پرو ہوسٹر > بلاگ > انتظامیہ > DNS ٹنلنگ کیا ہے؟ پتہ لگانے کی ہدایات

DNS ٹنلنگ کیا ہے؟ پتہ لگانے کی ہدایات

DNS ٹنلنگ کیا ہے؟ پتہ لگانے کی ہدایات

ڈی این ایس ٹنلنگ ڈومین نیم سسٹم کو ہیکرز کے لیے ایک ہتھیار میں بدل دیتی ہے۔ DNS بنیادی طور پر انٹرنیٹ کی بہت بڑی فون بک ہے۔ DNS ایک بنیادی پروٹوکول بھی ہے جو منتظمین کو DNS سرور ڈیٹا بیس سے استفسار کرنے کی اجازت دیتا ہے۔ اب تک سب کچھ واضح نظر آتا ہے۔ لیکن چالاک ہیکرز نے محسوس کیا کہ وہ DNS پروٹوکول میں کنٹرول کمانڈز اور ڈیٹا کو انجیکشن لگا کر متاثرہ کمپیوٹر کے ساتھ خفیہ طور پر رابطہ کر سکتے ہیں۔ یہ خیال DNS ٹنلنگ کی بنیاد ہے۔

DNS ٹنلنگ کیسے کام کرتی ہے۔

DNS ٹنلنگ کیا ہے؟ پتہ لگانے کی ہدایات

انٹرنیٹ پر ہر چیز کا اپنا الگ پروٹوکول ہوتا ہے۔ اور DNS سپورٹ نسبتاً آسان ہے۔ پروٹوکول درخواست کے جواب کی قسم اگر آپ یہ دیکھنا چاہتے ہیں کہ یہ کیسے کام کرتا ہے، تو آپ nslookup چلا سکتے ہیں، جو DNS سوالات کرنے کا اہم ٹول ہے۔ آپ صرف اس ڈومین نام کی وضاحت کر کے ایڈریس کی درخواست کر سکتے ہیں جس میں آپ کی دلچسپی ہے، مثال کے طور پر:

DNS ٹنلنگ کیا ہے؟ پتہ لگانے کی ہدایات

ہمارے معاملے میں، پروٹوکول نے ڈومین IP ایڈریس کے ساتھ جواب دیا۔ ڈی این ایس پروٹوکول کے لحاظ سے، میں نے ایڈریس کی درخواست یا نام نہاد درخواست کی۔ "A" قسم۔ درخواستوں کی دوسری قسمیں ہیں، اور DNS پروٹوکول ڈیٹا فیلڈز کے مختلف سیٹ کے ساتھ جواب دے گا، جس کا، جیسا کہ ہم بعد میں دیکھیں گے، ہیکرز کے ذریعے استفادہ کیا جا سکتا ہے۔

کسی نہ کسی طریقے سے، اس کے بنیادی طور پر، DNS پروٹوکول کا تعلق سرور کو درخواست بھیجنے اور کلائنٹ کو اس کا جواب واپس کرنے سے ہے۔ اگر کوئی حملہ آور ڈومین نام کی درخواست کے اندر کوئی پوشیدہ پیغام شامل کرتا ہے تو کیا ہوگا؟ مثال کے طور پر، مکمل طور پر جائز URL درج کرنے کے بجائے، وہ اس ڈیٹا کو داخل کرے گا جسے وہ منتقل کرنا چاہتا ہے:

DNS ٹنلنگ کیا ہے؟ پتہ لگانے کی ہدایات

فرض کریں کہ ایک حملہ آور DNS سرور کو کنٹرول کرتا ہے۔ اس کے بعد یہ ڈیٹا منتقل کر سکتا ہے — ذاتی ڈیٹا، مثال کے طور پر — بغیر ضروری پتہ لگائے۔ آخر کیوں، ایک DNS استفسار اچانک کچھ ناجائز ہو جائے گا؟

سرور کو کنٹرول کر کے، ہیکرز جوابات تیار کر سکتے ہیں اور ڈیٹا کو ٹارگٹ سسٹم کو واپس بھیج سکتے ہیں۔ اس سے وہ متاثرہ مشین پر میلویئر کے DNS جواب کے مختلف شعبوں میں چھپے پیغامات بھیج سکتے ہیں، ہدایات کے ساتھ جیسے کہ کسی مخصوص فولڈر کے اندر تلاش کرنا۔

اس حملے کا "سرنگ" حصہ ہے۔ چھپانا مانیٹرنگ سسٹم کے ذریعے پتہ لگانے سے ڈیٹا اور کمانڈز۔ ہیکر بیس 32، بیس 64، وغیرہ کریکٹر سیٹ استعمال کر سکتے ہیں، یا ڈیٹا کو انکرپٹ بھی کر سکتے ہیں۔ اس طرح کی انکوڈنگ سادہ دھمکیوں کا پتہ لگانے والی افادیتوں کے ذریعہ ناقابل شناخت گزر جائے گی جو سادہ متن کو تلاش کرتی ہیں۔

اور یہ DNS سرنگ ہے!

DNS ٹنلنگ حملوں کی تاریخ

ہر چیز کی ایک شروعات ہوتی ہے، بشمول ہیکنگ کے مقاصد کے لیے DNS پروٹوکول کو ہائی جیک کرنے کا خیال۔ جہاں تک ہم بتا سکتے ہیں، پہلا بحث یہ حملہ Oskar Pearson نے اپریل 1998 میں بگٹریک میلنگ لسٹ پر کیا تھا۔

2004 تک، ڈی این ایس ٹنلنگ کو بلیک ہیٹ میں ڈین کامنسکی کی ایک پریزنٹیشن میں ہیکنگ تکنیک کے طور پر متعارف کرایا گیا۔ اس طرح، خیال بہت جلد ایک حقیقی حملے کے آلے میں اضافہ ہوا.

آج، DNS ٹنلنگ نقشے پر ایک پراعتماد مقام رکھتی ہے۔ ممکنہ خطرات (اور انفارمیشن سیکیورٹی بلاگرز سے اکثر اس کی وضاحت کرنے کو کہا جاتا ہے)۔

کے بارے میں سنا ہے۔ سمندری کچھوا ? یہ سائبر کرائمین گروپوں کی طرف سے جاری مہم ہے جو کہ زیادہ تر ممکنہ طور پر ریاستی سرپرستی میں ہے- جائز DNS سرورز کو ہائی جیک کرنے کے لیے DNS کی درخواستوں کو ان کے اپنے سرورز پر بھیجنے کے لیے۔ اس کا مطلب یہ ہے کہ تنظیموں کو "خراب" IP پتے موصول ہوں گے جو ہیکرز کے ذریعے چلائے جانے والے جعلی ویب صفحات کی طرف اشارہ کرتے ہیں، جیسے کہ Google یا FedEx۔ اس کے ساتھ ہی حملہ آور صارف کے اکاؤنٹس اور پاس ورڈ حاصل کر سکیں گے، جو کہ ان کو انجانے میں ایسی جعلی سائٹوں پر داخل کر دیں گے۔ یہ DNS ٹنلنگ نہیں ہے، بلکہ DNS سرورز کو کنٹرول کرنے والے ہیکرز کا ایک اور بدقسمتی کا نتیجہ ہے۔

DNS سرنگ کے خطرات

DNS ٹنلنگ کیا ہے؟ پتہ لگانے کی ہدایات

DNS ٹنلنگ بری خبر کے مرحلے کے آغاز کے اشارے کی طرح ہے۔ کونسا؟ ہم پہلے ہی کئی کے بارے میں بات کر چکے ہیں، لیکن آئیے ان کی تشکیل کریں:

  • ڈیٹا آؤٹ پٹ (ایکسفلٹریشن) - ایک ہیکر خفیہ طور پر اہم ڈیٹا DNS پر منتقل کرتا ہے۔ یہ یقینی طور پر متاثرہ کمپیوٹر سے معلومات کی منتقلی کا سب سے موثر طریقہ نہیں ہے - تمام اخراجات اور انکوڈنگز کو مدنظر رکھتے ہوئے - لیکن یہ کام کرتا ہے، اور ساتھ ہی - خفیہ طور پر!
  • کمانڈ اینڈ کنٹرول (مختصرا C2) - ہیکرز ڈی این ایس پروٹوکول کا استعمال کرتے ہوئے سادہ کنٹرول کمانڈ بھیجتے ہیں، کہتے ہیں، ریموٹ رسائی ٹروجن (ریموٹ ایکسیس ٹروجن، مختصراً RAT)۔
  • IP-Over-DNS ٹنلنگ - یہ پاگل لگ سکتا ہے، لیکن ایسی افادیتیں ہیں جو DNS پروٹوکول کی درخواستوں اور جوابات کے اوپر ایک IP اسٹیک نافذ کرتی ہیں۔ یہ FTP، Netcat، ssh، وغیرہ کا استعمال کرتے ہوئے ڈیٹا کی منتقلی کرتا ہے۔ ایک نسبتا آسان کام. انتہائی مکروہ!

DNS سرنگ کا پتہ لگانا

DNS ٹنلنگ کیا ہے؟ پتہ لگانے کی ہدایات

DNS کے غلط استعمال کا پتہ لگانے کے لیے دو اہم طریقے ہیں: لوڈ تجزیہ اور ٹریفک تجزیہ۔

میں لوڈ تجزیہ دفاع کرنے والا فریق آگے پیچھے بھیجے گئے ڈیٹا میں بے ضابطگیوں کی تلاش کرتا ہے جس کا پتہ شماریاتی طریقوں سے لگایا جا سکتا ہے: عجیب نظر آنے والے میزبان نام، DNS ریکارڈ کی قسم جو اکثر استعمال نہیں ہوتی، یا غیر معیاری انکوڈنگ۔

میں ٹریفک تجزیہ اعداد و شمار کی اوسط کے مقابلے میں ہر ڈومین پر DNS درخواستوں کی تعداد کا تخمینہ لگایا جاتا ہے۔ DNS ٹنلنگ کا استعمال کرنے والے حملہ آور سرور پر بڑی مقدار میں ٹریفک پیدا کریں گے۔ نظریہ میں، عام DNS پیغام کے تبادلے سے نمایاں طور پر برتر۔ اور اس کی نگرانی کرنے کی ضرورت ہے!

DNS ٹنلنگ یوٹیلیٹیز

اگر آپ اپنا پینٹسٹ خود کرنا چاہتے ہیں اور یہ دیکھنا چاہتے ہیں کہ آپ کی کمپنی اس طرح کی سرگرمی کا کتنی اچھی طرح سے پتہ لگا سکتی ہے اور اس کا جواب دے سکتی ہے، تو اس کے لیے کئی افادیتیں ہیں۔ یہ سب موڈ میں سرنگ کر سکتے ہیں۔ IP-over-DNS:

  • آئوڈین - بہت سے پلیٹ فارمز (لینکس، میک او ایس، فری بی ایس ڈی اور ونڈوز) پر دستیاب ہے۔ آپ کو ہدف اور کنٹرول کمپیوٹرز کے درمیان ایک SSH شیل انسٹال کرنے کی اجازت دیتا ہے۔ یہ ایک اچھا ہے رہنمائی آئوڈین کو ترتیب دینے اور استعمال کرنے پر۔
  • اوزیمان ڈی این ایس - ڈین کامنسکی کا ڈی این ایس سرنگ پروجیکٹ، پرل میں لکھا گیا۔ آپ SSH کے ذریعے اس سے جڑ سکتے ہیں۔
  • DNSCat2 - "DNS سرنگ جو آپ کو بیمار نہیں کرتی ہے۔" فائلیں بھیجنے/ڈاؤن لوڈ کرنے، شیل لانچ کرنے وغیرہ کے لیے ایک انکرپٹڈ C2 چینل بناتا ہے۔

DNS نگرانی کی افادیت

ذیل میں کئی افادیت کی فہرست ہے جو سرنگوں کے حملوں کا پتہ لگانے کے لیے کارآمد ثابت ہوں گی۔

  • ڈی این ایس ہنٹر - مرسنری ہنٹ فریم ورک اور مرسنری-لینکس کے لیے لکھا گیا ازگر ماڈیول۔ .pcap فائلوں کو پڑھتا ہے، DNS سوالات کو نکالتا ہے اور تجزیہ میں مدد کے لیے جغرافیائی محل وقوع کی نقشہ سازی کرتا ہے۔
  • reassemble_dns - ایک ازگر کی افادیت جو .pcap فائلوں کو پڑھتی ہے اور DNS پیغامات کا تجزیہ کرتی ہے۔

DNS ٹنلنگ پر مائیکرو FAQ

سوالات اور جوابات کی شکل میں مفید معلومات!

س: سرنگ کیا ہے؟
کے بارے میں: یہ صرف ایک موجودہ پروٹوکول پر ڈیٹا کی منتقلی کا ایک طریقہ ہے۔ بنیادی پروٹوکول ایک سرشار چینل یا سرنگ فراہم کرتا ہے، جس کا استعمال اصل میں منتقل ہونے والی معلومات کو چھپانے کے لیے کیا جاتا ہے۔

س: پہلا DNS ٹنلنگ حملہ کب کیا گیا؟
کے بارے میں: ہم نہیں جانتے! اگر آپ جانتے ہیں تو براہ کرم ہمیں بتائیں۔ ہماری بہترین معلومات کے مطابق، اس حملے کی پہلی بحث کا آغاز آسکر پیئرسن نے اپریل 1998 میں بگٹریک میلنگ لسٹ میں کیا تھا۔

س: کون سے حملے DNS ٹنلنگ سے ملتے جلتے ہیں؟
کے بارے میں: DNS واحد پروٹوکول سے بہت دور ہے جسے سرنگ کے لیے استعمال کیا جا سکتا ہے۔ مثال کے طور پر، کمانڈ اینڈ کنٹرول (C2) میلویئر اکثر مواصلاتی چینل کو ماسک کرنے کے لیے HTTP کا استعمال کرتا ہے۔ جیسا کہ ڈی این ایس ٹنلنگ کے ساتھ ہے، ہیکر اپنا ڈیٹا چھپاتا ہے، لیکن اس معاملے میں ایسا لگتا ہے کہ کسی باقاعدہ ویب براؤزر سے ریموٹ سائٹ تک رسائی حاصل کرنے والا ٹریفک (حملہ آور کے زیر کنٹرول)۔ نگرانی کے پروگراموں کی طرف سے اس پر کسی کا دھیان نہیں جا سکتا ہے اگر وہ سمجھنے کے لیے ترتیب نہیں دیے گئے ہیں۔ خطرہ ہیکر کے مقاصد کے لیے HTTP پروٹوکول کا غلط استعمال۔

کیا آپ چاہیں گے کہ ہم DNS سرنگ کا پتہ لگانے میں مدد کریں؟ ہمارے ماڈیول کو چیک کریں۔ ورونیس ایج اور اسے مفت میں آزمائیں۔ ڈیمو!

ماخذ: www.habr.com

نیا تبصرہ شامل کریں