ربودن DNS

ربودن DNS یا DNS hijacking چیست؟

ربودن DNS (DNS Hijacking) که به آن مسمویت DNS (DNS poisoning) یا تغییر مسیر DNS (DNS redirection) هم گفته می‌شود، است که محاجم به‌طور هدفمند نحوه حل پرس‌وجو‌های DNS را دستکاری می‌کند و در نتیجه کاربران را به وب‌سایت‌های مخرب‌ هدایت می‌کند. این کار می‌تواند با بدافزاری که پیکربندی TCP/IP را نادیده می‌گیرد تا به یک سرور DNS جعلی تحت کنترل یک محاجم اشاره دارد، انجام شود. یا از طریق دستکاری رفتار یک سرور DNS قابل اعتماد به طوری که با استانداردهای اینترنت مطابقت نداشته باشد.

ربودن DNS می‌تواند برای فیشینگ یا فارمینگ استفاده شود. پس از ربودن DNS سایت واقعی، مهاجمان کاربران را به یک سایت جعلی هدایت می‌کنند که در آنجا از آنها دعوت می‌شود اعتبار ورود یا اطلاعات مالی حساس را وارد کنند. برخی از دولت ها نیز از ربودن DNS برای هدایت مجدد کاربران به سایت های مورد تایید دولت به عنوان بخشی از استراتژی سانسور استفاده می کنند.

چگونه یک حمله ربودن DNS کار می‌کند؟

هنگامی که یک وب سایت را با یک ثبت کننده دامنه ثبت می کنید، یک نام دامنه موجود را انتخاب می کنید و آدرس IP سایت شما با نام دامنه ثبت می شود. برای درک بهتر، اجازه دهید بگوییم که نام دامنه BusinessSite.com را انتخاب کرده‌اید.

یک رکورد DNS حاوی آدرس IP منحصر به فرد سایت شما است و نام دامنه شما به آدرس IP سایت شما پیوند داده شده است. در یک حمله ربودن DNS، هکرها به DNS شما دسترسی پیدا می کنند، سپس آدرس IP منحصر به فرد شما را به آدرس دیگری تغییر می دهند. در نتیجه، نام دامنه شما BusinessSite.com هنگام بازیابی از طریق رکورد DNS به سرورهای مهاجم اشاره می کند.

به عبارت دیگر، وقتی شخصی "BusinessSite.com" را در کروم، فایرفاکس یا مرورگر دیگری تایپ می کند، به سایت شما منتقل نمی شود. در عوض، آنها به سایتی هدایت می شوند که مهاجم کنترل می کند. اگر بازدیدکننده فکر کند سایتی که می بیند قانونی است، ممکن است به اشتباه اطلاعات حساس را وارد کند یا بدافزار دانلود کند.

چگونه سرقت DNS را تشخیص دهیم؟

نشانه‌های رایج سرقت DNS شامل صفحات وب است که به کندی بارگذاری می‌شوند، تبلیغات پاپ‌آپ مکرر در وب‌سایت‌هایی که نباید وجود داشته باشد، و پنجره‌های بازشو که به کاربر اطلاع می‌دهند که دستگاهش به بدافزار آلوده شده است. خوشبختانه، علاوه بر این علائم، چندین ابزار اینترنتی وجود دارد که می توانید برای بررسی اینکه آیا DNS شما هک شده است یا خیر، از جمله:

1. پینگ کردن شبکه: می توانید با استفاده از یک برنامه پینگ و پینگ دامنه مشکوک، سرقت DNS را شناسایی کنید. اگر نتایج نشان دهد که آدرس IP وجود ندارد، متوجه خواهید شد که DNS شما هک نشده است. از طرف دیگر، اگر دامنه مشکوک را پینگ کنید و یک آدرس IP ظاهر شود، احتمال زیادی وجود دارد که DNS شما هک شده باشد.
2. بررسی روتر: مهاجمان می توانند از بدافزار برای دسترسی به صفحه مدیریت روتر شما استفاده کنند. پس از ورود، آنها می توانند تنظیمات DNS را تغییر دهند تا روتر از سروری استفاده کند که مهاجم آن را مدیریت می کند. برای بررسی این نوع حمله، کافی است به صفحه مدیریت روتر خود بروید و تنظیمات DNS آن را بررسی کنید.
3. WhoIsMyDNS را بررسی کنید: یکی دیگر از ابزارهای آنلاین عالی WhoIsMyDNS است که به شما امکان می دهد سرور واقعی را پیدا کنید که از طرف شما به درخواست های DNS پاسخ می دهد. اگر DNS نمایش داده شده برای شما ناآشنا است، ممکن است قربانی سرقت DNS شده باشید.

انواع حملات ربودن DNS

برای جلوگیری از ربودن DNS، ابتدا باید انواع مختلف حملات را بشناسید. ربودن DNS می تواند چهار شکل مختلف داشته باشد:

1. ربودن محلی DNS: مهاجم نرم افزار تروجان را روی رایانه کاربر نصب می کند، سپس تنظیمات DNS محلی را تغییر می دهد تا کاربر را به وب سایت های مضر هدایت کند.
2. ربودن DNS با استفاده از روتر: بسیاری از روترها سخت‌افزار ضعیفی دارند یا از رمزهای عبور پیش‌فرض استفاده می‌کنند. مهاجمان می توانند از این مزیت برای هک کردن یک روتر و تغییر تنظیمات DNS آن استفاده کنند که این امر بر همه افرادی که از آن روتر استفاده می کنند تأثیر می گذارد.
3. حملات Man-in-the-Middle (MITM): مهاجمان از تکنیک های حمله Man-in-the-Middle برای رهگیری ارتباطات بین کاربران و سرور DNS استفاده می کنند. سپس هدف را به وب سایت های مخرب هدایت می کنند.
4. سرور DNS سرکش: هکرها می توانند سوابق DNS را در سرور DNS تغییر دهند و به آنها امکان می دهند درخواست های DNS را به وب سایت های مخرب تغییر مسیر دهند. اگر سایت قانونی به نظر برسد، کاربر ممکن است حتی نداند که در مکان اشتباهی قرار گرفته است.

چگونه شبکه خود را در برابر ربودن DNS ایمنی کنید

در اینجا چند استراتژی برای محافظت از وب سرور شما در برابر ربودن DNS آورده شده است.

تنظیمات DNS روتر خود را بررسی کنید

روترها مستعد حملات هستند و محاجم از این ضعف برای شکار قربانیان ناآگاه استفاده می کنند. تنظیمات DNS روتر خود را بررسی کنید تا مطمئن شوید که تغییر نکرده اند. می توانید این کار را در صفحه مدیریت انجام دهید. علاوه بر این، به طور معمول رمز عبور روتر خود را به روز کنید.

از قفل رجیستری (Registry Lock) برای حساب دامنه خود استفاده کنید

یک سرویس قفل رجیستری که توسط یک رجیستری نام دامنه ارائه می شود، می تواند دامنه ها را از تغییرات، انتقال و حذف ناخواسته محافظت کند. این می تواند هکرها را از هدایت مجدد افراد به سایت های مخرب پس از تایپ نام دامنه باز دارد.

استفاده از آنتی بدافزار (Anti-malware)

ربایندگان DNS می توانند اطلاعات ورود کاربران را با استفاده از بدافزارهایی که رمزهای عبور را فاش می کنند، هدف قرار دهند. نصب نرم افزار آنتی ویروس می تواند به شما کمک کند هر مهاجمی را که می خواهد از این نوع بدافزار استفاده کند دستگیر کنید. اما برای کاهش احتمال به خطر افتادن داده ها، از شبکه های خصوصی مجازی امن (VPN) استفاده کنید.

از رمز عبور به خوبی نگهداری کنید

رمزهای عبور پیچیده را به عنوان بخشی از استراتژی نگهداری از رمز عبور انتخاب کنید. گذرواژه‌های پیچیده متشکل از رشته‌های تصادفی کاراکترها یا عبارات بی‌معنی، کمتر در فهرستی از رمزهای عبور در معرض خطر قرار می‌گیرند که یک هکر می‌تواند در تاریک وب پیدا کند. علاوه بر این، حتی اگر رمزهای عبور شما قوی هستند، آنها را مرتباً به روز کنید. به این ترتیب، اگر شخصی رمز عبوری را که برای دسترسی به تنظیمات DNS سایت خود استفاده می‌کنید، بشکند، برای ورود به آن مشکل پیدا می‌کند زیرا رمز عبور از آن زمان تغییر کرده است.