دزدی DNS چیست و برای مقابله با آن چه کنیم؟
در دنیای امروزی، حفظ امینت دستگاه‌های مختلف در مقابل هکرها به خودی خود مشکل است. اما همان طور که در این هفته WikiLeaks یادآوری کرد، روشی وجود دارد که هکرها به وسیله‌ی آن حتی بدون دست زدن مستقیم
می‌توانند کنترل کل سایت شما در اختیار بگیرند. در این روش با استفاده از زیرساخت‌های اینترنت، کنترل بازدیدکننده‌های خدمات شبکه سایت شما در دسترس هکرها قرار می‌گیرد و حتی می‌توانند ایمیل‌ها را قبل از رسیدن به شبکه‌ی شما بخوانند.



صبح روز گذشته، بازدیدکنندگان سایت WikiLeaks.org مشاهده کردند اطلاعاتی که قبلاً بر روی این سایت منتشر شده بود دیگر در دسترس نیست، در عوض پیامی تمسخرآمیز از طرف گروه هکری OurMine در سایت وجود دارد.
موسس ویکی‌لیکس، ژولیان آسانژ (Julian Assange)، در توئیتر خود توضیح داد که سایت ظاهراً از طریق DNS، یا سامانه‌ی نام دامنه، با استفاده از یک روش قدیمی موسوم به دزدی DNS هک شده است. بر این اساس، احتمالاً
نفوذی به سرورهای سایت صورت نگرفته است. گروه OurMine برای جابجا کردن بازدیدکننده‌ها به مقصد مورد نظر خود، از یک لایه‌ی اساسی‌تر خود اینترنت استفاده کردند.

دزدی DNS چیست؟

در دزدی DNS، از چگونگی عملکرد سامانه‌ی نام دامنه به عنوان دفتر تلفن اینترنت استفاده می‌شود. به عبارت خدمات شبکه دقیق‌تر، مرورگر چندین دفتر تلفن را بررسی کرده و هر دفتر به مرورگر می‌گوید که برای قدم بعدی باید به
کدام دفتر مراجعه شود، تا در نهایت، دفتر اصلی محل سروری که سایت در آن میزبانی شده را نشان می‌دهد، و کاربر به سایت درخواستی خود می‌رسد. وقتی آدرسی مثل Google.com را در مرورگر خود وارد می‌کنید،
سرورهای DNS که توسط اشخاص ثالث میزبانی شده‌اند، مثل ثبت کننده‌ی دامنه‌ی سایت، این نام را به آدرس IP سروری که اطلاعات سایت در آن میزبانی شده ترجمه می‌کنند.

یکی از محققان امنیتی شرکت F5 Networks که تاکنون مقاله‌های زیادی درباره‌ی DNS و چگونگی نصب شبکه امکان هک شدن آن توسط هکرها نوشته است، می‌گوید: «DNS اساساً اسم شما در جهان است. مردم با این اسم شما
را می‌شناسند. اگر کسی سرِ چشمه برود و به آن ورودی‌های اشتباه بدهد، همه‌ی ترافیک سایت شما مثل ایمیل‌ها و سایر سرویس‌هایی که مقصدشان شما بودید به محل دیگری منتقل می‌شود.»

پیدا کردن DNS یک فرآیند پیچ در پیچ و کاملاً از کنترل وبسایت مقصد خارج است. برای ترجمه‌ی دامنه به آدرس IP، مرورگر از یک سرور DNS – که توسط سرویس دهنده‌ی اینترنت شما میزبانی شده – آدرس محل دامنه را می‌پرسد،
این سرور سپس مجدداً همین سوال را از سرور DNS که توسط نام دامنه‌های سطح اول (سازمان‌هایی که مسئول دامنه‌هایی مثل com. یا org. هستند) یا ثبت کننده‌ی دامنه میزبانی شده می‌پرسد. بعد این سوال دوباره از
سرور DNS وبسایت پرسیده می‌شود. هر هکری که بتواند در مکانی از این زنجیره بازدیدکننده را به یک مقصد اشتباه بفرستد، می‌تواند طوری جلوه دهد که انگار سایت از کار افتاده یا حتی کاربران را به وبسایتی بفرستد که خودش کنترل آن را در دسترس دارد.

Pompon می‌گوید: « فرآیند پرس‌وجو و بازگشت اطلاعات روی سرور افراد دیگر انجام می‌شود. فقط در انتها بازدیدکننده به سرور شما می‌رسد.»

در مورد ویکی‌لیکس، به طور واضح مشخص نیست که مهاجم به کدام بخش زنجیره دسترسی یافته، یا چطور موفق شده بخشی از مخاطبان این سایت را به سایت خود منتقل کند. (ویکی‌لیکس با استفاده از یک محافظ
امنیتی موسوم به HTTPS Strict Trasport Security موفق شد از تغییر مسیر خیلی از بازدیدکننده‌ها جلوگیری کند و فقط یک پیغام خطا به آن‌ها نشان دهد.) ولی به نظر نمی‌رسد که OurMine برای انجام این حمله نیازمند
نفوذ عمیقی به درون شبکه‌ی ثبت کننده‌ی دامنه بوده باشد. با یک مهندسی اجتماعی ساده می‌توان از طریق ایمیل یا خدمات شبکه تماس تلفنی از مدیران شرکت‌های ثبت کننده مثل Dynadot یا GoDaddy خواست تا آدرس IP محل سرورها را تغییر دهند.

دزدی DNS می‌تواند عواقب وخیمی داشته باشد. اگر این کار به دست هکرهایی پلیدتر از گروه OurMine انجام می‌شد، آن‌ها می‌توانستند منابع ویکی‌لیکس را به سایت جعلی خودشان منتقل کنند تا هویت گردانندگان آن را فاش کنند.
به گزارش بخش تحقیقات شرکت Kaspersky، در اکتبر ۲۰۱۶، هکرها برای تغییر مسیر ترافیک ۳۶ مورد از بانک‌های برزیلی از روش دزدی DNS استفاده کردند. تا حدود ۶ ساعت، کل ترافیک این بانک‌ها به صفحات فیشینگی منتقل می‌شد
که روی کامپیوتر کاربران بدافزار نصب می‌کرد. محقق شرکت کسپراسکای دمیتری بستوژف (Dmitry Bestuzhev) در ماه آوریل که کسپراسکای این حمله نصب شبکه را فاش کرده به Wired گفته بود: «یقیناً همه‌ی ساز و کارهای آنلاین بانک‌ها تحت کنترل مهاجمین است.»

در یک حادثه‌ی دزدی DNS دیگر در سال ۲۰۱۳، هکرهایی موسوم به ارتش الکترونیک سوری کنترل وبسایت خبری نیویورک تایمز را در دست گرفتند. و احتمالاً در بزرگترین حمله‌ی DNS چند سال اخیر، هکرها با استفاده از بات‌نت Mirai که
از دستگاه‌های اینترنت چیزها تشکیل شده بود، به سرورهای Dyn حمله کردند و باعث شدند سایت‌های بزرگ زیادی مثل آمازون، توئیتر و ردیت (Reddit) ساعت‌ها از دسترس خارج شوند.

مقابله با دزدی DNS

هیچ روشی برای محافظت قطعی در مقابل این نوع حملات که حتی به ویکی‌لیکس و نیویورک تایمز آسیب زدند، وجود ندارد، اما تدابیر مقابله‌ای خاصی می‌توان در نظر داشت. مدیران سایت‌ها می‌توانند از سرویس‌های ثبت دامنه‌ای استفاده
کنند که دارای فاکتورهای چندگانه‌ی احراز هویت باشند، یعنی مثلاً اگر کسی خواست تنظیمات DNS یک سایت را تغییر دهد باید به Google Authenticator یا Yubikey مدیر سایت خدمات شبکه دسترسی داشته باشد. به این روش تنظیمات DNS فقط به دست مدیر سایت و به خواست خود ثبت کننده قابل تغییر خواهد بود.

در غیر این صورت، خیلی راحت با دزدی DNS می‌توان کنترل کامل ترافیک سایت را در اختیار گرفت، و جلوگیری از این مسئله هم به کلی از توان شما خارج است.