شناسایی روشی برای انجام حملات سایبری گسترده به سرورهای DNS

کمیته رکن چهارم – گروهی از پژوهشگران امنیتی اسرائیلی نوع جدیدی از حملات سایبری را شناسایی کرده‌اند که می‌تواند سرورهای DNS را از دسترس خارج کند.

گروهی از محققان اسرائیلی به تازگی جزئیات یک حمله سایبری به نام «NXNSAttack» را منتشر کردند. این نوع تهاجم بر اثر آسیب‌پذیری موجود در سرورهای DNS به وجود آمده و امکان راه‌اندازی یک حمله اختلال سرویس توزیع شده (DDOS) گسترده را به هکرها می‌دهد. این نوع حمله روی «سرورهای بازگشتی DNS» (recursive DNS servers) و فرایند «جایگزینی DNS» (DNS delegation) تأثیر می‌گذارد.

سرورهای بازگشتی DNS سامانه‌هایی هستند که نام یا آدرس یک وبگاه را دریافت کرده و سرورهای DNS را برای استخراج به IP آن بررسی می‌کند. این تبدیل‌ها روی سرورهای معتبر DNS انجام گرفته و آن‌هایی که کپی‌هایی از داده‌های DNS را در اختیار دارند، مجاز به انجام این تبدیل هستند؛ اما به عنوان یک راهکار افزایش امنیت بخشی از پروتکل DNS، سرورهای معتبر می‌توانند عملکرد خود را به فرایند جایگزینی DNS و سرورهای واگذار کنند.

پژوهشگران دانشگاه‌های تل آویو و مرکز بین رشته‌ای هرزیبلا (Center in Herzliya) اسرائیل در گزارش خود توضیح دادند راه‌کاری برای سوءاستفاده از فرایند جایگزینی شناسایی کردند تا از آن در حملات اختلال سرویس توزیع شده استفاده کنند. تهاجم NXNSAttack روش‌های مختلفی دارد؛ اما مراحل اصلی آن به شرح زیر انجام می‌گیرد.

1. مهاجم یک سؤال DNS را به سرور بازگشتی DNS ارسال می‌کند. این درخواست برای مثال مربوط به دامنه‌ای با نام فرضی «Attack.com» است که از طریق سرور معتبر DNS کنترل شده توسط هکر مدیریت می‌شود.
2. از آنجا که سرور بازگشتی DNS مجاز به حل این دامنه نیست، درخواست ارائه شده را به سمت سرور DNS مخرب مهاجم هدایت می‌کند.
3. سرور DNS آلوده با ارسال یک پیام به سرور بازگشتی DNS پاسخ می‌دهد که برابر با عبارت «من نماینده عملیات رفع DNS در فهرستی بزرگ از نام سرورها هستم» است. این فهرست نام هزاران زیر دامنه از وبگاه‌های قربانی را در اختیار دارد.
4. سرور بازگشتی DNS، درخواست ارائه شده را به کلیه زیر دامنه‌های موجود در فهرست منتقل کرده، باعث ایجاد ترافیک می‌شود. همین موضوع روی سرور DNS معتبر قربانی حملات اختلال سرویس توزیع شده را به وجود می‌آورد.

محققان شرح دادند، هکر به واسطه NXNSAttack می‌تواند، یک درخواست ساده DNS بین ۲ تا ۱۶۲۰ برابر ابعاد اولیه خود تقویت کند. این موضوع یک ترافیک دامنه بسیار عظیم را به وجود آورده سرور DNS قربانی را از کار می‌اندازد. به محض این که سرور از دسترس خارج شد، دسترسی کاربران به وبگاه‌های مورد نظر نیز از بین می‌رود؛ زیرا دیگر نمی‌توان نام دامنه وبگاه‌ها را جستجو کرد.

پژوهشگران شرح دادند فاکتور تقویت پاکت داده (PAF) برای NXNSAttack به نرم‌افزار اجرا شده روی سرور بازگشتی DNS بستگی دارد. با وجود این در بیشتر موارد، ضریب تقویت، چندین برابر بزرگ‌تر از دیگر انواع حملات اختلال سرویس توضیح شده است. حملاتی که فاکتور تقویت آن‌ها معمولاً به کوچکی ۲ تا ۱۰ برابر بیشتر نیست.

بزرگی فاکتور تقویت نشان می‌دهد تهاجم شرح داده شده، یکی از خطرناک‌ترین انواع حملات اختلال سرویس توزیع شده است که می‌تواند تنها تعداد کمی دستگاه و انجام پرس‌وجو خودکار، خرابی ایجاد کند.

محققان ادامه دادند در طی چند ماه گذشته با سازندگان نرم‌افزار DNS، شبکه‌های تحویل محتوا (CDN) و ارائه‌دهندگان مدیریت DNS همکاری کرده‌اند تا آسیب‌پذیری مذکور برطرف شده، امکان به کارگیری آن در سرورهای DNS سراسر جهان فراهم شود.

در جدول زیر تعدادی از سرورهای DNS عمومی و میزان تأثیر یک حمله NXNSAttack به هر یک از آن‌ها نشان داده شده است.

منبع: سایبربان