پرو هوسٽر > بلاگ > انتظاميه > DNS سرنگ ڇا آهي؟ ڳولڻ جون هدايتون

DNS سرنگ ڇا آهي؟ ڳولڻ جون هدايتون

DNS سرنگ ڇا آهي؟ ڳولڻ جون هدايتون

DNS سرنگنگ ڊومين نالو سسٽم کي هيڪرز لاء هٿيار ۾ تبديل ڪري ٿو. DNS بنيادي طور تي انٽرنيٽ جي وڏي فون ڪتاب آهي. DNS پڻ بنيادي پروٽوڪول آهي جيڪو منتظمين کي DNS سرور ڊيٽابيس کان پڇڻ جي اجازت ڏئي ٿو. هينئر تائين سڀ ڪجهه واضح نظر اچي ٿو. پر چالاڪ هيڪرز اهو محسوس ڪيو ته اهي ڳجهي طور تي متاثر ڪمپيوٽر سان رابطو ڪري سگھن ٿا ڪنٽرول ڪمانڊ ۽ ڊيٽا کي ڊي اين ايس پروٽوڪول ۾ انجيڪشن ذريعي. اهو خيال DNS سرنگ جو بنياد آهي.

DNS سرنگ ڪيئن ڪم ڪري ٿي

DNS سرنگ ڇا آهي؟ ڳولڻ جون هدايتون

انٽرنيٽ تي هر شيءِ جو پنهنجو الڳ پروٽوڪول آهي. ۽ DNS سپورٽ نسبتا سادو آهي پروٽوڪول درخواست-جواب جو قسم. جيڪڏهن توهان ڏسڻ چاهيو ته اهو ڪيئن ڪم ڪري ٿو، توهان هلائي سگهو ٿا nslookup، DNS سوالن ٺاهڻ جو مکيه اوزار. توھان ھڪڙي ايڊريس جي درخواست ڪري سگھو ٿا صرف وضاحت ڪندي ڊومين جو نالو جيڪو توھان چاھيو ٿا، مثال طور:

DNS سرنگ ڇا آهي؟ ڳولڻ جون هدايتون

اسان جي صورت ۾، پروٽوڪول ڊومين IP پتي سان جواب ڏنو. DNS پروٽوڪول جي لحاظ کان، مون هڪ ايڊريس جي درخواست يا هڪ نام نهاد درخواست ڪئي. "الف" قسم. درخواستن جا ٻيا به قسم آھن، ۽ DNS پروٽوڪول ڊيٽا جي مختلف سيٽن سان جواب ڏيندو، جنھن کي، جيئن اسين بعد ۾ ڏسنداسين، ھيڪرز پاران استحصال ڪري سگھجي ٿو.

هڪ طريقو يا ٻيو، ان جي بنيادي طور تي، DNS پروٽوڪول سرور ڏانهن درخواست منتقل ڪرڻ ۽ ان جي جواب کي ڪلائنٽ ڏانهن موٽڻ سان تعلق رکي ٿو. ڇا جيڪڏهن ڪو حملو ڪندڙ ڊومين نالو جي درخواست ۾ لڪيل پيغام شامل ڪري ٿو؟ مثال طور، هڪ مڪمل طور تي جائز URL داخل ڪرڻ جي بدران، هو داخل ڪندو ڊيٽا جيڪو هو منتقل ڪرڻ چاهي ٿو:

DNS سرنگ ڇا آهي؟ ڳولڻ جون هدايتون

اچو ته هڪ حملو ڪندڙ DNS سرور کي سنڀاليندو آهي. اهو وري منتقل ڪري سگھي ٿو ڊيٽا- ذاتي ڊيٽا، مثال طور- بغير ضروري طور تي معلوم ٿيڻ جي. آخرڪار، ڇو هڪ DNS سوال اوچتو ڪجهه غير قانوني بڻجي ويندو؟

سرور کي ڪنٽرول ڪرڻ سان، هيڪرز جواب ڏئي سگھن ٿا ۽ ڊيٽا واپس موڪلي سگھن ٿا ٽارگيٽ سسٽم ڏانهن. اهو انهن کي متاثر ٿيل مشين تي مالويئر جي DNS جواب جي مختلف شعبن ۾ لڪايل پيغامن کي منتقل ڪرڻ جي اجازت ڏئي ٿو، هدايتون جهڙوڪ مخصوص فولڊر اندر ڳولڻ.

هن حملي جو ”سرنگ“ حصو آهي لڪائڻ مانيٽرنگ سسٽم ذريعي ڳولڻ کان ڊيٽا ۽ حڪم. هيڪرز استعمال ڪري سگھن ٿا base32، base64، وغيره ڪردار سيٽ، يا ڊيٽا کي انڪرپٽ به ڪري سگھن ٿا. اهڙي انڪوڊنگ سادو خطرن جي پتو لڳائڻ واري يوٽيلٽيز کان اڻ ڄاتل گذري ويندي جيڪا سادي متن کي ڳولهي ٿي.

۽ هي DNS سرنگ آهي!

DNS سرنگ حملن جي تاريخ

هر شي جي شروعات آهي، جنهن ۾ هيڪنگ جي مقصدن لاءِ DNS پروٽوڪول کي اغوا ڪرڻ جو خيال به شامل آهي. جيتري قدر اسان ٻڌائي سگهون ٿا، پهريون بحث اهو حملو اپريل 1998 ۾ بگٽرڪ ميلنگ لسٽ تي آسڪر پيئرسن طرفان ڪيو ويو.

2004 تائين، ڊي اين ايس سرنگنگ کي بليڪ هٽ تي متعارف ڪرايو ويو هيڪنگ ٽيڪنڪ جي طور تي ڊان ڪمنسڪي پاران هڪ پيشڪش ۾. اهڙيء طرح، خيال تمام جلدي هڪ حقيقي حملي جو اوزار بڻجي ويو.

اڄ، DNS سرنگنگ نقشي تي هڪ اعتماد واري پوزيشن تي قبضو ڪري ٿو امڪاني خطرو (۽ انفارميشن سيڪيورٽي بلاگرز کي اڪثر ان جي وضاحت ڪرڻ لاءِ چيو ويندو آهي).

جي باري ۾ ٻڌو آهي سمنڊ جي کچل ؟ هي هڪ جاري مهم آهي سائبر ڪرمنل گروپن پاران- گهڻو ڪري رياست طرفان اسپانسر ٿيل- جائز DNS سرورز کي اغوا ڪرڻ لاءِ ته جيئن DNS درخواستن کي انهن جي پنهنجي سرور ڏانهن ريڊائريٽ ڪيو وڃي. ان جو مطلب اهو آهي ته تنظيمون "خراب" IP پتي وصول ڪنديون جيڪي هيڪرز پاران هلائيندڙ جعلي ويب صفحن ڏانهن اشارو ڪنديون آهن، جهڙوڪ گوگل يا فيڊڪس. ساڳئي وقت، حملي ڪندڙ صارف اڪائونٽس ۽ پاسورڊ حاصل ڪرڻ جي قابل هوندا، جيڪي اڻڄاتل طور تي انهن جعلي سائيٽن تي داخل ڪندا. هي DNS سرنگنگ نه آهي، پر هيڪرز جو هڪ ٻيو بدقسمتي نتيجو آهي جيڪو DNS سرورز کي ڪنٽرول ڪري ٿو.

DNS سرنگنگ جا خطرا

DNS سرنگ ڇا آهي؟ ڳولڻ جون هدايتون

DNS سرنگنگ خراب خبر اسٽيج جي شروعات جي اشاري وانگر آهي. ڪهڙو؟ اسان اڳ ۾ ئي ڪيترن ئي بابت ڳالهايو آهي، پر اچو ته انهن کي ترتيب ڏيو:

  • ڊيٽا جي پيداوار (Exfiltration) - هڪ هيڪر ڳجهي طور تي ڊي اين ايس تي نازڪ ڊيٽا منتقل ڪري ٿو. اهو يقيني طور تي متاثر ٿيل ڪمپيوٽر کان معلومات کي منتقل ڪرڻ جو سڀ کان وڌيڪ موثر طريقو ناهي - اڪائونٽ ۾ سڀني قيمتن ۽ انڪوڊنگز - پر اهو ڪم ڪري ٿو، ۽ ساڳئي وقت - ڳجهي طور تي!
  • حڪم ۽ ڪنٽرول (مختصر C2) - هيڪرز ڊي اين ايس پروٽوڪول استعمال ڪندا آهن سادو ڪنٽرول ڪمانڊ موڪلڻ لاءِ، چئو، ريموٽ رسائي ٽرجن (ريموٽ رسائي ٽرجن، مخفف RAT).
  • IP-over-DNS سرنگ - اهو شايد چريو لڳي، پر اتي موجود افاديتون آهن جيڪي هڪ IP اسٽيڪ کي لاڳو ڪن ٿيون DNS پروٽوڪول جي درخواستن ۽ جوابن جي مٿان. اهو FTP، Netcat، ssh، وغيره استعمال ڪندي ڊيٽا جي منتقلي ڪري ٿو. هڪ نسبتا سادو ڪم. انتهائي خراب!

DNS سرنگ کي ڳولڻ

DNS سرنگ ڇا آهي؟ ڳولڻ جون هدايتون

DNS جي غلط استعمال کي ڳولڻ لاء ٻه مکيه طريقا آهن: لوڊ تجزيو ۽ ٽرئفڪ جو تجزيو.

تي لوڊ تجزيو دفاع ڪندڙ پارٽي ڊيٽا ۾ بي ضابطگين کي ڳولي ٿو اڳتي ۽ پوئتي موڪليو ويو جيڪو شمارياتي طريقن سان ڳولي سگهجي ٿو: عجيب ڏسندڙ ميزبان جا نالا، هڪ DNS رڪارڊ جو قسم جيڪو اڪثر استعمال نه ڪيو ويندو آهي، يا غير معياري انڪوڊنگ.

تي ٽرئفڪ جو تجزيو هر ڊومين تي DNS درخواستن جو تعداد شمارياتي اوسط جي مقابلي ۾ اندازو لڳايو ويو آهي. DNS سرنگنگ استعمال ڪندي حملو ڪندڙ سرور ڏانهن وڏي مقدار ۾ ٽرئفڪ پيدا ڪندا. نظريي ۾، خاص طور تي عام DNS پيغام جي بدلي کان وڌيڪ. ۽ هن جي نگراني ڪرڻ جي ضرورت آهي!

DNS سرنگنگ افاديت

جيڪڏھن توھان چاھيو ٿا پنھنجو پينٽسٽ منظم ڪريو ۽ ڏسو ته توھان جي ڪمپني ڪيتري سٺي طريقي سان ڳولي سگھي ٿي ۽ اھڙي سرگرمي جو جواب ڏئي سگھي ٿي، ھن لاءِ ڪيترائي افاديت آھن. اهي سڀئي موڊ ۾ سرنگ ڪري سگهن ٿا IP-over-DNS:

  • آئيڊين - ڪيترن ئي پليٽ فارمن تي دستياب آهي (لينڪس، ميڪ او ايس، فري بي ايس ڊي ۽ ونڊوز). توهان کي ٽارگيٽ ۽ ڪنٽرول ڪمپيوٽرن جي وچ ۾ هڪ SSH شيل نصب ڪرڻ جي اجازت ڏئي ٿي. اھو ھڪڙو سٺو آھي رهنمائي ڪرڻ آئيڊين کي ترتيب ڏيڻ ۽ استعمال ڪرڻ تي.
  • OzymanDNS - ڊان ڪمنسڪي کان ڊي اين ايس سرنگنگ پروجيڪٽ، پرل ۾ لکيل آهي. توھان ان سان ڳنڍي سگھوٿا SSH ذريعي.
  • DNSCat2 - "DNS سرنگ جيڪا توهان کي بيمار نه بڻائي." فائلون موڪلڻ/ڊاؤن لوڊ ڪرڻ، شيل لانچ ڪرڻ وغيره لاءِ هڪ اينڪرپٽ ٿيل C2 چينل ٺاهي ٿو.

DNS مانيٽرنگ افاديت

هيٺ ڏنل ڪيترن ئي افاديت جي هڪ فهرست آهي جيڪا سرنگنگ حملن کي ڳولڻ لاءِ ڪارآمد ثابت ٿيندي:

  • dns هنٽر - Python ماڊل MercenaryHuntFramework ۽ Mercenary-Linux لاءِ لکيل آهي. .pcap فائلون پڙهي ٿو، ڊي اين ايس سوالن کي ڪڍي ٿو ۽ تجزيي ۾ مدد لاءِ جيولوڪيشن ميپنگ انجام ڏئي ٿو.
  • reassemble_dns - Python يوٽيليٽي جيڪا .pcap فائلون پڙهي ٿي ۽ DNS پيغامن جو تجزيو ڪري ٿي.

DNS سرنگنگ تي مائڪرو FAQ

مفيد معلومات سوالن ۽ جوابن جي صورت ۾!

سوال: سرنگ ڇا آهي؟
بابت اهو صرف هڪ موجوده پروٽوڪول تي ڊيٽا کي منتقل ڪرڻ جو هڪ طريقو آهي. هيٺيون پروٽوڪول هڪ وقف چينل يا سرنگ مهيا ڪري ٿو، جيڪو پوءِ استعمال ڪيو ويندو آهي معلومات کي لڪائڻ لاءِ جيڪو اصل ۾ منتقل ٿي رهيو آهي.

سوال: پهريون ڊي اين ايس سرنگنگ حملو ڪڏهن ڪيو ويو؟
بابت اسان کي خبر ناهي! جيڪڏھن توھان ڄاڻو ٿا، مھرباني ڪري اسان کي خبر ڏيو. اسان جي بهترين ڄاڻ تائين، حملي جو پهريون بحث اپريل 1998 ۾ بگٽرڪ ميلنگ لسٽ ۾ آسڪر پيئرسن پاران شروع ڪيو ويو.

سوال: ڪهڙا حملا DNS سرنگنگ سان ملندڙ جلندڙ آهن؟
بابت DNS صرف پروٽوڪول کان پري آهي جيڪو سرنگنگ لاءِ استعمال ٿي سگهي ٿو. مثال طور، ڪمانڊ ۽ ڪنٽرول (C2) مالويئر اڪثر ڪري ڪميونيڪيشن چينل کي نقاب ڪرڻ لاءِ HTTP استعمال ڪندو آهي. جيئن ته DNS سرنگنگ سان، هيڪر پنهنجي ڊيٽا کي لڪائيندو آهي، پر هن صورت ۾ اهو ڏسڻ ۾ اچي ٿو ته هڪ باقاعده ويب برائوزر کان ٽرئفڪ هڪ ريموٽ سائيٽ تائين رسائي (حملو ڪندڙ طرفان ڪنٽرول). اهو ٿي سگهي ٿو نگراني پروگرامن جي طرفان اڻڄاڻ هجي جيڪڏهن اهي سمجهڻ لاءِ ترتيب نه ڏنا ويا آهن خطرو هيڪر جي مقصدن لاءِ HTTP پروٽوڪول جو غلط استعمال.

ڇا توھان چاھيو ٿا ته اسان جي مدد ڪريون ڊي اين ايس سرنگ جي ڳولا ۾؟ اسان جو ماڊل چيڪ ڪريو Varonis Edge ۽ مفت ۾ ڪوشش ڪريو ڊيمو!

جو ذريعو: www.habr.com

تبصرو شامل ڪريو