ProHoster > وبلاگ > اداره > تونل زنی DNS چیست؟ دستورالعمل های تشخیص

تونل زنی DNS چیست؟ دستورالعمل های تشخیص

تونل زنی DNS چیست؟ دستورالعمل های تشخیص

تونل DNS سیستم نام دامنه را به سلاحی برای هکرها تبدیل می کند. DNS اساساً دفترچه تلفن بزرگ اینترنت است. DNS همچنین پروتکل اساسی است که به مدیران اجازه می دهد تا پایگاه داده سرور DNS را پرس و جو کنند. تا اینجا همه چیز واضح به نظر می رسد. اما هکرهای حیله گر متوجه شدند که می توانند مخفیانه با رایانه قربانی با تزریق دستورات کنترلی و داده ها به پروتکل DNS ارتباط برقرار کنند. این ایده اساس تونل سازی DNS است.

نحوه عملکرد تونل DNS

تونل زنی DNS چیست؟ دستورالعمل های تشخیص

هر چیزی در اینترنت پروتکل جداگانه خود را دارد. و پشتیبانی DNS نسبتا ساده است پروتکل نوع درخواست-پاسخ اگر می‌خواهید ببینید که چگونه کار می‌کند، می‌توانید nslookup، ابزار اصلی ایجاد کوئری‌های DNS را اجرا کنید. شما می توانید به سادگی با تعیین نام دامنه مورد نظر خود یک آدرس درخواست کنید، به عنوان مثال:

تونل زنی DNS چیست؟ دستورالعمل های تشخیص

در مورد ما، پروتکل با آدرس IP دامنه پاسخ داد. از نظر پروتکل DNS من درخواست آدرس یا به اصطلاح درخواست کردم. "یک نوع. انواع دیگری از درخواست ها وجود دارد و پروتکل DNS با مجموعه ای از فیلدهای داده متفاوت پاسخ می دهد که همانطور که در ادامه خواهیم دید، می توانند توسط هکرها مورد سوء استفاده قرار گیرند.

پروتکل DNS به هر طریقی در هسته خود با ارسال درخواست به سرور و پاسخ آن به مشتری مرتبط است. اگر یک مهاجم یک پیام مخفی در یک درخواست نام دامنه اضافه کند چه؟ به عنوان مثال، به جای وارد کردن یک URL کاملاً قانونی، او داده‌هایی را که می‌خواهد انتقال دهد وارد می‌کند:

تونل زنی DNS چیست؟ دستورالعمل های تشخیص

فرض کنید یک مهاجم سرور DNS را کنترل می کند. سپس می‌تواند داده‌ها را منتقل کند - برای مثال، داده‌های شخصی - بدون اینکه لزوماً شناسایی شود. پس از همه، چرا یک پرس و جو DNS ناگهان به چیزی غیرقانونی تبدیل می شود؟

با کنترل سرور، هکرها می توانند پاسخ ها را جعل کنند و داده ها را به سیستم هدف بازگردانند. این به آن‌ها اجازه می‌دهد تا پیام‌های پنهان شده در زمینه‌های مختلف پاسخ DNS به بدافزار را در دستگاه آلوده، با دستورالعمل‌هایی مانند جستجو در داخل یک پوشه خاص، منتقل کنند.

بخش "تونل زنی" این حمله است پنهان کاری داده ها و دستورات از شناسایی توسط سیستم های نظارت. هکرها می توانند از مجموعه کاراکترهای base32، base64 و غیره استفاده کنند یا حتی داده ها را رمزگذاری کنند. چنین رمزگذاری توسط ابزارهای ساده تشخیص تهدید که متن ساده را جستجو می کنند، شناسایی نمی شود.

و این تونل زنی DNS است!

تاریخچه حملات تونل زنی DNS

همه چیز شروعی دارد، از جمله ایده ربودن پروتکل DNS برای اهداف هک. تا جایی که می توانیم بگوییم، اولی بحث این حمله توسط اسکار پیرسون در لیست پستی Bugtraq در آوریل 1998 انجام شد.

در سال 2004، تونل سازی DNS در Black Hat به عنوان یک تکنیک هک در ارائه ای توسط Dan Kaminsky معرفی شد. بنابراین، این ایده خیلی سریع به یک ابزار حمله واقعی تبدیل شد.

امروزه تونل زنی DNS موقعیت مطمئنی را در نقشه اشغال می کند تهدیدات بالقوه (و اغلب از وبلاگ نویسان امنیت اطلاعات خواسته می شود تا آن را توضیح دهند).

آیا در مورد آن شنیده اید لاکپشت دریایی ? این یک کمپین در حال انجام توسط گروه‌های مجرم سایبری - به احتمال زیاد تحت حمایت دولت - برای ربودن سرورهای DNS قانونی به منظور هدایت درخواست‌های DNS به سرورهای خود است. این بدان معناست که سازمان‌ها آدرس‌های IP «بد» را دریافت می‌کنند که به صفحات وب جعلی که توسط هکرهایی مانند Google یا FedEx اجرا می‌شوند، اشاره می‌کنند. در عین حال، مهاجمان می توانند حساب های کاربری و رمز عبور را به دست آورند که ناآگاهانه آنها را در چنین سایت های جعلی وارد می کنند. این تونل زنی DNS نیست، بلکه فقط یک پیامد ناگوار دیگر از کنترل سرورهای DNS توسط هکرها است.

تهدیدات تونل زنی DNS

تونل زنی DNS چیست؟ دستورالعمل های تشخیص

تونل زنی DNS مانند نشانگر آغاز مرحله اخبار بد است. کدومشون؟ قبلاً در مورد چندین مورد صحبت کرده ایم، اما اجازه دهید آنها را ساختار دهیم:

  • خروجی داده (خروج) - یک هکر مخفیانه داده های مهم را از طریق DNS منتقل می کند. این قطعا کارآمدترین راه برای انتقال اطلاعات از رایانه قربانی نیست - با در نظر گرفتن تمام هزینه ها و رمزگذاری ها - اما کار می کند و در عین حال - مخفیانه کار می کند!
  • فرمان و کنترل (به اختصار C2) – هکرها از پروتکل DNS برای ارسال دستورات کنترلی ساده از طریق مثلاً تروجان دسترسی از راه دور (تروجان دسترسی از راه دور، به اختصار RAT).
  • تونل IP-Over-DNS - ممکن است احمقانه به نظر برسد، اما ابزارهایی وجود دارند که پشته IP را در بالای درخواست ها و پاسخ های پروتکل DNS پیاده سازی می کنند. انتقال داده را با استفاده از FTP، Netcat، ssh و غیره انجام می دهد. یک کار نسبتا ساده به شدت شوم!

شناسایی تونل DNS

تونل زنی DNS چیست؟ دستورالعمل های تشخیص

دو روش اصلی برای تشخیص سوء استفاده از DNS وجود دارد: تجزیه و تحلیل بار و تجزیه و تحلیل ترافیک.

در تجزیه و تحلیل بار طرف مدافع به دنبال ناهنجاری‌هایی در داده‌های ارسالی و برگشتی می‌گردد که می‌توانند با روش‌های آماری شناسایی شوند: نام‌های میزبان با ظاهر عجیب، نوع رکورد DNS که اغلب استفاده نمی‌شود، یا رمزگذاری غیر استاندارد.

در تجزیه و تحلیل ترافیک تعداد درخواست های DNS برای هر دامنه در مقایسه با میانگین آماری تخمین زده می شود. مهاجمانی که از تونل DNS استفاده می کنند، ترافیک زیادی را به سرور ایجاد می کنند. در تئوری، به طور قابل توجهی برتر از تبادل پیام DNS معمولی است. و این نیاز به نظارت دارد!

ابزارهای تونل زنی DNS

اگر می‌خواهید آزمون خود را انجام دهید و ببینید که شرکت شما چقدر می‌تواند چنین فعالیت‌هایی را شناسایی کرده و به آن پاسخ دهد، چندین ابزار برای این کار وجود دارد. همه آنها می توانند در حالت تونل بزنند IP-Over-DNS:

  • ید - در بسیاری از سیستم عامل ها (لینوکس، سیستم عامل مک، FreeBSD و ویندوز) موجود است. به شما امکان می دهد یک پوسته SSH بین کامپیوترهای هدف و کنترل نصب کنید. این یکی خوب است راهنما در راه اندازی و استفاده از ید.
  • OzymanDNS – پروژه تونل زنی DNS از Dan Kaminsky، نوشته شده در Perl. می توانید از طریق SSH به آن متصل شوید.
  • DNSCat2 - "تونل DNS که شما را بیمار نمی کند." یک کانال C2 رمزگذاری شده برای ارسال/دانلود فایل ها، راه اندازی پوسته ها و غیره ایجاد می کند.

ابزارهای نظارت DNS

در زیر لیستی از چندین ابزار مفید وجود دارد که برای شناسایی حملات تونل زنی مفید خواهند بود:

  • dnsHunter – ماژول پایتون که برای MercenaryHuntFramework و Mercenary-Linux نوشته شده است. فایل‌های pcap را می‌خواند، پرسش‌های DNS را استخراج می‌کند و برای کمک به تجزیه و تحلیل، نقشه‌برداری موقعیت جغرافیایی را انجام می‌دهد.
  • reassemble_dns – یک ابزار پایتون که فایل های pcap. را می خواند و پیام های DNS را تجزیه و تحلیل می کند.

سوالات متداول میکرو در مورد تونل سازی DNS

اطلاعات مفید در قالب پرسش و پاسخ!

س: تونل زنی چیست؟
در باره: این به سادگی راهی برای انتقال داده ها از طریق یک پروتکل موجود است. پروتکل زیربنایی یک کانال یا تونل اختصاصی را فراهم می کند که سپس برای مخفی کردن اطلاعات در حال انتقال استفاده می شود.

س: اولین حمله تونل زنی DNS چه زمانی انجام شد؟
در باره: ما نمی دانیم! اگر می دانید لطفا به ما اطلاع دهید. تا آنجا که ما می دانیم، اولین بحث در مورد حمله توسط اسکار پیرسان در لیست پستی Bugtraq در آوریل 1998 آغاز شد.

س: چه حملاتی شبیه تونل سازی DNS هستند؟
در باره: DNS تنها پروتکلی است که می تواند برای تونل سازی استفاده شود. به عنوان مثال، بدافزار فرمان و کنترل (C2) اغلب از HTTP برای پوشاندن کانال ارتباطی استفاده می کند. مانند تونل سازی DNS، هکر داده های خود را پنهان می کند، اما در این مورد مانند ترافیک یک مرورگر وب معمولی است که به یک سایت راه دور (که توسط مهاجم کنترل می شود) دسترسی دارد. اگر برنامه های نظارتی برای درک پیکربندی نشده باشند، ممکن است این امر مورد توجه قرار نگیرد تهدید سوء استفاده از پروتکل HTTP برای اهداف هکر.

آیا مایلید در تشخیص تونل DNS به ما کمک کنیم؟ ماژول ما را بررسی کنید وارونیس اج و آن را به صورت رایگان امتحان کنید نسخه ی نمایشی!

منبع: www.habr.com

اضافه کردن نظر