتيجة انتحال DNS ، إلا أن هذا هجوم مختلف تمامًا لأنه يستهدف سجل DNS لموقع الويب على خادم الأسماء ، بدلاً من ذاكرة التخزين المؤقت للمحلل.
dns-hijacking هجوم NXDOMAIN: هذا نوع من هجوم DNS الفيضاني حيث يغمر المهاجم خادم DNS بطلبات ، ويطلب سجلات غير موجودة ، في محاولة للتسبب في رفض الخدمة لحركة المرور المشروعة. يمكن تحقيق ذلك باستخدام أدوات هجوم متطورة يمكنها إنشاء نطاقات فرعية فريدة تلقائيًا لكل طلب. يمكن أن تستهدف هجمات NXDOMAIN أيضًا محلل تكراري بهدف ملء ذاكرة التخزين المؤقت للمحلل بطلبات البريد غير الهام.
هجوم المجال الوهمي: لهجوم المجال الوهمي نتيجة مشابهة لهجوم NXDOMAIN على محلل DNS. يقوم المهاجم بإعداد مجموعة من خوادم المجال “الوهمية” التي إما تستجيب للطلبات ببطء شديد أو لا تستجيب على الإطلاق. بعد ذلك يتم ضرب وحدة الحل بفيض من الطلبات إلى هذه المجالات ويتم تقييد المحلل في انتظار الردود ، مما يؤدي إلى بطء الأداء ورفض الخدمة.
لذلك : هجوم النطاق الفرعي العشوائي: في هذه الحالة ، يرسل المهاجم استعلامات DNS لعدة نطاقات فرعية عشوائية وغير موجودة لموقع شرعي واحد. الهدف هو إنشاء رفض الخدمة لخادم الأسماء المعتمد للمجال ، مما يجعل من المستحيل البحث عن موقع الويب من خادم الأسماء. كأثر جانبي ، قد يتأثر أيضًا مزود خدمة الإنترنت الذي يخدم المهاجم ، حيث سيتم تحميل ذاكرة التخزين المؤقت للمحلل التكراري بطلبات سيئة.
هجوم قفل المجال: ينظم المهاجمون هذا النوع من الهجوم من خلال إعداد مجالات ومحللات خاصة لإنشاء اتصالات TCP مع أدوات حل شرعية أخرى. عندما يرسل المحللون المستهدفون الطلبات ، ترسل هذه المجالات تدفقات بطيئة من الحزم العشوائية ، مما يؤدي إلى ربط موارد المحلل.
هجوم CPE المستند إلى Botnet: يتم تنفيذ هذه الهجمات باستخدام أجهزة CPE (معدات Premise الخاصة بالعميل ؛ هذه هي الأجهزة التي يقدمها مزودو الخدمة ليستخدمها عملاؤهم ، مثل أجهزة المودم وأجهزة التوجيه وصناديق الكابلات وما إلى ذلك). يقوم المهاجمون بخرق CPEs وتصبح الأجهزة جزءًا من شبكة الروبوتات ، المستخدمة في تنفيذ هجمات نطاق فرعي عشوائية ضد موقع أو مجال واحد.
ما هو DNSSEC؟ امتدادات أمان DNS (DNSSEC) هي بروتوكول أمان تم إنشاؤه للتخفيف من هذه المشكلة.
يحمي DNSSEC من الهجمات عن طريق التوقيع الرقمي للبيانات للمساعدة في ضمان صحتها.
من أجل ضمان البحث الآمن ، يجب أن يتم التوقيع على كل مستوى في عملية بحث DNS.
تشبه عملية التوقيع هذه قيام شخص ما بتوقيع مستند قانوني بقلم ؛ يوقع هذا الشخص بتوقيع فريد لا يمكن لأي شخص آخر إنشاؤه ،
ويمكن لخبير المحكمة النظر في هذا التوقيع والتحقق من أن المستند قد تم توقيعه
من قبل ذلك الشخص. تضمن هذه التواقيع الرقمية عدم العبث بالبيانات.
تنفذ DNSSEC سياسة التوقيع الرقمي الهرمي عبر جميع طبقات DNS. على سبيل المثال ،
في حالة البحث عن “google.com” ، سيوقع خادم DNS الجذر مفتاحًا لخادم أسماء .COM ،
ثم يوقع خادم أسماء .COM مفتاحًا لخادم الأسماء المعتمد لـ google.com .
بينما يُفضل دائمًا تحسين الأمان ، تم تصميم DNSSEC ليكون متوافقًا مع الإصدارات السابقة لضمان استمرار حل عمليات بحث DNS التقليدية بشكل صحيح ،
وإن كان ذلك بدون أمان إضافي. تهدف DNSSEC إلى العمل مع إجراءات الأمان الأخرى مثل SSL / TLS كجزء من إستراتيجية شاملة لأمن الإنترنت.
تقوم DNSSEC بإنشاء مجموعة ثقة من الوالدين والطفل تنتقل على طول الطريق حتى منطقة الجذر .
لا يمكن اختراق سلسلة الثقة هذه في أي طبقة من DNS ،
وإلا فسيصبح الطلب مفتوحًا لهجوم على المسار.
لإغلاق سلسلة الثقة ، يجب التحقق من صحة منطقة الجذر نفسها (إثبات خلوها من العبث أو الاحتيال) ،
ويتم ذلك في الواقع باستخدام التدخل البشري. ومن المثير للاهتمام ،
في ما يسمى بحفل توقيع منطقة الجذر ،
أن يلتقي أفراد مختارون من جميع أنحاء العالم للتوقيع على مجموعة DNSKEY RR الجذرية بطريقة عامة ومدققة.
ما هي الطرق الأخرى للحماية من الهجمات المستندة إلى DNS؟ بالإضافة إلى DNSSEC ، يمكن لمشغل منطقة DNS اتخاذ مزيد من الإجراءات لتأمين خوادمهم.
تعد البنية التحتية للتوفير الزائد إحدى الإستراتيجيات البسيطة للتغلب على هجمات DDoS .
ببساطة إذا تمكنت خوادم الأسماء الخاصة بك من التعامل مع عدة مضاعفات لحركة المرور أكثر مما تتوقع ،
فمن الصعب على الهجوم المستند إلى الحجم التغلب على الخادم الخاص بك.
يمكن للمؤسسات تحقيق ذلك عن طريق زيادة سعة المرور الإجمالية لخادم DNS الخاص بهم ، عن طريق إنشاء عدة خوادم DNS متكررة ،
وباستخدام موازنة التحميل لتوجيه طلبات DNS إلى خوادم سليمة عندما يبدأ أحدهم في الأداء الضعيف.
لا تزال هناك إستراتيجية أخرى تتمثل في جدار حماية DNS.
ما هو جدار حماية DNS؟ جدار حماية DNS هو أداة يمكنها توفير عدد من خدمات الأمان والأداء لخوادم DNS .
يقع جدار حماية DNS بين المحلل التكراري للمستخدم وخادم الأسماء المعتمد لموقع الويب أو الخدمة التي يحاولون الوصول إليها.
يمكن لجدار الحماية توفير خدمات تحديد المعدل لإيقاف المهاجمين الذين يحاولون إرباك الخادم. إذا تعرض الخادم لوقت تعطل نتيجة هجوم أو لأي سبب آخر ،
فيمكن لجدار حماية DNS أن يحافظ على موقع المشغل أو خدمته،
من خلال تقديم استجابات DNS من ذاكرة التخزين المؤقت.
بالإضافة إلى ميزات الأمان الخاصة به ، يمكن لجدار حماية DNS أيضًا ،
توفير حلول أداء مثل عمليات بحث DNS الأسرع وتقليل تكاليف النطاق الترددي لمشغل DNS.
DNS كأداة أمنية يمكن أيضًا تكوين محللات DNS لتوفير حلول الأمان للمستخدمين النهائيين (الأشخاص الذين يتصفحون الإنترنت).
توفر بعض أدوات حل DNS ميزات مثل تصفية المحتوى ، والتي يمكنها حظر المواقع المعروفة بتوزيع البرامج الضارة والبريد العشوائي ، وحماية الروبوتات ، التي تحظر الاتصال بشبكات الروبوت المعروفة. العديد من أدوات حل DNS المؤمنة هذه مجانية للاستخدام ويمكن للمستخدم التبديل إلى إحدى خدمات DNS التكرارية هذه عن طريق تغيير إعداد واحد في جهاز التوجيه المحلي الخاص به.
هل استعلامات DNS خاصة؟ قضية أمان DNS مهمة أخرى هي خصوصية المستخدم. استعلامات DNS غير مشفرة . حتى إذا استخدم المستخدمون محلل DNS مثل 1.1.1.1 لا يتتبع أنشطتهم ، فإن استعلامات DNS تنتقل عبر الإنترنت بنص عادي. وهذا يعني أن أي شخص يعترض الاستعلام يمكنه معرفة مواقع الويب التي يزورها المستخدم.
هذا النقص في الخصوصية له تأثير على الأمن ، وفي بعض الحالات ، على حقوق الإنسان ؛ إذا لم تكن استعلامات DNS خاصة ، فسيصبح من السهل على الحكومات فرض الرقابة على الإنترنت وعلى المهاجمين ملاحقة سلوك المستخدمين عبر الإنترنت.
DNS عبر TLS و DNS عبر HTTPS هما معياران لتشفير استعلامات DNS.
من أجل منع الأطراف الخارجية من القدرة على قراءتها.
