script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js?client=ca-pub-1007278898878224" crossorigin="anonymous"> أهم 5 هجمات DNS. كيف تحد من آثارها؟ | zmzme
الأمن الإلكتروني

أهم 5 هجمات DNS. كيف تحد من آثارها؟

أهم 5 هجمات DNS. كيف تحد من آثارها؟

يمكن لـ Zero Trust Network Access (ZTNA) وضوابط الوصول المشددة مساعدة المؤسسات في الدفاع عن نفسها ضد هجمات DNS


أهم 5 هجمات DNS. كيف تحد من آثارها؟

الصورة: ماكس بندر (CCO)

 

الهجمات ضد نظام اسم المجال (DNS) التي يستغل فيها الفاعلون السيئون نقاط الضعف في بروتوكول DNS للإنترنت منتشرة للغاية ومكلفة.

يتعرض نظام اسم المجال (نظام اسم المجال) لهجوم مستمر ويبدو أنه لا يوجد حد لهذه الهجمات حيث تصبح التهديدات أكثر تعقيدًا. DNS هو بقدر ما هو دليل هاتف الإنترنت ، فهو جزء من البنية التحتية العالمية للإنترنت التي تترجم الأسماء المعروفة إلى أرقام تحتاجها أجهزة الكمبيوتر للوصول إلى موقع ويب أو إرسال بريد إلكتروني. بينما كان DNS لفترة طويلة هدفًا للهجمات المصممة لسرقة جميع أنواع معلومات الشركات والمعلومات الخاصة ، فإن التهديدات التي ظهرت خلال العام الماضي تشير إلى تفاقم الوضع.

تحقق أيضًا من:

تتمثل مهمة DNS في ترجمة مصطلح يمكن للمستخدم إدخاله في حقل البحث (المعروف باسم الاسم الذي يمكن قراءته بواسطة الإنسان) إلى سلسلة الأرقام المناسبة (عنوان IP) التي يحتاجها الجهاز للوصول إلى موقع ويب أو إرسال بريد إلكتروني . يمكن أن تكون الهجمات على هذه الأنظمة التي لا يمكن تعويضها ضارة للغاية.

وجد استطلاع IDC من عام 2021 لأكثر من 1100 منظمة في أمريكا الشمالية وأوروبا ومنطقة آسيا والمحيط الهادئ أن 87٪ منهم قد تعرضوا لهجمات DNS. بلغ متوسط ​​تكلفة كل هجوم حوالي 950 ألف دولار لجميع المناطق وحوالي مليون دولار لمنظمات أمريكا الشمالية.

ما هو DNS وكيف يعمل

وأشار التقرير أيضًا إلى أن المنظمات في جميع الصناعات تعرضت لمتوسط ​​7.6 هجوم خلال العام الماضي.

أصبح انتقال COVID-19 إلى العمل خارج الموقع واستجابة الشركات لنقل الموارد إلى السحابة لزيادة توفرها أهدافًا جديدة للمهاجمين ، وفقًا للتقرير.

وجدت الدراسة أيضًا زيادة حادة في سرقة البيانات عبر DNS – أبلغت 26٪ من المنظمات عن سرقة معلومات سرية للعملاء ، ارتفاعًا من 16٪ في عام 2020.

نقدم الأنواع الأكثر شيوعًا لهجمات DNS.

يؤدي تعزيز DNS إلى تشغيل هجمات DDOS

هجوم تضخيم DNS هو شكل شائع لرفض الخدمة الموزع (DDoS) الذي يستخدم خوادم DNS المفتوحة والمتاحة للجمهور لزيادة تحميل النظام المستهدف بحركة مرور استجابة DNS.

وفقًا لوكالة الأمن السيبراني والبنية التحتية (CISA) ، التي تقود جهود الولايات المتحدة لزيادة مرونة البنية التحتية المادية والإلكترونية للبلاد ، يرسل المهاجم طلب بحث عن خادم DNS مفتوح للحصول على اسم DNS مع عنوان مصدر معد ليكون عنوان الوجهة.

عندما يرسل خادم DNS استجابة لسجل DNS ، يتم إرساله إلى الوجهة. قالت CISA إن المهاجمين عادةً ما يرسلون طلبًا للحصول على أكبر قدر ممكن من معلومات المنطقة لتعظيم تأثير التلميع. في معظم الهجمات من هذا النوع التي لاحظتها US-CERT ، تكون الاستعلامات المصممة التي يرسلها المهاجمون من النوع “أي” ، والتي تعرض جميع معلومات منطقة DNS المعروفة في استعلام واحد.

نظرًا لأن حجم الاستجابة أكبر بكثير من الطلبات ، يمكن للمهاجم زيادة حجم حركة المرور الموجهة إلى الأنظمة المستهدفة. وفقًا لـ CISA ، باستخدام الروبوتات لإنشاء عدد كبير من استعلامات DNS المصممة ، يمكن للمهاجم إنشاء حركة مرور ضخمة على الشبكة دون بذل الكثير من الجهد.

وقالت الوكالة ، بما أن الردود هي بيانات مشروعة واردة من خوادم مهمة ، فمن الصعب للغاية منع هذه الأنواع من الهجمات. الشكل الأكثر شيوعًا لهذا الهجوم الذي لاحظه US-CERT هو خوادم DNS التي تم تكوينها لتمكين استكشاف الأخطاء وإصلاحها العودية غير المقيدة لأي عميل على الإنترنت. تلاحظ CISA أن الهجمات يمكن أن تستهدف أيضًا خوادم الأسماء الموثوقة التي لا توفر استكشاف الأخطاء وإصلاحها بشكل متكرر.

انتحال DNS / إفساد ذاكرة التخزين المؤقت

باستخدام انتحال DNS ، المعروف أيضًا باسم إفساد ذاكرة التخزين المؤقت ، يستخدم الفاعلون السيئون نقاط الضعف في خوادم DNS لاختطافهم. من خلال استغلال إفساد ذاكرة التخزين المؤقت ، يقوم المهاجمون بحقن بيانات ضارة في أنظمة ذاكرة التخزين المؤقت لمحلل DNS في محاولة لإعادة توجيه المستخدمين إلى المواقع التي يمتلكها المهاجمون. يمكن للمهاجمين بعد ذلك سرقة البيانات الشخصية أو اعتراض المعلومات الأخرى.

عندما يتحكم المهاجمون في خادم DNS ، يمكنهم تعديل المعلومات الموجودة في ذاكرة التخزين المؤقت (هذا هو تسمم DNS). غالبًا ما يتم العثور على رمز إفساد ذاكرة التخزين المؤقت لنظام أسماء النطاقات في عناوين URL المرسلة في رسائل البريد الإلكتروني العشوائية أو رسائل البريد الإلكتروني المخادعة. تحاول هذه الرسائل تنبيه المستخدمين إلى حدث يتطلب اهتمامًا فوريًا ، الأمر الذي يتطلب النقر فوق عنوان URL الذي يوفره المهاجمون.

يمكن لخوادم DNS الوصول إلى ذاكرات التخزين المؤقت لخوادم DNS الأخرى ، وهذه هي الطريقة التي ينتشر بها الهجوم على نطاق واسع. يتمثل الخطر الرئيسي لإفساد نظام أسماء النطاقات في سرقة البيانات. مخاطر كبيرة أخرى: إذا تم العبث بموقع موفر أمان الإنترنت الخاص بك ، فقد يتعرض جهاز الكمبيوتر الخاص بك لتهديدات إضافية مثل الفيروسات أو أحصنة طروادة لأنه لن يتم إجراء تحديثات أمنية مشروعة.

نفق DNS

طريقة أخرى شائعة لمهاجمة DNS ، وواحدة من أقدمها ، هي نفق DNS. تستخدم هذه الهجمات بروتوكول DNS لنقل البرامج الضارة والبيانات الأخرى في نموذج خادم العميل. يمكن لهذه الحمولات أن تتحكم في خادم DNS وتسمح للمهاجمين بإدارة الخادم وتطبيقاته.

ينشئ الاتصال النفقي اتصالاً خفيًا بين المهاجم والهدف – عبر محلل DNS – يمكنه تجاوز جدار الحماية. يمكن لمجرمي الإنترنت استخدام النفق لأنشطة ضارة مثل سرقة البيانات.

يعتمد نفق DNS في كثير من الحالات على اتصال الشبكة الخارجية للنظام المخترق ، والذي يسمح بالوصول إلى خادم DNS الداخلي من خلال الوصول إلى الشبكة.

Fast Stream يتجاوز الفحص الأمني

التمويه السريع هو أسلوب لتجنب DNS يستخدم فيه المهاجمون شبكات الروبوت لإخفاء أنشطة التصيد والبرامج الضارة الخاصة بهم من الماسحات الأمنية باستخدام عناوين IP المتغيرة باستمرار للمضيفين المخترقين الذين يعملون كوكلاء عكسيين لخادم الروبوتات الرئيسي.

يشير مصطلح “التدفق السريع” أيضًا إلى مجموعة شبكات نظير إلى نظير ، والأوامر والتحكم الموزعين ، وموازنة حمل الشبكة وإعادة توجيه الوكيل ، والتي تُستخدم لتحصين شبكة من البرامج الضارة ضد الاكتشاف.

الفكرة الرئيسية وراء Fast Flux هي أن يكون لديك عدد كبير من عناوين IP مرتبطة باسم مجال شرعي واحد ، حيث يتم تبادل عناوين IP غالبًا عن طريق تغيير سجلات موارد DNS. يتم استضافة خوادم أسماء النطاقات ذات التدفق السريع المعتمد في الغالب بواسطة أحد المجرمين الإلكترونيين.

اختطاف / إعادة توجيه DNS

اختطاف DNS (أو إعادة توجيه DNS) هو ممارسة لتقويض الطريقة التي يتم بها حل استفسارات DNS. يقوم مجرمو الإنترنت بذلك عن طريق استخدام البرامج الضارة التي تحل محل تكوين TCP / IP الخاص بالنظام بحيث تشير إلى خادم DNS مخادع يخضع لسيطرة المهاجم ، أو عن طريق تعديل سلوك خادم DNS موثوق به لجعله غير متوافق مع معايير الإنترنت . يستخدم الفاعلون السيئون هذه التعديلات لأغراض ضارة مثل التصيد الاحتيالي.

هناك ثلاثة إصدارات رئيسية لاختطاف DNS:

يخرق المهاجمون حساب مسجل المجال ويعدلون خادم اسم DNS إلى خادم يتحكمون فيه تغيير سجل عنوان IP للمجال للإشارة إلى عنوان المهاجم

يخترق المهاجمون جهاز توجيه المؤسسة ويغيرون خادم DNS ، والذي يتم إرساله تلقائيًا إلى كل جهاز عندما يقوم المستخدمون بتسجيل الدخول إلى شبكة المؤسسة.

كيفية منع هجمات DNS

يمكن للمنظمات تبني عدد من الممارسات للمساعدة في تقليل مخاطر هجمات DNS.

فيما يلي بعض الممارسات المقترحة:

تنفيذ تحكم أقوى في الوصول

تحتاج الشركات إلى التأكد من أنها تتخذ خطوات للتحكم بشكل أفضل في من يمكنه الوصول إلى الشبكة. تتمثل إحدى طرق القيام بذلك في تنفيذ مصادقة متعددة العوامل أو ثنائية العوامل كطريقة للوصول إلى حسابك أو نظامك عبر الإنترنت. يتطلب هذا من المستخدمين توفير أكثر من نوع واحد من المعلومات ، مثل كلمة المرور والمعرف ، للوصول.

يجب على الشركات التأكد من تمكين المصادقة متعددة العوامل على جميع حسابات السجل أو السجل ، بحيث لا يسهل تخمين كلمات المرور وتخزينها بشكل آمن ، وعدم إعادة استخدامها عبر الخدمات.

توصي CISA المؤسسات بتحديث كلمات المرور الخاصة بها على الفور لجميع الحسابات على الأنظمة التي من المحتمل أن تُجري تغييرات على سجلات DNS ، بما في ذلك الحسابات في برنامج خادم DNS الذي تديره المؤسسة والأنظمة التي تدير البرنامج ولوحات الإدارة لمشغلي DNS الخارجيين ، و حسابات مسجل DNS.

استخدم مبدأ عدم الثقة

يكتسب نهج انعدام الثقة في الأمان زخمًا ، ويرجع الفضل في ذلك جزئيًا إلى زيادة الدعم من الحكومة الفيدرالية الأمريكية ، فضلاً عن نماذج العمل الهجين والبعيد التي احتضنت العديد من الشركات. يمكن أن تلعب الثقة الصفرية دورًا مهمًا في تقليل تهديدات DNS.

توصي شركة الأبحاث Garner قادة الأمن والمخاطر بتنفيذ مشروعين رئيسيين لشبكة عدم الثقة لتقليل المخاطر. الأول هو تنفيذ نظام الوصول إلى شبكة الثقة الصفرية (ZTNA) ، والذي يقوم بتجريد آليات الوصول وجعلها مركزية بحيث يكون المهندسين وموظفي الأمن مسؤولين عنها.

يمنح الوصول المناسب بناءً على هوية المستخدمين وأجهزتهم ، واستنادًا إلى عوامل أخرى مثل الوقت والتاريخ ، والموقع الجغرافي ، وأنماط الاستخدام التاريخية ، وصحة الجهاز. يقول Gartner إن النتيجة هي بيئة أكثر أمانًا ومرونة ، مع زيادة المرونة وتحسين المراقبة.

مشروع آخر هو تجزئة الشبكة القائمة على الهوية ، والتي تعتقد جارتنر أنها طريقة فعالة للحد من قدرة المهاجمين على التنقل في الشبكة بمجرد دخولهم إليها.

قالت الشركة إن التجزئة القائمة على الهوية تقلل الثقة الضمنية غير المبررة من خلال السماح للمؤسسات بتحويل أعباء العمل الفردية إلى نموذج “الرفض الافتراضي” بدلاً من “الإذن الضمني”. يستخدم قواعد ديناميكية تقيم هوية عبء العمل والتطبيق كجزء من تحديد ما إذا كان سيتم السماح بالوصول إلى الشبكة أم لا.

مراجعة والتحقق من سجلات DNS

توصي CISA بالنسبة لجميع المجالات التي تمتلكها مؤسستك وتديرها ، بمراجعة جميع سجلات المجال العام مع مسجلي المجال للتحقق من تفويض سجلات خادم الأسماء (NS) المرتبطة إلى خوادم DNS المناسبة. يجب عليك مراجعة جميع سجلات DNS على جميع خوادم DNS الموثوقة والثانوية للتحقق من حلها للغرض المقصود منها.

يجب على المنظمات التحقيق على الفور في أي تناقضات يتم العثور عليها ومعاملتها على أنها حادث أمني محتمل. ستساعد هذه الإجراءات في اكتشاف أي عملية اختراق نشطة لنظام أسماء النطاقات.

المصدر: Network World

.

مقالات ذات صلة

زر الذهاب إلى الأعلى