DNSSEC چیست؟

DNSSEC چیست؟

DNSSEC مجموعه ای از برنامه های افزودنی است که با تأیید اینکه نتایج DNS با آنها دستکاری نشده است ، امنیت سیستم نام دامنه (DNS) را بهبود می بخشد. شرکتها می توانند از DNSSEC برای بهبود امنیت DNS خود استفاده کنند.

فناوری DNS با در نظر داشتن امنیت طراحی نشده است. یکی از نمونه های حمله به زیرساخت های DNS ، کلاهبرداری DNS است. یک حمله کننده حافظه پنهان یک حل کننده DNS را ربوده و باعث می شود کاربرانی که به یک وب سایت مراجعه می کنند یک آدرس IP نادرست دریافت کنند و به جای سایت مورد نظر ، سایت مخرب یک مهاجم را مشاهده کنند.

DNS 

DNSSEC می تواند به سازمانها کمک کند تا از داده های حساس و تعاریف ذخیره شده در سرور DNS محافظت کنند: برخی نمونه از داده های ذخیره شده در DNS و توسط DNSSEC محافظت می شوند:

  • آدرس های IP
  • جزئیات سرور تبادل نامه
  • اطلاعات میزبان ، مانند نسخه CPU و OS.

اما مهمتر از همه ، DNSSEC می تواند از پیوستگی داده های انجام شده از طریق DNS جلوگیری کند. معمول است که مهاجمان برای دور زدن کنترل های امنیتی از DNS استفاده کنند و داده های حساس را از طریق سرور DNS به خارج از سازمان انتقال دهند. یکی از راه های انجام این کار ، گرفتن داده های ذخیره شده در یک سرور داخلی و ایجاد درخواست های DNS به یک سرور خارجی است که نسخه های رمزگذاری شده Base64 آن داده ها را در اختیار شما قرار می دهد.

امنیت DNS با استفاده از DNSSEC

DNSSEC با استفاده از فناوری امضای دیجیتالی سعی در تأیید صحت پاسخ های ارسال شده توسط سرورهای نام به مشتری دارد. DNSSEC امضاهای رمزنگاری را به سوابق DNS اضافه می کند ، که از داده های منتشر شده در DNS محافظت می کند.

با DNSSEC ، حل کننده DNS قبل از ارائه پاسخ به مشتری ، امضای همراه با یک سابقه را بررسی می کند تا صحت آن را تأیید کند. همه سوابق باید با اطلاعات ذخیره شده در یک سرور DNS معتبر مطابقت داشته باشند.

برای تسهیل اعتبار امضای دیجیتال ، DNSSEC چندین نوع منبع جدید DNS را برای منابع تعریف می کند.

امضای ضبط منابع (RRSIG)

ضبط RRSIG حاوی امضای رمزنگاری برای مجموعه ضبط شده معین است.

DNSKEY

یک ضبط DNSKEY یک کلید عمومی را دارد که در فرآیند احراز هویت DNS استفاده می شود. هنگامی که یک رهبر DNS آگاه از امنیت پاسخ DNSSEC را دریافت می کند ، کلید عمومی را بازیابی می کند و از آن برای تأیید امضاهای بقیه سوابق استفاده می کند. یک سرور نام معتبر یک کلید عمومی فراهم می کند ، که از کلید خصوصی مطابق آن برای امضای آن سوابق استفاده شده است.

DS

نمایندگی DNS فرایند تقسیم فضای نام DNS به یک یا چند منطقه است. سابقه امضاء نمایندگان (DS) ‘اثر انگشت’ آشکار از DNSKEY عمومی است که در منطقه والدین ذخیره می شود.

وقتی یک حل کننده سعی می کند از منطقه کودک به پرونده های خود دسترسی پیدا کند ، DNSKEY عمومی ذخیره شده در منطقه کودک را تأیید می کند. برای انجام این کار ، DNSKEY را هشدار می دهد و نتایج هشتگ را با سابقه DS ذخیره شده در منطقه والدین مقایسه می کند. اگر مسابقه ای برقرار باشد ، حل کننده می تواند به همه رکوردها در منطقه کودک اعتماد کند.

NSEC

یک رکورد امن بعدی (NSEC) نام رکورد معتبر بعدی را مطابق دستور مرتب سازی DNSSEC برمی گرداند ، به یک رأی دهنده DNS اجازه می دهد تا اثبات کند که سابقه DNS وجود ندارد. بدون سوابق NSEC ، سرور DNS پاسخ خالی برای سوابق غیر موجود را برمی گرداند ، بنابراین نمی توان بررسی کرد که آیا این سابقه وجود دارد یا خیر.

یک مشکل احتمالی در پرونده های NSEC پیاده سازی NSEC است که به هکرها این امکان را می دهد تا کلیه محتویات یک منطقه را با ‘پیاده روی’ در تمام سوابق NSEC کشف کنند.

NSEC3

NSEC3 پتانسیل قدم زدن در NSEC را با برخورداری از رمزنگاری به کلیه نامهای ثبت شده در یک منطقه برهم می زند.

پارامتر (NSEC3 (NSEC3PARAM

این نوع ضبط شامل پارامترهای مورد نیاز برای سرور DNS برای تعیین اینکه کدام سوابق NSEC3 در پاسخ به درخواست های DNSSEC برای نامهای غیر موجود است باشد.

حمله DNSSEC و DDoS

DNSSEC برای کاهش خطر احتراق DNS مفید است ، زیرا می تواند به تأیید درخواست DNS کمک کند. با این حال ، این خطر حملات توزیع انکار سرویس (DDoS) با اعمال نفوذ به سرورهای DNS را برطرف نمی کند. در حقیقت ، DNSSEC به طور بالقوه می تواند اثرات DDoS را تقویت کند.

پاسخ های ارسال شده برای نمایش داده شدگان DNS به دلیل وجود فیلدهای اضافی و اطلاعات رمزنگاری شده برای تأیید سوابق در DNSSEC بزرگتر هستند. پاسخهای بزرگتر می توانند به مهاجمان اجازه دهند تا در مقایسه با DNS معمولی ، ۷۰ برابر حجم حمله را با همان پهنای باند ، بدست آورند.

پرسنل امنیتی اینترنت می توانند اقدامات متقابل متفاوتی را انجام دهند که باعث کاهش خطر تقویت DDoS از جمله فیلتر ورود ، محدود کردن نرخ پاسخ و محدود کردن اندازه پاسخ می شود.

فرآیند اعتبار سنجی DNSSEC

نمونه ای از فرآیند اعتبار سنجی DNSSEC

مراحل اعتبار سنجی DNSSEC مراحل زیر را شامل می شود:

  1. یک کاربر آدرس URL (به عنوان مثال مثال.com) را در مرورگر خود تایپ می کند. به منظور کشف آدرس IP برای نام میزبان ، مرورگر از DVS رایانه محلی (به نام ‘حل کننده خرد’ استفاده می کند). یک حل کننده یک جزء نرم افزاری است که وظیفه یابی و بازگشت آدرس IP صحیح برای یک دامنه را دارد.
  2. اگر حل کننده محلی خرد در آدرس خود آدرس IP را دارد ، آن را به مرورگر باز می گرداند. در غیر اینصورت ، درخواست را به یک حل کننده بازگشتی مدیریت می کند که توسط ارائه دهنده خدمات اینترنت (ISP) مدیریت می شود.
  3. اگر گیرنده بازگشتی آدرس IP را در حافظه نهان خود داشته باشد ، آن را برمی گرداند. در غیر این صورت ، یک جستجوی بازگشتی برای شناسایی سرور DNS که اطلاعات معتبر برای دامنه درخواست شده را در اختیار دارد ، شروع می شود.
  4. حل کننده بازگشتی با تماس با سرور root DNS شروع می شود و به سرور DNS سطح بالا (TLD) برای دامنه ارجاع می شود. (به عنوان مثال ، مثال.com ، سرور جهانی DNS برای همه دامنه .com).
  5. سرور TLD DNS حل کننده را به یک سرور نام معتبر ارجاع می دهد – یک سرور DNS که سوابق DNS را برای دامنه درخواست شده نگه می دارد.
  6. در هر مرحله ، این حل کننده از یک کلید DNSSEC در ارتباط با منطقه DNS درخواست می کند تا صحت سرور را تأیید کند. در اینجا ، سرور معتبر DNS نیز یک کلید DNSSEC را برای منطقه ‘shembull.com’ DNS درخواست می کند. سرور DNS معتبر پاسخ DNS را با پرونده های RRSIG گنجانده شده برمی گرداند.
  7. حل کننده بازگشتی RRSIG را تأیید می کند ، تأیید می کند که ثبت آدرس واقعاً توسط سرور نام معتبر ارسال شده است و در ترانزیت تغییر نکرده است. سپس پاسخ DNS معتبر را با آدرس IP به مشتری DNS ارسال می کند.

منبع

تقویت DNS

حمله تقویت کننده DNS چیست؟

تقویت DNS یک حمله توزیع شده انکار سرویس (DDoS) است که در آن مهاجم از آسیب پذیری های موجود در سرورهای سیستم نام دامنه (DNS) سوء استفاده می کند تا در ابتدا سؤالات کوچک را به بارهای بسیار بزرگتری تبدیل کند ، که برای پایین آوردن سرورهای قربانی استفاده می شود.

تقویت DNS نوعی حمله بازتابی است که سیستم های نام دامنه با دسترسی عمومی را دستکاری می کند ، و باعث می شود تا آنها با مقادیر زیادی بسته های UDP هدف را سیلاب کنند. با استفاده از تکنیک های مختلف تقویت ، عاملان می توانند اندازه این بسته های UDP ‘باد’ کنند ، این حمله را چنان قدرتمندتر می کند که حتی قوی ترین زیرساخت های اینترنت را خراب می کند.

توضیحات حمله

تقویت DNS ، مانند سایر حملات تقویت ، نوعی حمله بازتاب است. در این حالت ، انعکاس با ایجاد پاسخی از رسیورهای DNS به یک آدرس IP فاسد حاصل می شود.

در حین حمله تقویت DNS ، مرتکب یک سؤال DNS با یک آدرس IP جعلی (مقتول) را به یک حل کننده باز DNS ارسال می کنید ، و از شما می خواهد با پاسخ DNS دوباره به آن آدرس پاسخ دهند. با ارسال تعداد زیادی از پرس و جوهای جعلی ، و با چندین حل کننده DNS که به طور همزمان پاسخ می دهند ، شبکه قربانی می تواند به راحتی از تعداد پاسخ های DNS غافل شود.

Imperva یک حمله تقویت DNS را کاهش می دهد و اوج آن در ۱۰۰Gbps است.

حملات بازتابی حتی وقتی تقویت می شوند خطرناک تر هستند. ‘تقویت’ به انتخاب پاسخ سرور است که متناسب با درخواست اولیه بسته ارسال شده نیست.

بیشتر بخوانید >>‌ کلاهبرداری آدرس IP

برای تقویت حمله DNS ، هر درخواست DNS را می توان با استفاده از پسوند پروتکل EDNS0 DNS ارسال کرد ، که امکان ارسال پیامهای بزرگ DNS را فراهم می کند ، یا با استفاده از ویژگی رمزنگاری شده از پسوند امنیتی DNS (DNSSEC) برای افزایش اندازه پیام. همچنین می توانید از نمایش داده های جعل شده از نوع ‘ANY’ که تمام اطلاعات شناخته شده در مورد یک منطقه DNS را باز می گرداند ، استفاده شود.

با استفاده از این روشها و سایر روشها ، می توانید پیغام درخواست DNS در حدود ۶۰ بایت را تنظیم کنید تا یک پیام پاسخ بیش از ۴۰۰۰ بایت را به سرور هدف منتقل کنید – در نتیجه یک عامل تقویت ۷۰: ۱ ایجاد می شود. این امر به میزان قابل توجهی حجم ترافیکی را که سرور هدفمند دریافت می کند ، افزایش می دهد و سرعت تسریع منابع سرور را تسریع می کند.

علاوه بر این ، حملات تقویت DNS به طور کلی درخواستهای DNS را از طریق یک یا چند باتنت انتقال می دهند – به طور چشمگیر حجم ترافیک به سمت سرور یا سرورهای هدفمند را افزایش می دهد ، و ردیابی هویت مهاجم را بسیار سخت تر می کند.

روش کاهش

روشهای متداول برای جلوگیری یا کاهش تأثیر حملات تقویت DNS شامل سفت شدن امنیت سرور DNS ، مسدود کردن سرورهای خاص DNS یا همه سرورهای رله بازگشتی بازگشتی و محدود کردن نرخ است.

با این حال ، این روشها منابع حمله را از بین نمی برند ، و همچنین باعث کاهش بار شبکه ها و سوئیچ ها بین سرورهای نام و سرورهای بازگشتی نمی شوند. همچنین ، مسدود کردن تمام ترافیک از سرورهای بازگشتی باز می تواند در تلاشهای ارتباطی DNS مشروع اختلال ایجاد کند. به عنوان مثال ، برخی سازمان ها سرورهای بازگشتی باز را حفظ می کنند تا کارگران موبایل بتوانند از سرور نام ‘قابل اعتماد’ برطرف شوند. مسدود کردن ترافیک از این سرورها می تواند مانع دسترسی آنها شود.

Imperva DDoS حفاظت اهرم راه حل حفاظت از فناوری Anycast برای تعادل بار حمله در شبکه جهانی سرورهای شستشوی پرقدرت خود ، جایی که ترافیک تحت فرآیند بازرسی Deep Packet (DIP) قرار می گیرد که از ترافیک DDoS مخرب استفاده می کند.

این سرویس امکان پیش بینی بیش از حد تقاضا و تقریبا مقیاس پذیری نامحدود را فراهم می کند تا حتی با بزرگترین حملات حجمی نیز مقابله کند. علاوه بر این ، حفاظت Imperva DDoS می تواند فوراً در بالای هر زیرساخت شبکه از طریق اعلامیه BGP مستقر شود ، که باعث می شود Imperva گیرنده کلیه ترافیک های دریافتی باشد.

پس از استقرار ، موقعیت پروکسی Imperva اطمینان می دهد که ترافیک DDoS در خارج از شبکه مشتری فیلتر می شود ، در حالی که تمام ترافیک تمیز از طریق یک تونل GRE مطمئن به مقصد مقصد منتقل می شود.

منبع