يحول نفق DNS نظام اسم المجال إلى سلاح متسلل. DNS هو في الأساس دليل الهاتف الضخم للإنترنت. DNS هو أيضًا البروتوكول الأساسي الذي يسمح للمسؤولين بالاستعلام عن قاعدة بيانات خادم DNS. حتى الآن يبدو أن كل شيء واضح. لكن المتسللين الماكرين أدركوا أنه من الممكن التواصل مع الكمبيوتر الضحية سرًا عن طريق حقن أوامر التحكم والبيانات في بروتوكول DNS. هذه هي الفكرة من وراء نفق DNS.
كيف يعمل نفق DNS
يوجد بروتوكول منفصل لكل شيء على الإنترنت. ويحافظ DNS بسيط نسبيًا نوع الطلب والاستجابة. إذا كنت تريد معرفة كيفية عملها ، فيمكنك تشغيل nslookup ، أداة استعلام DNS الرئيسية. يمكنك طلب عنوان ببساطة عن طريق إدخال اسم المجال محل الاهتمام ، على سبيل المثال:
في حالتنا ، استجاب البروتوكول بعنوان IP للمجال. فيما يتعلق ببروتوكول DNS ، قمت بتقديم طلب للحصول على عنوان أو ما يسمى. "نوع. هناك أنواع أخرى من الاستعلامات ، وسوف يستجيب بروتوكول DNS بمجموعة مختلفة من حقول البيانات ، والتي ، كما سنرى لاحقًا ، يمكن أن يستخدمها المتسللون.
بطريقة أو بأخرى ، يتمثل بروتوكول DNS في جوهره في إرسال طلب إلى الخادم واستجابته مرة أخرى إلى العميل. ماذا لو أضاف المهاجم رسالة مخفية داخل طلب اسم المجال؟ على سبيل المثال ، بدلاً من إدخال عنوان URL شرعي تمامًا ، سيدخل البيانات التي يريد تمريرها:
افترض أن مهاجمًا يتحكم في خادم DNS. ثم يمكنه نقل البيانات - على سبيل المثال ، البيانات الشخصية - ولن يتم الكشف عنها بالضرورة. بعد كل شيء ، لماذا يصبح استعلام DNS فجأة شيئًا غير شرعي؟
من خلال التحكم في الخادم ، يمكن للمتسللين تزوير الاستجابات وإرسال البيانات مرة أخرى إلى النظام المستهدف. هذا يسمح لهم بتمرير الرسائل المخفية في مختلف مجالات استجابة DNS للبرامج الضارة الموجودة على الجهاز المصاب ، مع إرشادات مثل البحث داخل مجلد معين.
جزء "حفر الأنفاق" من هذا الهجوم هو البيانات والأوامر من الكشف عن طريق أنظمة المراقبة. يمكن للقراصنة استخدام مجموعات الأحرف base32 ، و base64 ، وما إلى ذلك ، أو حتى تشفير البيانات. سيمر مثل هذا التشفير دون أن يلاحظه أحد من خلال أدوات الكشف عن التهديدات البسيطة التي تبحث في نص عادي.
وهذا ما هو نفق DNS!
تاريخ الهجمات من خلال نفق DNS
كل شيء له بداية ، بما في ذلك فكرة اختطاف بروتوكول DNS لأغراض القرصنة. بقدر ما نستطيع أن نقول ، الأول تم تنفيذ مثل هذا الهجوم من قبل أوسكار بيرسون في قائمة Bugtraq البريدية في أبريل 1998.
بحلول عام 2004 ، تم تقديم نفق DNS إلى Black Hat كتقنية اختراق في عرض قدمه دان كامينسكي. وهكذا ، سرعان ما نمت الفكرة إلى أداة هجوم حقيقية.
اليوم ، يحتل نفق DNS موقعًا قويًا على الخريطة (وكثيرًا ما يُطلب من المدونين الأمنيين شرح ذلك).
هل سمعت عن ؟ هذه حملة مستمرة من قبل مجرمي الإنترنت - على الأرجح برعاية الدولة - للاستيلاء على خوادم DNS الشرعية من أجل إعادة توجيه طلبات DNS إلى خوادمهم الخاصة. هذا يعني أن المؤسسات ستتلقى عناوين IP "سيئة" تشير إلى صفحات ويب مزيفة يديرها قراصنة ، مثل Google أو FedEx. في هذه الحالة ، سيتمكن المهاجمون من الحصول على حسابات وكلمات مرور المستخدمين الذين يدخلونها عن غير قصد في مثل هذه المواقع المزيفة. هذا ليس نفق DNS ، ولكنه مجرد نتيجة سيئة أخرى للتحكم المتسلل في خوادم DNS.
تهديدات نفق DNS
يعد نفق DNS بمثابة مؤشر لبداية مرحلة الأخبار السيئة. اي واحدة؟ لقد تحدثنا بالفعل عن بعضها ، ولكن دعونا ننظمها:
- إخراج البيانات (الاستخراج) - يقوم أحد المتطفلين بنقل البيانات الهامة سرًا عبر DNS. هذه بالتأكيد ليست الطريقة الأكثر فعالية لنقل المعلومات من الكمبيوتر الضحية - مع الأخذ في الاعتبار جميع التكاليف والتشفير - ولكنها تعمل ، وفي نفس الوقت - بحذر!
- القيادة والتحكم (اختصار C2) - يستخدم المتسللون بروتوكول DNS لإرسال أوامر تحكم بسيطة ، على سبيل المثال ، عبر (الوصول عن بعد إلى حصان طروادة ، RAT للاختصار).
- نفق IP-Over-DNS - قد يبدو هذا جنونًا ، ولكن هناك أدوات مساعدة تقوم بتطبيق مكدس IP أعلى طلبات واستجابات بروتوكول DNS. هذا يجعل نقل البيانات باستخدام FTP و Netcat و ssh وما إلى ذلك. مهمة بسيطة نسبيًا. شرير للغاية!
كشف نفق DNS
هناك طريقتان رئيسيتان لاكتشاف إساءة استخدام DNS: تحليل الحمل وتحليل حركة المرور.
في تحليل الحمل يبحث الطرف المدافع عن الحالات الشاذة في البيانات المرسلة ذهابًا وإيابًا والتي يمكن اكتشافها من خلال الأساليب الإحصائية: أسماء مضيف تبدو غريبة ، أو نوع من سجلات DNS لا يتم استخدامه كثيرًا ، أو ترميز غير قياسي.
في تحليل حركة المرور يتم تقدير عدد طلبات DNS لكل مجال مقارنة بالمستوى المتوسط. سيولد المهاجمون الذين يستخدمون نفق DNS الكثير من حركة المرور إلى الخادم. نظريًا ، أفضل بكثير من رسائل DNS العادية. ويحتاج إلى التعقب!
خدمات نفق DNS
إذا كنت ترغب في إجراء اختبار الاختراق الخاص بك ومعرفة مدى قدرة شركتك على اكتشاف مثل هذا النشاط والاستجابة له ، فهناك العديد من الأدوات المساعدة لذلك. كل منهم يمكنه حفر الأنفاق في الوضع IP عبر DNS:
- - متوفر على العديد من الأنظمة الأساسية (Linux و Mac OS و FreeBSD و Windows). يسمح لك بتثبيت غلاف SSH بين الكمبيوتر الهدف وجهاز التحكم. هذه فكرة جيدة في إعداد واستخدام اليود.
- هو مشروع نفق DNS من إعداد دان كامينسكي ، وهو مكتوب بلغة بيرل. يمكنك الاتصال به عبر SSH.
- "نفق DNS لا يجعلك مريضًا." يُنشئ قناة C2 مشفرة لتحميل / تنزيل الملفات وتشغيل القذائف وما إلى ذلك.
أدوات مراقبة DNS
فيما يلي قائمة بالعديد من الأدوات المساعدة التي ستكون مفيدة في اكتشاف هجمات الأنفاق:
- - وحدة Python مكتوبة لـ MercenaryHuntFramework و Mercenary-Linux. يقرأ ملفات .pcap ، ويستخرج استعلامات DNS ، وينفذ مطابقة الموقع الجغرافي للمساعدة في التحليل.
- هي أداة مساعدة Python تقرأ ملفات .pcap وتوزع رسائل DNS.
الأسئلة الشائعة الجزئية حول نفق DNS
معلومات مفيدة في شكل أسئلة وأجوبة!
س: ما هو حفر الأنفاق؟
О: إنها مجرد طريقة لنقل البيانات عبر بروتوكول موجود. يوفر البروتوكول الأساسي قناة أو نفقًا مخصصًا ، يتم استخدامه بعد ذلك لإخفاء المعلومات التي يتم إرسالها بالفعل.
س: متى تم تنفيذ أول هجوم على أنفاق DNS؟
О: نحن لا نعلم! إذا كنت تعلم ، يرجى إعلامنا. على حد علمنا ، بدأ أوسكار بيرسان المناقشة الأولى للهجوم على القائمة البريدية لـ Bugtraq في أبريل 1998.
س: ما هي الهجمات المشابهة لنفق DNS؟
О: DNS ليس البروتوكول الوحيد الذي يمكن استخدامه للنفق. على سبيل المثال ، غالبًا ما تستخدم البرامج الضارة للقيادة والتحكم (C2) بروتوكول HTTP لإخفاء قناة الاتصال. كما هو الحال مع نفق DNS ، يخفي المتسلل بياناته ، ولكن في هذه الحالة يبدو أن حركة المرور من متصفح ويب عادي تصل إلى موقع بعيد (يتحكم فيه المهاجم). قد يمر هذا دون أن يلاحظه أحد من خلال برامج المراقبة إذا لم يتم تكوينها للإدراك إساءة استخدام بروتوكول HTTP لأغراض القراصنة.
هل تريد منا مساعدتك في اكتشاف أنفاق DNS؟ تحقق من وحدتنا وجرب مجانا !
المصدر: www.habr.com