آیا میدانید DNS Hijacking چیست؟ آیا از امنیت وبسایت و حتی ایمیل خود اطمینان دارید؟ ممکن است شما هم از آن دسته از افرادی باشید که با DNS زیاد آشنا نباشید ولی مطمئنا فردی هستید که دغدغه امنیت اطلاعات شخصی، امنیت وبسایت و حتی ایمیل خود را دارید. در این متن با زبانی ساده به معرفی کامل DNS میپردازیم.
DNS چیست؟
دنیای سایبری یک دنیای سراسر پیچیدگی است که میتواند با دشواریهای خود شما را ساعتها در خود غرق کرده و در نهایت گیج کند. ولی ما با زبانی ساده شما را با این دنیا شگفتانگیز آشنا می کنیم.
DNS مخفف عبارت Domain Name System و معرف یک پروتکل اینترنتی است. در حقیقت DNS ابزاری است که توسط آن نام دامنه قابل خواندن برای انسان مثل www.yourcompany.com به سیستم عددیIPv4 یا IPv6 تبدیل میشود. این دو سیستم عددی برای ارائه محتوای ایمیلها و وبسایتها توسط سرورها، مرورگرها و روترها مورد استفاده قرار میگیرد.
آدرسهای IPv4 قدیمیتر هستند. احتمالا قبلا آنها را دیدهاید. آنها آدرسهای 32 بیتی بوده که از چهار بخش تشکیل شدهاند. آن چهار بخش توسط نقطه از یکدیگر جدا میشوند. به عنوان یک نمونه از آدرس IPv4 میتوان به 168.192.1.1 اشاره کرد.
اما آدرسهای جدیدتر IPv6ها هستند. آنها به صورت هگزادسیمال نوشته شده و شامل 8 قسمت میشوند و با دو نقطه یا 2 دو نقطه از یکدیگر جدا میگردند. به عنوان مثال برای IPv6ها میتوان به a8:c0:00:00:00:00:01:01 یا آدرسهای IPv6 جدیدتر آدرسهای 128 بیتی هستند که به صورت هگزادسیمال نوشته میشوند.
اما چه اتفاقی میافتد که نام دامنه به آدرسهای عددی IPv4 و IPv6 تبدیل میشود و ارتباط آن DNS Hijacking چیست؟ زمانی که کاربر یک آدرس وبسایت را در نوار URL در مرورگر خود تایپ میکند درخواست او برای دسترسی به آدرس IP آن وبسایت به سرور DNS ارسال میشود. پس از جستوجو سرور DNS آدرس سایت را بازگردانده و آدرس IP سرور DNS را ذخیره مینماید و به آن اجازه اتصال به وبسایت مورد نظر را میدهد.
چگونه DNS Hijacking اتفاق میافتد؟
اصل موضوع DNS سرقت این است که هکرها به شکلهای مختلف میتوانند به DNS شما دسترسی پیدا کرده و امنیت اطلاعات شخصی شما را به خطر بیندازند. سرقت DNS نوعی حمله است که با نامهای مختلفی مثل «ربودن سرور نام دامنه» نیز شناخته میشود.
سرقت DNS شامل مجموعهای از تغییراتی است که هکر در جستوجوهای DNS کاربر پس از این که دامنه او ثبت شد ایجاد میکند. در نتیجه این تغییرات هدایت به صفحهای صورت میگیرد که هکر بتواند به اطلاعات کاربر هجوم آورد. هکرها و مجرمان سایبری به منظور سرقت پول از حسابهای بانکی افراد، کلاهبرداری از کارتهای بانکی و فروش اطلاعات هویت اشخاص در دارکوب به سرقت از DNS روی میآوردند.
در طول فرایند سرقت DNS هکرها به DNS کاربر دسترسی پیدا کرده و آدرس IP منحصر به فرد او را به آدرس دیگری تغییر میدهند. به عبارت دیگر زمانی که کاربر دامنه مورد نظر خود مثل www.yourcompany.com را داخل کروم، فایرفاکس یا مرورگر دیگری تایپ کرده و منتظر باز شدن صفحه مورد نظر خود است به سایت اصلی منتقل نمیشود. درعوض به سایتی هدایت میشود که هکر برای او در نظر گرفته است. ممکن است کاربر با آشنا نبودن به آن سایت حتی اطلاعات شخصی خود را در آن سایت وارد کند. به همین سادگی در دام هکرها و DNS Hijacking گرفتار میشود.
چگونگی تشخیص سرقت DNS
سرقت DNS نشانههای رایجی دارد. اگر هر کدام از مواردی که در پایین به شما ارائه میدهیم را مشاهده کردید توجه داشته باشید که احتمال حمله سایبری و سرقت DNS شما را تهدید میکند.
- برخی از وبسایتهایی که به صورت همیشگی از آنها استفاده میکنید به صورت غیر معمولی به کندی بارگذاری شوند.
- زمانی که بیش از اندازه پنجرههای تبلیغاتی پاپآپ در هنگام بارگذاری صفحه وب برای شما باز شود.
اما مطمئنا با این دو نشانه نمیتوان نتیجهگیری کرد که شما دچار حمله DNS شدهاید. ابزارهایی وجود دارند که شما میتوانید با کمک آنها سرقت DNS را در سیستم خود بررسی کنید. از جمله این ابزارها میتوان به موارد زیر اشاره کرد:
بررسی کردن روتر
یکی از مراکز نفوذ هکرها صفحات مدیریت روتر شما است. آنها میتوانند با استفاده از بدافزارها به صفحه مدیریت روتر شما نفوذ کرده و تنظیمات DNS را به گونهای تغییر دهند که کاربر وارد سروری شود که تحت کنترل هکر است. بهتر است هر از چند گاهی روتر خود را بررسی کنید. برای این کار به صفحه مدیریت روتر خود رفته و تنظیمات DNS در آن قسمت را به دقت بالا بررسی نمایید.
پینگ کردن شبکه
یکی دیگر از ابزارهایی که میتواند شما را از حمله به DNS آگاه سازد استفاده از یک برنامه پینگ است. ممکن است شما در استفاده از یک دامنه دچار تردید شده باشید در چنین وضعیتی تنها کافی است که با استفاده از این برنامه پینگ دامنه مورد نظر خود را پینگ کرده و نتایج را بررسی کنید. اگر نتایج حاصل از پینگ شدن آدرس IP مشخصی را به شما نشان داد این نشانه هک شدن DNS شماست در غیر این صورت و عدم وجود IP مشخص DNS Hijacking رخ نداده است.
WholMyDNS
با وجود این که دو ابزار قبلی میتوانند برای شما نتایج مناسبی را ارائه دهند ولی بهتر است از این ابزار غافل نشوید. یکی از بهترین ابزارهایی که میتوانند شما را از حمله به DNS آگاه سازد ابزار آنلاین WholMyDNS است. این ابزار به شما این امکان را میدهد تا بتوانید سروری را پیدا کنید که درخواستهای DNS شما را پاسخ میدهد. اگر در هنگام کار با این ابزار به شما DNSی نمایش داده شد که برای شما ناآشنا بود این نشانه خوبی برای شما نیست. این نتیجه نشان میدهد که شما در دام هکر گرفتار شدهاید.
آشنا شدن با انواع حملات سرقت DNS
تنها آگاه بودن از سرقت DNS نمیتواند برای کاربران مفید واقع شود. شناخت نوع حملات میتواند مانعی در برابر این حملات ایجاد کند. بنابراین در ادامه به شما چهار نوع از انواع حملات را معرفی میکنیم تا بتوانید از اطلاعات شخصی خود محافظت نمایید:
- سرقت محلی DNS: این نوع Hijacking به سادگی با نصب یک تروجان بر روی رایانه کاربر صورت میگیرد. هکر پس از نصب تروجان به تنظیمات DNS محلی دسترسی پیدا کرده و میتواند آنها را تغییر دهد. در چنین شرایطی کاربر به جای صفحه مورد نظر خود به صفحات مضر و تحت کنترل هکر هدایت میشود.
- سرقت DNS توسط روتر: از عمده مشکلات روترها میتوان به این مورد اشاره کرد که بر روی آنها سختافزار ضعیفی وجود دارد. همچنین وجود رمزهای عبور پیشفرض راه مناسبی را برای نفوذ هکرها ایجاد کرده است. وجود رمز عبور پیشفرض باعث شده که هکرها به راحتی به تنظیمات DNS دسترسی داشته و آنها را به نفع خود تغییر دهند. در این هنگام سیستم شما دچار DNS Hijacking میشود.
- Man-In-The-Middle (MITM) (مرد در میانه): یکی از دیگر تکنیکهایی که هکرها برای سرقت DNS استفاده میکنند استفاده از روش MITM است. در این روش فرد مهاجم خود را بین کاربر و برنامه قرار میدهد و از اطلاعات آنها سوء استفاده میکند. معمولا هکرها از این روش برای شنود یا جعل هویت یکی از طرفین بهره میگیرد.
- Rogue DNS server (سرور DNS سرکش): تحت چنین سرقتی هکرها سوابق موجود در DNS را تغییر داده و درخواستهای DNS کاربر را به وبسایت های مخرب تغییر مسیر میدهند. در چنین موقعیتی حتی خود کاربر از قرار گرفتن در سایت مضر اطلاعی پیدا نمیکند.
استراتژیهای مقابله با هکرها در سرقت DNS
- بررسی منظم تنظیمات روتر: این کار به ظاهر ساده میتواند شما را از کوچکترین تغییرات آگاه و ایمن سازد. حتی برای اطمینان بیشتر میتوانید مرتبا رمز عبور خود را تغییر دهید.
- استفاده از قفل رجیستری برای دامنه خود: استفاده از قفل رجیستری به شما این امکان را میدهد تا دامنه خود را از تغییرات، انتقال و حذف اطلاعات محافظت کنید. مزیت دیگر استفاده از قفلهای ریجستری محافظت در برابر حمله هکرها است.
- استفاده از آنتیویروس: معمولا هکرها از بدافزارهایی برای افشای رمزهای عبور استفاده میکنند. نصب و استفاده از آنتیویروس شما را از کوچکترین حرکت تهاجمی هکرها از این طریق آگاه میسازد.
- محافظت از رمز عبور: یکی از شیوههای برتر در نگهداری رمز عبور به کار بردن رمزهای پیچیده است. میتوانید با این شیوه از دست مهاجمان در امان بمانید.
سوالات متداول
ربودن سیستم نام دامنه (DNS) نوعی حمله است که سبب میشود کاربران به جای وبسایت واقعی به سمت وبسایت مخرب تحت کنترل هکرها هدایت شوند. هکرها با نصب بدافزارهایی بر روی رایانه کاربران کنترل روتر آنها را در دست گرفته و اتصالات DNS را رهگیری و هک میکنند.
انواع سرقت DNS عبارتند از: سرقت محلی DNS – سرقت DNS توسط روتر – سرقت با روش MITM و با استفاده از روش سرور DNS سرکش
از عمده نشانههای رایج سرقت DNS میتوان به بارگذاری آهسته صفحات وب و باز شدن بیش از اندازه صفحات پاپآپ اشاره کرد. همچنین میتوان نشانههای سرقت را با کمک ابزارهایی مثل پینگ کردن شبکه، بررسی منظم روتر و بررسی با ابزار WholMyDNS مشاهده کرد.
2 پاسخ
تفاوت hijacking با spooffing چیست؟
چگونه می توانم از حملات hijacking جلوگیری کنم؟