DNS Tunneling یا تونل سازی دی ان اس چیست و چگونه با آن مقابله کنیم؟

تونل سازی دی ان اس (DNS Tunneling)
آنچه در این مقاله میخوانید:

تونل سازی دی ان اس (DNS Tunneling) چگونه کار می کند؟ آن را بهتر و بیشتر بشناسید تا از وقوع آن جلوگیری کنید!!

سیستم نام دامنه یا DNS، پروتکلی است که URL های انسان دوست مانند panamarketing.ir را به آدرس های IP سازگار با ماشین مانند 199.167.52.137 ترجمه می کند.

DNS یک پروتکل حیاتی و اساسی اینترنت است. اغلب به عنوان “دفتر تلفن اینترنت” توصیف می شود زیرا نام دامنه را به آدرس های IP نگاشت می کند (و خیلی بیشتر همانطور که در RFC های اصلی پروتکل توضیح داده شده است).

فراگیر بودن DNS (و عدم بررسی مکرر) می تواند روش های ظریف و ظریفی را برای برقراری ارتباط و به اشتراک گذاری داده ها فراتر از اهداف پروتکل فعال کند. جای تعجب نیست که مجرمان سایبری می دانند که DNS به طور گسترده مورد استفاده قرار می گیرد و قابل اعتماد است، که راه حل های امنیتی DNS را مهم می کند.

علاوه بر این، از آنجایی که DNS برای استخراج داده ها در نظر گرفته نشده است، بسیاری از سازمان ها ترافیک DNS خود را برای فعالیت های مخرب نظارت نمی کنند. در نتیجه، تعدادی از انواع حملات مبتنی بر DNS می توانند در صورت راه اندازی علیه شبکه های شرکت موثر باشند. DNS Tunneling یکی از این حملات است.

 

 

 

 

چگونه DNS Tunneling کار می کند؟

حملات تونل زنی DNS از پروتکل DNS برای تونل کردن بدافزار و سایر داده ها از طریق مدل سرویس دهنده-کلاینت سوء استفاده می کند. مهاجم دامنه‌ای مانند badsite.com را ثبت می کند. سرور نام دامنه به سرور مهاجم اشاره می کند، جایی که یک برنامه بدافزار تونل سازی نصب شده است.

مهاجم کامپیوتری را که اغلب پشت فایروال یک شرکت قرار دارد، با بدافزار آلوده می کند. از آنجایی که درخواست‌های DNS همیشه مجاز به جابجایی و خروج از فایروال هستند، رایانه آلوده مجاز است درخواستی را به حل‌کننده DNS ارسال کند. حل‌کننده DNS سروری است که درخواست‌های آدرس IP را به سرورهای دامنه اصلی و سطح بالا ارسال می‌کند.

حل‌کننده DNS پرس و جو را به سرور فرمان و کنترل مهاجم، جایی که برنامه تونل‌سازی نصب شده است، هدایت می‌کند. اکنون ارتباطی بین قربانی و مهاجم از طریق حل‌کننده DNS برقرار شده است. از این تونل می توان برای استخراج داده ها یا سایر اهداف مخرب استفاده کرد. از آنجایی که هیچ ارتباط مستقیمی بین مهاجم و قربانی وجود ندارد، ردیابی رایانه مهاجم دشوارتر است.

تونل سازی DNS تقریباً 20 سال است که وجود دارد. هر دو بدافزار Morto و Feederbot برای DNS Tunneling استفاده شده اند. حملات اخیر تونل‌زنی شامل حملات گروه تهدید DarkHydrus، که نهادهای دولتی در خاورمیانه را در سال 2018 هدف قرار داد، و OilRig که از سال 2016 فعال بوده و هنوز فعال است، می‌شود.

 

جلوگیری از تونل سازی DNS

DNS ابزار بسیار قدرتمندی است که تقریباً در همه جا مورد استفاده قرار می‌گیرد و به برنامه‌ها و سیستم‌ها اجازه می‌دهد منابع و سرویس‌هایی را جستجو کنند که با آنها تعامل داشته باشند. DNS یک پایه ارتباطی را فراهم می‌کند که پروتکل‌های سطح بالاتر و قدرتمندتر را قادر می‌سازد تا کار کنند، اما می‌تواند به این معنی باشد که از نقطه نظر امنیتی نادیده گرفته می‌شود، به خصوص وقتی در نظر بگیرید که چه مقدار بدافزار از طریق پروتکل‌های ایمیل تحویل داده می‌شود یا با استفاده از HTTP از وب دانلود می‌شود.

به این دلایل، DNS برای دشمنانی که به دنبال یک پروتکل همیشه باز، نادیده گرفته شده و دست کم گرفته شده برای اهرم برای ارتباطات از و به هاست های در معرض خطر هستند، گزینه مناسبی است.

سازمان‌ها می‌توانند به روش‌های مختلف در برابر تونل‌ زنی DNS از خود دفاع کنند، چه با استفاده از پلتفرم امنیت شبکه Palo Alto و چه از فناوری منبع باز. دفاع می تواند اشکال مختلفی داشته باشد، مانند موارد زیر اما تنها به این موارد محدود نمی شود:

  • مسدود کردن نام های دامنه (یا IP یا مناطق جغرافیایی) بر اساس شهرت شناخته شده یا خطر درک شده.
  • قوانین مربوط به رشته های پرس و جو DNS با ظاهر عجیب.
  • قوانینی در مورد طول، نوع یا اندازه پرس و جوهای DNS خروجی و ورودی.
  • سخت شدن کلی سیستم عامل های مشتری و درک قابلیت های تفکیک نام و همچنین ترتیب جستجوی خاص آنها.
  • تجزیه و تحلیل رفتار کاربر و/یا سیستم که به طور خودکار ناهنجاری‌ها را شناسایی می‌کند، مانند دامنه‌های جدیدی که به‌ویژه زمانی که روش دسترسی و فرکانس غیرعادی هستند، دسترسی پیدا می‌کنند.
  • Palo Alto Networks اخیراً یک سرویس امنیتی جدید DNS را معرفی کرده است که بر روی مسدود کردن دسترسی به نام‌های دامنه مخرب تمرکز دارد.

 

بهترین شیوه های امنیت در برابر DNS Tunneling

 

کارکنان امنیتی خود را آموزش دهید

برای آموزش کارکنان خود برای شناسایی تهدیدات مخرب، یک برنامه آموزشی امنیتی و آگاهی اجرا کنید. آنها را تشویق کنید تا هنگام دنبال کردن پیوندها اقدامات احتیاطی را برای جلوگیری از نصب بدافزار انجام دهند. آموزش فیشینگ می تواند به آنها کمک کند تا حملات مبتنی بر ایمیل را شناسایی، اجتناب و گزارش دهند. برای این منظور دوره امنیت سایبری ما را دنبال کنید.

 

یک برنامه اینتل تهدید را اجرا کنید

چشم انداز تهدید را درک کنید و یک برنامه اطلاعاتی تهدید راه اندازی کنید تا از انواع مختلف تهدیدات و تکنیک هایی که مهاجمان امروزه استفاده می کنند آگاه باشید. با این دانش، می توانید مطمئن شوید که پشته فناوری مناسب برای ایمن نگه داشتن شبکه خود دارید.

 

بیاموزید که داده های DNS چه چیزی می توانند به شما بگویند

فقط به ترافیک DNS نگاه نکنید. جمع‌آوری گزارش‌های داده DNS ارزش کمی دارد مگر اینکه متوجه شوید به چه چیزی نگاه می‌کنید. با درک داده‌ها، می‌توانید با موفقیت سازمان خود را از تهدیدات لایه DNS که قبلاً دیده نشده است، جلوگیری کنید.

 

در حل‌کننده DNS معطل نکنید

اگر یک سرور DNS به خطر بیفتد، ممکن است پاسخ‌های نادرستی را به شما بدهد تا ترافیک شما را به سایر سیستم‌های در معرض خطر هدایت کند یا یک حمله Man in the Middle را فعال کند.

 

برای خطر کار از راه دور برنامه ریزی کنید

یک استراتژی برای نیروی کار از راه دور خود ایجاد کنید زیرا آنها می توانند داده های حساس شرکت را در معرض خطر قرار دهند. به آنها هشدار دهید که از Wi-Fi ناامن، رایگان یا عمومی استفاده نکنند زیرا دشمنان به راحتی می توانند خود را بین کارمندان و نقطه اتصال قرار دهند. احراز هویت چند عاملی را ادغام کنید و برای خطر گم شدن یا سرقت دستگاه ها آماده شوید.

 

به امنیت شبکه به طور کل نگر نزدیک شوید

رویکردی جامع به امنیت شبکه داشته باشید و اطمینان حاصل کنید که از قابلیت‌های مناسبی برخوردار هستید که می‌تواند بردارهای تهدید مختلف در شبکه شما را برطرف کند و به راحتی در کل پشته امنیتی شما یکپارچه شود. هنگام ارزیابی راه حل های فروشنده، انجام مقایسه مستقیم در اثبات مفهوم مهم است. هر محیطی متفاوت است و تست مستقل از فروشنده برای امنیت لایه DNS هنوز ایجاد نشده است.

 

پاسخ ها را خودکار کنید و نه فقط هشدارها را

برای محافظت موفقیت آمیز از سازمان خود، به پاسخ های خودکار و نه فقط هشدارها نیاز دارید. سرعتی که تهدیدها با آن انجام می شوند، هشدارها و سیگنال ها را بی اثر می کند. تا زمانی که یک تهدید شناسایی شود، ممکن است خیلی دیر شده باشد. تیم امنیتی شما باید بتواند به طور خودکار تهدیدات را تعیین کرده و سیستم های بالقوه آلوده را قبل از آسیب بیشتر قرنطینه کند. برای اطمینان از اینکه سازمان شما از بهترین شیوه ها پیروی می کند از خدمات افزایش امنیت سایت پانا مارکتینگ بهره مند شوید.

لطفا امتیاز دهید

این مقاله را به اشتراک بگذارید

با عضویت در خبرنامه ایمیلی از آخرین مقالات و کدهای تخفیف باخبر شو!

میخوای کسب و کار آنلاین
و پر فروش داشته باشی؟

با ما در ارتباط باش، میتونیم کمکت کنیم!

رشد و توسعه کسب و کار آنلاین با پانا مارکتینگ

پانا مارکتینگ در تمامی شهرهای کشور فعالیت دارد اما دفتر اصلی فعلی ما در مشهد می باشد. مطالعه بیشتر

راههای ارتباط با ما

با شما تماس می گیریم!