Clever Geek Handbook

ما هو نفق DNS؟ تعليمات الكشف





يحول نفق DNS نظام اسم المجال إلى سلاح قراصنة. DNS هو في الأساس دفتر الهاتف الضخم للإنترنت. DNS هو أيضًا البروتوكول الأساسي الذي يسمح للمسؤولين بالاستعلام عن قاعدة بيانات خادم DNS. حتى الآن ، يبدو أن كل شيء واضح. لكن المتسللين الماكرين أدركوا أنه كان من الممكن التواصل سراً مع الكمبيوتر الضحية عن طريق حقن أوامر التحكم والبيانات في بروتوكول DNS. هذه الفكرة هي جوهر نفق DNS.



كيف يعمل نفق DNS







كل شيء على الإنترنت له بروتوكول منفصل خاص به. ويدعم DNS بروتوكول استجابة تحدي بسيط نسبيًا . إذا كنت تريد معرفة كيفية عملها ، يمكنك تشغيل nslookup ، الأداة الرئيسية لإرسال استعلامات DNS. يمكنك طلب عنوان ببساطة عن طريق تحديد اسم المجال محل الاهتمام ، على سبيل المثال:







في حالتنا ، استجاب البروتوكول بعنوان IP الخاص بالمجال. فيما يتعلق ببروتوكول DNS ، قمت بتقديم طلب عنوان أو ما يسمى ب. "نوع. هناك أنواع أخرى من الاستعلامات ، وسوف يستجيب بروتوكول DNS بمجموعة مختلفة من حقول البيانات التي ، كما سنرى لاحقًا ، يمكن للقراصنة استغلالها.



بطريقة أو بأخرى ، في جوهره ، يهتم بروتوكول DNS بتمرير طلب إلى الخادم واستجابته مرة أخرى إلى العميل. ماذا لو أضاف المهاجم رسالة مخفية داخل طلب اسم المجال؟ على سبيل المثال ، بدلاً من إدخال عنوان URL شرعي تمامًا ، سيدخل البيانات التي يريد نقلها:







لنفترض أن أحد المهاجمين يتحكم في خادم DNS. بعد ذلك يمكنها نقل البيانات - على سبيل المثال ، البيانات الشخصية - وليس بالضرورة أن يتم اكتشافها. بعد كل شيء ، لماذا يصبح طلب DNS شيئًا غير شرعي؟



من خلال التحكم في الخادم ، يمكن للمتسللين انتحال الردود وإرسال البيانات مرة أخرى إلى النظام المستهدف. هذا يسمح لهم بتمرير الرسائل المخفية في مختلف مجالات استجابة DNS للبرامج الضارة الموجودة على الجهاز المصاب ، مع إرشادات مثل البحث داخل مجلد معين.



يتمثل جزء "النفق" من هذا الهجوم في إخفاء البيانات والأوامر عن الكشف عن طريق أنظمة المراقبة. يمكن للقراصنة استخدام مجموعات الأحرف base32 ، و base64 ، وما إلى ذلك ، أو حتى تشفير البيانات. سيذهب هذا التشفير دون أن يلاحظه أحد من خلال أدوات الكشف عن التهديدات البسيطة التي تبحث من خلال نص عادي.



وهذا هو نفق DNS!



تاريخ هجمات نفق DNS



كل شيء له بداية ، بما في ذلك فكرة اختطاف بروتوكول DNS لأغراض القرصنة. وبقدر ما يمكننا أن نقول ، فإن المناقشة الأولى لمثل هذا الهجوم أجراها أوسكار بيرسون على القائمة البريدية لبوغتراق في أبريل 1998.



بحلول عام 2004 ، تم تقديم نفق DNS إلى Black Hat كأسلوب قرصنة في عرض قدمه دان كامينسكي. وهكذا ، سرعان ما تطورت الفكرة لتصبح أداة هجوم حقيقية.



اليوم ، نفق DNS يتخذ موقفًا قويًا على خريطة التهديدات المحتملة (وغالبًا ما يُطلب من مدوني الأمان شرح ذلك).



هل سمعت عن السلاحف البحرية؟ هذه حملة مستمرة لمجموعات المجرمين الإلكترونيين - على الأرجح برعاية الدولة - لاختطاف خوادم DNS الشرعية من أجل إعادة توجيه طلبات DNS إلى خوادمهم الخاصة. هذا يعني أن المؤسسات ستتلقى عناوين IP "سيئة" تشير إلى صفحات ويب مزيفة يديرها قراصنة مثل Google أو FedEx. في الوقت نفسه ، سيتمكن المهاجمون من الحصول على حسابات وكلمات مرور المستخدمين التي سيدخلونها دون علمهم في مثل هذه المواقع المزيفة. هذا ليس نفق DNS ، ولكنه مجرد نتيجة سيئة أخرى لسيطرة القراصنة على خوادم DNS.



تهديدات نفق DNS







يعد نفق DNS بمثابة مؤشر لبداية مرحلة الأخبار السيئة. اي واحدة؟ لقد غطينا بالفعل عددًا قليلاً ، ولكن دعونا ننظمها:



  • () – DNS. - — — , – !
  • (Command and Control, C2) – DNS- , , (Remote Access Trojan, RAT).
  • IP-Over-DNS – , , IP- DNS-. FTP, Netcat, ssh .. . !


DNS-







هناك طريقتان رئيسيتان لاكتشاف إساءة استخدام DNS: تحليل الحمل وتحليل حركة المرور.



عند تحليل الحمل ، يبحث الطرف المدافع عن الحالات الشاذة في البيانات المرسلة في كلا الاتجاهين ، والتي يمكن اكتشافها من خلال طرق إحصائية: أسماء مضيف تبدو غريبة ، أو نوع من سجلات DNS لا يتم استخدامه كثيرًا ، أو ترميز غير قياسي.



عند تحليل حركة المرور يتم تقدير عدد استعلامات DNS لكل مجال ، مقارنة بالمستوى المتوسط. سيولد المهاجمون الذين يستخدمون نفق DNS مقدارًا كبيرًا من حركة المرور إلى الخادم. من الناحية النظرية ، متفوقة بشكل كبير على رسائل DNS العادية. وهذا يجب مراقبته!



خدمات نفق DNS



إذا كنت ترغب في إجراء اختبار الاختراق الخاص بك والتحقق من مدى قدرة شركتك على اكتشاف هذا النشاط والاستجابة له ، فهناك العديد من الأدوات المساعدة لذلك. كل منهم قادر على النفق في وضع IP-Over-DNS :



  • اليود - متوفر على العديد من المنصات (Linux و Mac OS و FreeBSD و Windows). يسمح بإعداد قذيفة SSH بين الهدف والكمبيوتر المضيف. إليك دليل جيد لإعداد واستخدام اليود الخاص بك.
  • OzymanDNS هو مشروع أنفاق DNS من إعداد Dan Kaminsky مكتوب بلغة Perl. يمكنك الاتصال به عبر SSH.
  • DNSCat2 - "نفق DNS لا يشعر بالمرض". يقوم بإنشاء قناة C2 مشفرة لإرسال / تنزيل الملفات وتشغيل القذائف وما إلى ذلك.


أدوات مراقبة DNS



فيما يلي قائمة بالعديد من الأدوات المساعدة التي ستكون مفيدة في اكتشاف هجمات الأنفاق:



  • dnsHunter هي وحدة Python مكتوبة لـ MercenaryHuntFramework و Mercenary-Linux. يقرأ ملفات .pcap ، ويستخرج عمليات بحث DNS ، وينفذ مطابقة الموقع الجغرافي للمساعدة في التحليل.
  • reassemble_dns هي أداة مساعدة بيثون تقرأ ملفات .pcap وتوزع رسائل DNS.


الأسئلة الشائعة حول نفق DNS الجزئي



أكثر المعلومات المفيدة في شكل أسئلة وأجوبة!



س: ما هو حفر الأنفاق؟

ج: إنها مجرد طريقة لنقل البيانات عبر البروتوكول الحالي. يوفر البروتوكول الأساسي قناة أو نفقًا مخصصًا ، يتم استخدامه بعد ذلك لإخفاء المعلومات التي يتم إرسالها بالفعل.



س: متى تم تنفيذ أول هجوم على أنفاق DNS؟

ج: لا نعرف! إذا كنت تعلم - الرجاء إعلامنا. وبقدر ما نعلم ، فإن المناقشة الأولى للهجوم بدأها أوسكار بيرسان على القائمة البريدية لبوغتراق في أبريل 1998.



س: ما هي الهجمات المشابهة لنفق DNS؟

حول:DNS ليس البروتوكول الوحيد الذي يمكن استخدامه للأنفاق. على سبيل المثال ، غالبًا ما تستخدم البرامج الضارة للقيادة والتحكم (C2) بروتوكول HTTP لإخفاء قناة الاتصال. كما هو الحال مع نفق DNS ، يخفي المتسلل بياناته ، ولكن في هذه الحالة يبدو أن حركة مرور متصفح الويب العادي تصل إلى موقع بعيد (يتحكم فيه المهاجم). يمكن أن يمر هذا دون أن يلاحظه أحد من خلال مراقبة البرامج إذا لم يتم تكوينها لإدراك خطر اختراق بروتوكول HTTP.



هل تريد منا المساعدة في اكتشاف أنفاق DNS؟ تحقق من وحدة Varonis Edge الخاصة بنا وجرب العرض التوضيحي المجاني !


More articles:


All Articles