بررسی حملات DNS Cache Poisoning

[Sabo3eur]

بررسی حملات

DNS Cache Poisoning

DNS poisoningاین مدت مطالب بسیاری بوده است كه سعی می كنم در صورت لزوم به برخی اشاره كنم . یكی از این موارد

می باشد . با اینكه مورد بسیار مهمی است اما كمتر به آن اشاره شده است . من سعی می كنم در این نوشته به اختصار

توضیحی روان برای آن ارائه بدهم و بیشتر به وارد مرجع اشاره كنم .

: DNS Cache Poisoning ابتدای تاریخچه كشف

وجود داشت و منجر به اولین مورد DNSاین اسیب پذیری مربوط می شود به سال 1993 و یافتن ایرادهایی منطقی كه در تعریف

شد . DNS Cache Poisoning

برای مطالعه كامل در مورد تاریخچه و روند بررسی تا به امروز میتوانید از لینک زیر کمک بگیرید !!!

http://www.lurhq.com/dnscache.pdf

مدتی پیش در یعنی ماه مارس 2005 یك حمله بسیار گسترده در این مورد انجام شد . بیش از 500 موسسه بزرگ دنیا قربانی

.منحرف شدند (Cairex.net)شدند و در سه حمله متوالی وب سایت های آن ها به سایت های دیگری مثل

این حمله ها آغازی بود برای بررسی بیشتر بر روی این نقص و ارایه راه كار های مختلف .

یك گزارش كامل تهیه كرد كه پیش نهاد می كنم آن را كامل مطالعه كنید . SANSدر همین زمینه

در این گزارش آغاز حمله و آمار های زیادی وجود دارد :

http://isc.sans.org/presentations/dnspoisoning.php

سرور مورد استفاده شما آسیب پذیر باشد این صفحه DNS البته در صورتی كه برای اینكه به صورت عملی این ایراد را ببینید

را ببینید !!!!!

http://ketil.froyn.name/poison.html

اهمیت این ایراد امنیتی به دلیل خطری است كه برای تجارت شما و یا اطلاعات شخصی افراد می تواند داشته باشد .

بیشترین ضرری كه این مورد تا به حال وارد كرده است بر اثر سرقت اطلاعات كارت های اعتباری می باشد .

سرور شما اطلاعات او دزدیده شود . DNSفرض كنید كاربر شبكه شما قصد خرید آنلاین داشته باشد و به علت نقص

سرور به یک سایت DNSو یا شریك تجاری شما قصد بازدید از وب سایت شركت شما را داشته باشد ولی به علت ایراد یک

مستهجن هدایت شود .

روش هایی كه برای پیشگیری از این موارد و شاید سایر آسیب پذیری ها وجود دارند :

استفاده می كنید، حتما به نسخه ای بالاتر از BINDسرور شبكه خود را بروز كنید . اگر مانند اكثر شبكه ها از DNSهمیشه

میتوانید مقاله زیرDNSSec استفاده كنید . برای آشنایی بیشتر با DNSSec مهاجرت كنید و اگر این امكان را ندارید از 9.2.5

. Gmail همان خالق Bernsteinرا بخوانید !!! نوشته

http://www.onlamp.com/pub/a/onlamp/2...14/dnssec.html

استفاده كنید . djbdnsاگر كمی حوصله دارید و كنجكاو هستید از

http://cr.yp.to/djbdns.html

چند توصیه هم در آخر كه هركدام بسته به شرایط شما می توانید برای شبكه ای امن تر مفید واقع شود .

. شما قابل توجه هستندname serverبه تمامی این موارد بدون توجه

شبكه پیاده كنید . در این حالتهای خود را به صورت جداگانه در سگمنت های مختلف name server1 - در صورت امكان

های خودتان پیاده كنید . دقت داشته باشید که در این حالت میبایست برای name server را در مورد redundancyمیتوانید

یک راه حل جهت هماهنگی بین آن ها نیز تصمیم گیری كنید .

و از فورواردر ها داخلی و خارجی شبكه خود را از هم مجزا كنید name server 2 - در صورت كه این امكان را دارید

برای شبكه داخلی استفاده كنید . سرویس دهنده نام خارجی می بایست به هر درخواستی پاسخ دهد به جز فورواردر ها !!

ها استفاده کنیدDirectory Service را محدود كنید . البته در صورتی كه از dynamic DNS updates 3 - اگر امكان دارید

ممكن است نتوانید از این مورد بهره جویید .

روش دیگری كه در مورد بسیاری از سرویس های حیاتی شبكه شما می تواند مهم باشد پنهان كردن ورژن برنامه سرویس

استفاده میکنید حتما این کار را انجام دهید !!!BIND دهنده است اگر از

4 - سرویس های اضافه را بر روی ماشین سرور غیر فعال كنید و از یك فایروال كه به خوبی برای پاسخ به درخواست های

Fun_x7مربوطه تنظیم شده است استفاده كنید (لطفا برای كامل كردن این نوشته نظرات خود را اضافه كنید)

هر تجربه برای شبكه ای امن تر مفید است

دلیل اینکه به این مطلب اشاره شد، تقریبا برای شما که این مطلب رو می خوانید روشن است . امروز تعداد زیادی از وب

سایت های پرمخاطب ایرانی مورد حمله قرار گرفت . هنوز اطلاعات کاملی از نوع حمله ها منتشر نشده است ولی حداقل در

سرور در سمت سرویس دهنده های ایرانی اشاره شده است . DNSمورد پایگاه پرشین بلاگ به آلوده سازی

http://www.persianblog.com/news/entr...le=news&id=387

کمی آشنایی با این حمله ها این نکته را یادآور می شود که در واقع تنها ضرری که این حمله به پایگاه های قربانی وارد می

کند عدم دسترسی برای آن ها است . اما به این مورد نیز باید توجه داشت علاوه بر نمایش اطلاعات نامربوط ،امکان دزیدن

اطلاعات شخصی کاربران نیز وجود خواد داشت . همینطور می بایست یادآوری شود امکان جلوگیری از این حمله ها برای دیتا

سنتر های بزرگ امکان پذیر است .

امیدوارم اطلاعات کامل تر و دقیق تری درباره ماهیت این حمله ها منتشر شود . در هر صورت باید به خاطر داشته باشیم حق

تمامی کاربران است تا از اتفاقاتی که می افتد آگاه باشند !!

اگر کمی وقت داشتید چند لینک معرفی شده اطلاعات بسیار خوبی را در اختیار شما خواهند گذاشت .

http://www.lurhq.com/cachepoisoning.html

http://www.corecom.com/external/live...nsphishing.htm

http://ketil.froyn.name/poison.html

http://weblog.techopedia.net/techopedia

sabo3eurنویسنده :