حملات رایج مبتنی بر DNS و نحوه شناسایی آن‌ها

حملات رایج مبتنی بر DNS و نحوه شناسایی آن‌ها
25 آبان 1404

مقدمه

بخش زیادی از ترافیک اینترنت از طریق DNS عبور می‌کند؛ بنابراین، مهاجمان از این پروتکل به‌عنوان مسیری پنهان برای انجام حملات استفاده می‌کنند. شناسایی به‌موقع این حملات می‌تواند از نشت اطلاعات، قطع سرویس و ایجاد اختلال در شبکه جلوگیری کند. در این مقاله، رایج‌ترین حملات مبتنی بر DNS و روش‌های شناسایی آن‌ها را بررسی می‌کنیم.

۱. حمله DNS Amplification

در این حمله مهاجم با ارسال درخواست کوچک ولی جعلی، سرور DNS را مجبور می‌کند پاسخ بسیار بزرگی به قربانی بفرستد.

نشانه‌های شناسایی:

  • افزایش ناگهانی ترافیک ورودی به یک IP خاص
  • حجم غیرعادی پاسخ‌های DNS
  • Queryهای مشابه و تکراری از آدرس‌های مختلف

ابزار کمک‌کننده:

  • IDS/IPS
  • آمارگیری از DNS Queryها
  • NetFlow یا sFlow

۲. حمله Fast Flux

در این روش، دامنه‌های مخرب دائماً IP خود را تغییر می‌دهند تا شناسایی نشوند.

نشانه‌ها:

  • تغییر سریع و مداوم رکورد A
  • TTLهای بسیار کوتاه
  • ارجاع به IPهای غیرعادی یا خارج از محدوده جغرافیایی سازمان

روش تشخیص:

  • مانیتورینگ تغییرات رکوردهای DNS
  • استفاده از Threat Intelligence

۳. DNS Tunneling

مهاجم از DNS برای ایجاد یک تونل مخفی جهت انتقال داده‌های سرقت‌شده استفاده می‌کند.

نشانه‌ها:

  • کوئری‌های بسیار طولانی و رمزگونه
  • تعداد زیاد درخواست به یک دامنه خاص
  • استفاده غیرمعمول از رکوردهای TXT

روش تشخیص:

  • تحلیل الگوهای Query
  • استفاده از ابزارهایی مثل Splunk یا Zeek
  • محدود کردن دامنه‌های قابل Query

۴. Domain Generation Algorithms (DGA)

بدافزارها با استفاده از الگوریتم‌ها، صدها دامنه تصادفی تولید می‌کنند تا به سرور اصلی خود متصل شوند.

نشانه‌ها:

  • درخواست دامنه‌های بی‌معنی و تصادفی
  • بیش از حد بودن تعداد NXDOMAIN
  • Queryهای مکرر با الگوی مشابه

تشخیص:

  • آنالیز رفتار DNS
  • لیست‌های کشف دامنه‌های DGA
  • سیستم‌های تشخیص مبتنی بر یادگیری ماشین

۵. DNS Hijacking

مهاجم مسیر DNS را تغییر می‌دهد تا ترافیک به مقصد دلخواهش هدایت شود.

نشانه‌ها:

  • تغییرات غیرمجاز در DNS Resolver
  • پاسخ‌های DNS متفاوت از مقدار واقعی
  • کاربر به سایت‌های جعلی هدایت می‌شود

تشخیص:

  • بررسی دوره‌ای تنظیمات DNS
  • مقایسه پاسخ سرورهای DNS معتبر
  • استفاده از DNSSEC

ابزارهای مفید برای شناسایی حملات DNS

  • Security Onion
  • Zeek (Bro)
  • Splunk
  • Wireshark
  • Cisco Umbrella
  • Cloudflare Radar

جمع‌بندی

حملات DNS به دلیل ماهیت پنهانی و حجم بالای ترافیک، معمولاً دیر شناسایی می‌شوند. اما با مانیتورینگ دقیق، تحلیل الگوهای رفتاری و استفاده از ابزارهای تخصصی، می‌توان این حملات را قبل از ایجاد خسارت تشخیص داد.
تیم تجهیز دیده‌بان اکسین آماده است تا زیرساخت DNS سازمان شما را بررسی و راهکارهای امنیتی تخصصی ارائه دهد.

پیام خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *