انتحال أسماء النطاقات

انتحال أسماء النطاقات، يُشار إليه أيضًا بإفساد ذاكرة التخزين المؤقت لـ انتحال أسماء النطاقات، هو شكل من أشكال القرصنة الأمنية للكمبيوتر حيث يتم إدخال بيانات نظام اسم المجال الفاسدة في ذاكرة التخزين المؤقت لمحلل انتحال أسماء النطاقات، مما يتسبب في قيام خادم الاسم بإرجاع سجل نتيجة غير صحيح، على سبيل المثال عنوانعنوان بروتوكول الإنترنت. ينتج عن هذا تحويل حركة المرور إلى كمبيوتر المهاجم (أو أي كمبيوتر آخر).

نظرة عامة على نظام اسم المجال

يقوم خادم نظام اسم المجال بترجمة اسم مجال يمكن قراءته بواسطة الإنسان (مثل Example.com) إلى عنوانعنوان بروتوكول الإنترنت رقمي يُستخدم لتوجيه الاتصالات بين العقد. عادة إذا كان الخادم لا يعرف الترجمة المطلوبة، فإنه يطلب من خادم آخر، وتستمر العملية بشكل متكرر. لزيادة الأداء، سيتذكر الخادم عادةً (يخزن مؤقتًا) هذه الترجمات لفترة زمنية معينة. هذا يعني أنه إذا تلقى طلبًا آخر لنفس الترجمة، فيمكنه الرد دون الحاجة إلى طلب أي خوادم أخرى، حتى تنتهي صلاحية ذاكرة التخزين المؤقت.

عندما يتلقى خادم انتحال أسماء النطاقات ترجمة خاطئة ويخزنها مؤقتًا لتحسين الأداء، فإنه يُعتبر مضطربًا ويوفر البيانات الخاطئة للعملاء. إذا تعرض خادم انتحال أسماء النطاقات للتلف، فقد يقوم بإرجاع عنوانعنوان بروتوكول الإنترنت غير صحيح، مما يؤدي إلى تحويل حركة المرور إلى كمبيوتر آخر (غالبًا ما يكون مهاجمًا).[1]

هجمات التسمم المخبأ

عادة، يستخدم الكمبيوتر المتصل بالشبكة خادم انتحال أسماء النطاقات الذي يوفره مزود خدمة الإنترنت (ISP) أو مؤسسة مستخدم الكمبيوتر. تُستخدم خوادم انتحال أسماء النطاقات في شبكة إحدى المؤسسات لتحسين أداء الاستجابة للحل عن طريق التخزين المؤقت لنتائج الاستعلام التي تم الحصول عليها مسبقًا. يمكن أن تؤثر هجمات التسمم على خادم انتحال أسماء النطاقات واحد على المستخدمين الذين يتم خدمتهم بشكل مباشر من خلال الخادم المخترق أو أولئك الذين يتم خدمتهم بشكل غير مباشر بواسطة خادم (خوادم) المصب إذا كان ذلك ممكنًا.[2]

لتنفيذ هجوم تسمم ذاكرة التخزين المؤقت، يستغل المهاجم العيوب الموجودة في برنامج انتحال أسماء النطاقات. يجب أن يتحقق الخادم بشكل صحيح من استجابات انتحال أسماء النطاقات للتأكد من أنها من مصدر موثوق (على سبيل المثال باستخدام ملحقات أمان نظام اسم المجال ) ؛ وإلا فقد ينتهي الأمر بالخادم بالتخزين المؤقت للإدخالات غير الصحيحة محليًا وتقديمها للمستخدمين الآخرين الذين يقدمون نفس الطلب.

يمكن استخدام هذا الهجوم لإعادة توجيه المستخدمين من موقع ويب إلى موقع آخر يختاره المهاجم. على سبيل المثال، ينتحل أحد المهاجمين إدخالات انتحال أسماء النطاقات لعنوانعنوان بروتوكول الإنترنت لموقع ويب مستهدف على خادم انتحال أسماء النطاقات معين ويستبدلها بعنوانعنوان بروتوكول الإنترنت لخادم تحت سيطرته. يقوم المهاجم بعد ذلك بإنشاء ملفات على الخادم تحت سيطرته بأسماء تطابق تلك الموجودة على الخادم الهدف. تحتوي هذه الملفات عادةً على محتوى ضار، مثل الفيروسات المتنقلة أو الفيروسات. يتم خداع المستخدم الذي قام جهاز الكمبيوتر الخاص به بالإشارة إلى خادم انتحال أسماء النطاقات المخالف لقبول المحتوى القادم من خادم غير أصلي ويقوم بتنزيل المحتوى الضار دون علمه. يمكن أيضًا استخدام هذه التقنية لهجمات التصيد الاحتيالي، حيث يتم إنشاء نسخة مزيفة من موقع ويب أصلي لجمع التفاصيل الشخصية مثل تفاصيل البنك وبطاقة الائتمان / الخصم.

المتغيرات

في المتغيرات التالية، إدخالات الخادم ns.target.example وإعادة توجيهه إلى خادم اسم المهاجم على عنوانعنوان بروتوكول الإنترنتw.x.y.z. تفترض هذه الهجمات أن خادم الأسماء لـtarget.example هوns.target.example

لإنجاز الهجمات، يجب على المهاجم إجبار خادم انتحال أسماء النطاقات المستهدف على تقديم طلب لمجال يتحكم فيه أحد خوادم الأسماء الخاصة بالمهاجم.[بحاجة لمصدر]

أعد توجيه خادم اسم المجال الهدف

يتضمن البديل الأول لإفساد ذاكرة التخزين المؤقت لنظام أسماء النطاقات إعادة توجيه خادم الاسم الخاص بمجال المهاجم إلى خادم الاسم للمجال الهدف، ثم تعيين عنوانعنوان بروتوكول الإنترنت لخادم الاسم هذا الذي حدده المهاجم.

طلب خادم انتحال أسماء النطاقات: ما هي سجلات العناوينsubdomain.attacker.example ؟

subdomain.attacker.example. في

رد المهاجم:

إجابة:
(لا يوجد رد)

قسم الهيئة:
مهاجم مثال. 3600 في NS ns.target.example.

قسم إضافي:
ns.target.example. في wxyz

قد يقوم الخادم الضعيف بالتخزين المؤقت لسجل A الإضافي (عنوانعنوان بروتوكول الإنترنت) لـns.target.example، مما يسمح للمهاجم بحل الاستعلامات بالكاملtarget.example.

أعد توجيه سجل NS إلى مجال هدف آخر

يتضمن البديل الثاني لإفساد ذاكرة التخزين المؤقت لنظام أسماء النطاقات إعادة توجيه خادم الأسماء لمجال آخر غير مرتبط بالطلب الأصلي إلى عنوانعنوان بروتوكول الإنترنت الذي حدده المهاجم. 

طلب خادم انتحال أسماء النطاقات: ما هي سجلات العناوينsubdomain.attacker.example ؟

subdomain.attacker.example. في

رد المهاجم:

إجابة:
(لا يوجد رد)

قسم الهيئة:
الهدف. مثال. 3600 في NS ns.attacker.example.

قسم إضافي:
ns.attacker.example. في wxyz

قد يقوم الخادم الضعيف بالتخزين المؤقت لمعلومات الاستناد غير ذات الصلة لـtarget.example NS الخاص بـ target.example (إدخال خادم الأسماء)، مما يسمح للمهاجم بحل الاستعلامات بالكاملtarget.example.

الوقاية والتخفيف

يمكن منع العديد من هجمات إفساد ذاكرة التخزين المؤقت ضد خوادم انتحال أسماء النطاقات من خلال تقليل الثقة في المعلومات التي تم تمريرها إليها من خلال خوادم انتحال أسماء النطاقات الأخرى، وتجاهل أي سجلات انتحال أسماء النطاقات تم تمريرها مرة أخرى والتي لا تتعلق مباشرة بالاستعلام. على سبيل المثال، تقوم إصدارات بايند 9.5.0-P1[3] وما فوق بإجراء هذه الفحوصات.[4] يمكن أن يؤدي التوزيع العشوائي لمنفذ المصدر لطلبات انتحال أسماء النطاقات، جنبًا إلى جنب مع استخدام أرقام عشوائية آمنة مشفرة لاختيار كل من منفذ المصدر و الرقم الخاص 16 بت، إلى تقليل احتمالية نجاح هجمات سباق انتحال أسماء النطاقات بشكل كبير.

ومع ذلك، عندما تقوم أجهزة التوجيه والجدران النارية والوكلاء وأجهزة البوابة الأخرى بإجراء ترجمة عنوان الشبكة (NAT)، أو بشكل أكثر تحديدًا، ترجمة عنوان المنفذ (PAT)، فقد تعيد كتابة منافذ المصدر من أجل تتبع حالة الاتصال. عند تعديل منافذ المصدر، قد تقوم أجهزة اختبار الأجهزة المحمولة (PAT) بإزالة عشوائية منفذ المصدر التي يتم تنفيذها بواسطة خوادم الأسماء ومحللات كعب روتين.[5]

يستخدم انتحال أسماء النطاقات الآمن ( ملحقات أمان نظام اسم المجال ) التوقيعات الرقمية المشفرة الموقعة بشهادة مفتاح عام موثوق به لتحديد مصداقية البيانات. يمكن لـ ملحقات أمان نظام اسم المجال مواجهة هجمات تسمم ذاكرة التخزين المؤقت. في عام 2010، تم تنفيذ ملحقات أمان نظام اسم المجال في خوادم منطقة جذر الإنترنت.،[6] ولكن يجب نشرها على جميع خوادم نطاقات المستوى الأعلى أيضًا. يظهر جاهزية ملحقات أمان نظام اسم المجال لهذه في قائمة نطاقات المستوى الأعلى للإنترنت. اعتبارًا من عام 2020، تدعم جميع نطاق المستوى الأعلى الأصلية ملحقات أمان نظام اسم المجال، كما هو الحال مع نطاق المستوى الأعلى الخاصة برمز الدولة لمعظم البلدان الكبيرة، ولكن العديد من نطاقات نطاق المستوى الأعلى لرموز البلدان ما زالت لا تفعل ذلك.

يمكن تخفيف هذا النوع من الهجوم في طبقة النقل أو طبقة التطبيق عن طريق إجراء تحقق شامل بمجرد إنشاء اتصال. ومن الأمثلة الشائعة على ذلك استخدام أمان طبقة النقل والتوقيعات الرقمية. على سبيل المثال، باستخدام بروتوكول نقل النص التشعبي الآمن (الإصدار الآمن من بروتوكول نقل النص الفائق)، يمكن للمستخدمين التحقق مما إذا كانت الشهادة الرقمية للخادم صالحة وتنتمي إلى المالك المتوقع لموقع الويب. وبالمثل، يتحقق برنامج تسجيل الدخول عن بُعد من خلال بروتوكول النقل الآمن الآمن من الشهادات الرقمية عند نقاط النهاية (إذا كانت معروفة) قبل متابعة الجلسة. بالنسبة للتطبيقات التي تقوم بتنزيل التحديثات تلقائيًا، يمكن للتطبيق تضمين نسخة من شهادة التوقيع محليًا والتحقق من صحة التوقيع المخزن في تحديث البرنامج مقابل الشهادة المضمنة. 

انظر أيضا

مراجع

  1. ^ Son، Sooel؛ Shmatikov، Vitaly. "The Hitchhiker's Guide to DNS Cache Poisoning" (PDF). جامعة كورنيل. مؤرشف من الأصل (PDF) في 2017-08-14. اطلع عليه بتاريخ 2017-04-03.
  2. ^ Storms، Andrew (2006). "Don't Trust Your Vendor's Software Distribution Methodology". Information Systems Security. ج. 14 ع. 6: 38–43. DOI:10.1201/1086.1065898X/45782.14.6.20060101/91858.8. {{استشهاد بدورية محكمة}}: الوسيط غير المعروف |بواسطة= تم تجاهله يقترح استخدام |عبر= (مساعدة)
  3. ^ "BIND Security Matrix". ISC Bind. مؤرشف من الأصل في 2011-11-11. اطلع عليه بتاريخ 2011-05-11.
  4. ^ "ISC Bind Security". ISC Bind. مؤرشف من الأصل في 2011-11-11. اطلع عليه بتاريخ 2011-05-11.
  5. ^ Dearing، Christopher (2019). "Personal Information as an Attack Vector: Why Privacy Should Be an Operational Dimension of U.S. National Security †". Journal of National Security Law & Policy. ج. 10: 351–403. مؤرشف من الأصل في 2021-10-22. {{استشهاد بدورية محكمة}}: الوسيط غير المعروف |بواسطة= تم تجاهله يقترح استخدام |عبر= (مساعدة)
  6. ^ "Root DNSSEC". ICANN/Verisign. ص. 1. مؤرشف من الأصل في 2017-09-10. اطلع عليه بتاريخ 2012-01-05.