DNS டன்னலிங் டொமைன் பெயர் அமைப்பை ஹேக்கர்களுக்கான ஆயுதமாக மாற்றுகிறது. DNS என்பது இணையத்தின் மிகப்பெரிய தொலைபேசி புத்தகம். DNS என்பது DNS சர்வர் தரவுத்தளத்தை வினவுவதற்கு நிர்வாகிகளை அனுமதிக்கும் அடிப்படை நெறிமுறையாகும். இதுவரை எல்லாம் தெளிவாக தெரிகிறது. ஆனால் தந்திரமான ஹேக்கர்கள் டிஎன்எஸ் நெறிமுறையில் கட்டுப்பாட்டு கட்டளைகள் மற்றும் தரவுகளை செலுத்துவதன் மூலம் பாதிக்கப்பட்ட கணினியுடன் ரகசியமாக தொடர்பு கொள்ள முடியும் என்பதை உணர்ந்தனர். இந்த யோசனை டிஎன்எஸ் சுரங்கப்பாதையின் அடிப்படையாகும்.
டிஎன்எஸ் சுரங்கப்பாதை எவ்வாறு செயல்படுகிறது
இணையத்தில் உள்ள ஒவ்வொன்றுக்கும் தனித்தனி நெறிமுறை உள்ளது. மற்றும் DNS ஆதரவு ஒப்பீட்டளவில் எளிமையானது கோரிக்கை-பதில் வகை. இது எவ்வாறு இயங்குகிறது என்பதைப் பார்க்க விரும்பினால், DNS வினவல்களை உருவாக்குவதற்கான முக்கிய கருவியான nslookup ஐ இயக்கலாம். நீங்கள் விரும்பும் டொமைன் பெயரைக் குறிப்பிடுவதன் மூலம் முகவரியைக் கோரலாம், எடுத்துக்காட்டாக:
எங்கள் விஷயத்தில், நெறிமுறை டொமைன் ஐபி முகவரியுடன் பதிலளித்தது. DNS நெறிமுறையின் அடிப்படையில், நான் ஒரு முகவரி கோரிக்கை அல்லது கோரிக்கை என அழைக்கப்பட்டேன். "A" வகை. வேறு வகையான கோரிக்கைகள் உள்ளன, மேலும் DNS நெறிமுறை வேறுபட்ட தரவு புலங்களுடன் பதிலளிக்கும், அதை நாம் பின்னர் பார்ப்போம், ஹேக்கர்களால் பயன்படுத்தப்படலாம்.
ஒரு வழி அல்லது வேறு, அதன் மையத்தில், DNS நெறிமுறை சேவையகத்திற்கு ஒரு கோரிக்கையை அனுப்புவது மற்றும் கிளையண்டிற்கு அதன் பதிலை அனுப்புவதில் அக்கறை கொண்டுள்ளது. ஒரு டொமைன் பெயர் கோரிக்கைக்குள் மறைந்த செய்தியை தாக்குபவர் சேர்த்தால் என்ன செய்வது? எடுத்துக்காட்டாக, முற்றிலும் முறையான URL ஐ உள்ளிடுவதற்குப் பதிலாக, அவர் அனுப்ப விரும்பும் தரவை உள்ளிடுவார்:
தாக்குபவர் DNS சேவையகத்தைக் கட்டுப்படுத்துகிறார் என்று வைத்துக்கொள்வோம். அது பின்னர் தரவு-தனிப்பட்ட தரவு, எடுத்துக்காட்டாக-அவசியம் கண்டறியப்படாமல் அனுப்ப முடியும். எல்லாவற்றிற்கும் மேலாக, டிஎன்எஸ் வினவல் ஏன் திடீரென்று சட்டவிரோதமானது?
சேவையகத்தைக் கட்டுப்படுத்துவதன் மூலம், ஹேக்கர்கள் பதில்களை உருவாக்கி, இலக்கு அமைப்புக்கு தரவை அனுப்பலாம். ஒரு குறிப்பிட்ட கோப்புறைக்குள் தேடுவது போன்ற வழிமுறைகளுடன், பாதிக்கப்பட்ட கணினியில் உள்ள தீம்பொருளுக்கு DNS பதிலின் பல்வேறு துறைகளில் மறைந்திருக்கும் செய்திகளை அனுப்ப இது அனுமதிக்கிறது.
இந்த தாக்குதலின் "சுரங்கப்பாதை" பகுதி கண்காணிப்பு அமைப்புகளால் கண்டறிவதிலிருந்து தரவு மற்றும் கட்டளைகள். ஹேக்கர்கள், base32, base64, போன்ற எழுத்துத் தொகுப்புகளைப் பயன்படுத்தலாம் அல்லது தரவை குறியாக்கம் செய்யலாம். இத்தகைய குறியாக்கம் எளிய உரையைத் தேடும் எளிய அச்சுறுத்தல் கண்டறிதல் பயன்பாடுகளால் கண்டறியப்படாமல் கடந்து செல்லும்.
இது டிஎன்எஸ் சுரங்கப்பாதை!
டிஎன்எஸ் சுரங்கப்பாதை தாக்குதல்களின் வரலாறு
ஹேக்கிங் நோக்கங்களுக்காக டிஎன்எஸ் நெறிமுறையை கடத்தும் யோசனை உட்பட எல்லாவற்றிற்கும் ஒரு ஆரம்பம் உள்ளது. நாம் சொல்லக்கூடிய வரை, முதல் ஏப்ரல் 1998 இல் பக்ட்ராக் அஞ்சல் பட்டியலில் ஆஸ்கர் பியர்சன் இந்தத் தாக்குதலை நடத்தினார்.
2004 ஆம் ஆண்டில், DNS சுரங்கப்பாதையானது பிளாக் ஹாட்டில் ஒரு ஹேக்கிங் நுட்பமாக டான் கமின்ஸ்கியின் விளக்கக்காட்சியில் அறிமுகப்படுத்தப்பட்டது. எனவே, யோசனை மிக விரைவாக உண்மையான தாக்குதல் கருவியாக வளர்ந்தது.
இன்று, DNS சுரங்கப்பாதை வரைபடத்தில் ஒரு நம்பிக்கையான நிலையை ஆக்கிரமித்துள்ளது (மற்றும் தகவல் பாதுகாப்பு வலைப்பதிவாளர்கள் அதை விளக்குமாறு அடிக்கடி கேட்கப்படுகிறார்கள்).
பற்றி கேள்விப்பட்டிருக்கிறீர்களா ? DNS கோரிக்கைகளை தங்கள் சொந்த சேவையகங்களுக்குத் திருப்பிவிட, சட்டப்பூர்வமான DNS சர்வர்களைக் கடத்த, சைபர் கிரைமினல் குழுக்களின்—பெரும்பாலும் அரசால் நிதியளிக்கப்பட்ட—நடக்கும் பிரச்சாரம் இது. Google அல்லது FedEx போன்ற ஹேக்கர்களால் இயக்கப்படும் போலி இணையப் பக்கங்களைச் சுட்டிக்காட்டும் "மோசமான" IP முகவரிகளை நிறுவனங்கள் பெறும் என்பதே இதன் பொருள். அதே நேரத்தில், தாக்குதல் நடத்துபவர்கள் பயனர் கணக்குகள் மற்றும் கடவுச்சொற்களைப் பெற முடியும், அவர்கள் அறியாமல் இதுபோன்ற போலி தளங்களில் அவற்றை உள்ளிடுவார்கள். இது டிஎன்எஸ் சுரங்கப்பாதை அல்ல, டிஎன்எஸ் சர்வர்களை ஹேக்கர்கள் கட்டுப்படுத்துவதன் மற்றொரு துரதிர்ஷ்டவசமான விளைவு.
DNS சுரங்கப்பாதை அச்சுறுத்தல்கள்
டிஎன்எஸ் சுரங்கப்பாதை என்பது மோசமான செய்தி கட்டத்தின் தொடக்கத்தின் குறிகாட்டி போன்றது. எவை? நாங்கள் ஏற்கனவே பலவற்றைப் பற்றி பேசினோம், ஆனால் அவற்றை கட்டமைப்போம்:
- தரவு வெளியீடு (வெளியேற்றம்) - ஒரு ஹேக்கர் முக்கியமான தரவை டிஎன்எஸ் மூலம் ரகசியமாக அனுப்புகிறார். பாதிக்கப்பட்ட கணினியிலிருந்து தகவல்களை மாற்ற இது நிச்சயமாக மிகவும் திறமையான வழி அல்ல - அனைத்து செலவுகள் மற்றும் குறியாக்கங்களை கணக்கில் எடுத்துக்கொள்வது - ஆனால் அது வேலை செய்கிறது, அதே நேரத்தில் - ரகசியமாக!
- கட்டளை மற்றும் கட்டுப்பாடு (சுருக்கமாக C2) - ஹேக்கர்கள் DNS நெறிமுறையைப் பயன்படுத்தி எளிய கட்டுப்பாட்டு கட்டளைகளை அனுப்ப, சொல்லுங்கள், (ரிமோட் அக்சஸ் ட்ரோஜன், சுருக்கமாக RAT).
- ஐபி-ஓவர்-டிஎன்எஸ் டன்னலிங் - இது பைத்தியக்காரத்தனமாகத் தோன்றலாம், ஆனால் டிஎன்எஸ் நெறிமுறை கோரிக்கைகள் மற்றும் பதில்களுக்கு மேல் ஐபி ஸ்டேக்கைச் செயல்படுத்தும் பயன்பாடுகள் உள்ளன. இது FTP, Netcat, ssh போன்றவற்றைப் பயன்படுத்தி தரவு பரிமாற்றத்தை செய்கிறது. ஒப்பீட்டளவில் எளிமையான பணி. மிகவும் அசுரத்தனம்!
டிஎன்எஸ் சுரங்கப்பாதையைக் கண்டறிதல்
டிஎன்எஸ் துஷ்பிரயோகத்தைக் கண்டறிய இரண்டு முக்கிய முறைகள் உள்ளன: சுமை பகுப்பாய்வு மற்றும் போக்குவரத்து பகுப்பாய்வு.
மணிக்கு சுமை பகுப்பாய்வு தற்காப்பு தரப்பு முன்னும் பின்னுமாக அனுப்பப்பட்ட தரவுகளில் உள்ள முரண்பாடுகளை புள்ளிவிவர முறைகள் மூலம் கண்டறியலாம்: விசித்திரமான தோற்றமுள்ள ஹோஸ்ட் பெயர்கள், அடிக்கடி பயன்படுத்தப்படாத DNS பதிவு வகை அல்லது தரமற்ற குறியாக்கம்.
மணிக்கு போக்குவரத்து பகுப்பாய்வு ஒவ்வொரு டொமைனுக்கும் DNS கோரிக்கைகளின் எண்ணிக்கை புள்ளிவிவர சராசரியுடன் ஒப்பிடும்போது மதிப்பிடப்படுகிறது. டிஎன்எஸ் சுரங்கப்பாதையைப் பயன்படுத்தி தாக்குபவர்கள் சேவையகத்திற்கு அதிக அளவு டிராஃபிக்கை உருவாக்குவார்கள். கோட்பாட்டில், சாதாரண டிஎன்எஸ் செய்தி பரிமாற்றத்தை விட கணிசமாக உயர்ந்தது. மேலும் இது கண்காணிக்கப்பட வேண்டும்!
டிஎன்எஸ் சுரங்கப்பாதை பயன்பாடுகள்
நீங்கள் உங்கள் சொந்த பெண்டெஸ்ட்டை நடத்த விரும்பினால், உங்கள் நிறுவனம் அத்தகைய செயல்பாட்டை எவ்வளவு சிறப்பாகக் கண்டறிந்து பதிலளிக்க முடியும் என்பதைப் பார்க்க விரும்பினால், இதற்கான பல பயன்பாடுகள் உள்ளன. அவை அனைத்தும் பயன்முறையில் சுரங்கப்பாதையில் செல்ல முடியும் ஐபி-ஓவர்-டிஎன்எஸ்:
- - பல தளங்களில் கிடைக்கிறது (லினக்ஸ், மேக் ஓஎஸ், ஃப்ரீபிஎஸ்டி மற்றும் விண்டோஸ்). இலக்கு மற்றும் கட்டுப்பாட்டு கணினிகளுக்கு இடையே ஒரு SSH ஷெல்லை நிறுவ உங்களை அனுமதிக்கிறது. அது ஒரு நல்லது அயோடின் அமைப்பது மற்றும் பயன்படுத்துவது.
- – பெர்லில் எழுதப்பட்ட டான் கமின்ஸ்கியின் DNS சுரங்கப்பாதை திட்டம். நீங்கள் SSH வழியாக இணைக்கலாம்.
- - "உங்களை நோய்வாய்ப்படுத்தாத டிஎன்எஸ் சுரங்கப்பாதை." கோப்புகளை அனுப்ப/பதிவிறக்க, ஷெல்களைத் தொடங்குதல் போன்றவற்றுக்கு மறைகுறியாக்கப்பட்ட C2 சேனலை உருவாக்குகிறது.
DNS கண்காணிப்பு பயன்பாடுகள்
சுரங்கப்பாதை தாக்குதல்களைக் கண்டறிவதற்குப் பயனுள்ளதாக இருக்கும் பல பயன்பாடுகளின் பட்டியல் கீழே உள்ளது:
- – MercenaryHuntFramework மற்றும் Mercenary-Linux க்காக எழுதப்பட்ட பைதான் தொகுதி. .pcap கோப்புகளைப் படிக்கிறது, DNS வினவல்களைப் பிரித்தெடுக்கிறது மற்றும் பகுப்பாய்விற்கு உதவ புவிஇருப்பிட மேப்பிங்கைச் செய்கிறது.
- - .pcap கோப்புகளைப் படிக்கும் மற்றும் DNS செய்திகளை பகுப்பாய்வு செய்யும் பைதான் பயன்பாடு.
DNS சுரங்கப்பாதையில் மைக்ரோ FAQ
கேள்வி பதில் வடிவில் பயனுள்ள தகவல்கள்!
கே: சுரங்கப்பாதை என்றால் என்ன?
ஓ: இது ஏற்கனவே உள்ள நெறிமுறையில் தரவை மாற்றுவதற்கான ஒரு வழியாகும். அடிப்படை நெறிமுறை ஒரு பிரத்யேக சேனல் அல்லது சுரங்கப்பாதையை வழங்குகிறது, இது உண்மையில் அனுப்பப்படும் தகவலை மறைக்கப் பயன்படுகிறது.
கே: முதல் DNS சுரங்கப்பாதை தாக்குதல் எப்போது நடத்தப்பட்டது?
ஓ: எங்களுக்குத் தெரியாது! உங்களுக்குத் தெரிந்தால், எங்களுக்குத் தெரிவிக்கவும். எங்கள் அறிவுக்கு எட்டிய வரை, ஏப்ரல் 1998 இல் பக்ட்ராக் அஞ்சல் பட்டியலில் ஆஸ்கார் பியர்சனால் தாக்குதல் பற்றிய முதல் விவாதம் தொடங்கப்பட்டது.
கே: DNS சுரங்கப்பாதைக்கு ஒத்த தாக்குதல்கள் என்ன?
ஓ: டிஎன்எஸ் சுரங்கப்பாதைக்கு பயன்படுத்தக்கூடிய ஒரே நெறிமுறையிலிருந்து வெகு தொலைவில் உள்ளது. எடுத்துக்காட்டாக, கட்டளை மற்றும் கட்டுப்பாடு (C2) மால்வேர் தொடர்பு சேனலை மறைக்க HTTP ஐப் பயன்படுத்துகிறது. டிஎன்எஸ் சுரங்கப்பாதையைப் போலவே, ஹேக்கர் தனது தரவை மறைக்கிறார், ஆனால் இந்த விஷயத்தில் வழக்கமான இணைய உலாவியில் இருந்து ரிமோட் தளத்தை அணுகும் (தாக்குபவரால் கட்டுப்படுத்தப்படும்) டிராஃபிக்கைப் போல் தெரிகிறது. நிரல்களை உணரும் வகையில் கட்டமைக்கப்படாவிட்டால், கண்காணிப்பு நிரல்களால் இது கவனிக்கப்படாமல் போகலாம் ஹேக்கர் நோக்கங்களுக்காக HTTP நெறிமுறையின் துஷ்பிரயோகம்.
DNS சுரங்கப்பாதை கண்டறிதலுக்கு நாங்கள் உதவ விரும்புகிறீர்களா? எங்கள் தொகுதியைப் பாருங்கள் மற்றும் இலவசமாக முயற்சிக்கவும் !
ஆதாரம்: www.habr.com