دزدی DNS
در این مقاله به توضیح کامل درباره دزدی DNS پرداخته ایم.

دزدی DNS اخیراً به یکی از ابزارهای مورد علاقه مجرمان اینترنتی تبدیل شده است، بنابراین یادگیری نحوه محافظت از خود در برابر آن می تواند تفاوت بین ایمن ماندن در وب یا از دست دادن تمام داده های شخصی و مالی شما باشد.

“صبر کنید، دزدی DNS چیست؟”

اگر با آن آشنا نیستید، نگران نباشید. ما در این مقاله همه مواردی را که می خواهید در مورد آن بدانید، از جمله نحوه جلوگیری از دزدی DNS را شرح خواهیم داد.

برای درک واقعی اینکه دزدی DNS چیست و چگونه می توان دزدی DNS را متوقف کرد، ابتدا باید درک اساسی از DNS (سیستم نام دامنه) داشته باشید.

برای خرید فیلتر شکن کلیک کنید

DNS چیست؟

اساساً، DNS پروتكلی است كه اتصال و ارتباط با وب سایتها را برای دستگاههای متصل به وب امكان پذیر می سازد. این در سرورهای مختلف اجرا می شود، و هنگامی که دستگاه درخواست های اتصال خود را ارسال می کند، یک سرور DNS مسئول بازگشت آدرس IP وب سایت است.

چرا این کار را میکند؟ زیرا وقتی نام یک وب سایت را در مرورگر خود وارد می کنید، دستگاه شما برای برقراری ارتباط به آدرس IP خود نیاز دارد و این اطلاعات را از سرورهای DNS دریافت می کند که حاوی پایگاه داده آدرس های IP و نام دامنه مربوط به آنها است.

در اینجا یک مرور کلی از نحوه کار این فرآیند وجود دارد:

  1. شما آدرس یک وب سایت را در نوار URL تایپ می کنید (مانند “com”).
  2. دستگاه شما یک سوال را به یک سرور DNS ارسال می کند و می پرسد آدرس IP Google.com چیست.
  3. سرور DNS به دستگاه شما می گوید آدرس IP چیست.
  4. دستگاه شما از آن آدرس IP برای اتصال به وب سایت Google استفاده می کند.

البته همه آنچه در پس زمینه اتفاق می افتد. این یک روند بسیار سریع است و شما متوجه آن نخواهید شد.

دزدی DNS چیست؟

دزدی DNS زمانی است که یک مجرم اینترنتی ترافیک DNS کاربر را ربوده است. به طور کلی، هنگامی که دستگاه کاربر آدرس وب سایت خاصی را درخواست می کند، از سرور DNS سرکش یا به خطر افتاده برای بازگرداندن آدرس های IP جعلی استفاده می شود.

به عنوان مثال، اگر سعی کنید به paypal.com دسترسی پیدا کنید، سرور سرکش DNS آدرس IP یک وب سایت جعلی مانند paypai.com را برمی گرداند. بنابراین، دستگاه شما ناآگاهانه به یک وب سایت مخرب متصل خواهد شد زیرا فکر می کند این آدرس IP صحیح برای paypal.com است.

دزدی DNS اغلب می تواند انجام شود زیرا پروتکل DNS بر اساس این ایده ساخته شده است که هر سرور DNS قابل اعتماد است. به راحتی می توانید دریابید که چگونه یک هکر می تواند از این مزیت با بدافزار یا سرورهای DNS مختلف برای رسیدن به اهداف نهایی خود بهره ببرد.

دزدی DNS برای چه استفاده می شود؟

دزدی DNS می تواند در حملات فیشینگ و فارمینگ با هدف سرقت اطلاعات شخصی و مالی کاربران آنلاین استفاده شود.

اهداف از آنجا به بعد کاملاً واضح است – تخلیه حساب بانکی قربانیان، استفاده از کارت های اعتباری آنها در طرح های تقلب در کارت های اعتباری و فروش اطلاعات قابل شناسایی شخصی آنها (آدرس فیزیکی، آدرس ایمیل، نام کامل، شماره تلفن همراه و غیره) در وب عمیق یا همان دیپ وب (Deep web)، یا بعداً از آن در کلاهبرداری های دیگر استفاده کنید.

دزدی DNS چگونه کار می کند؟

همانطور که قبلاً اشاره کردیم، دزدی DNS نتایج جستجوی IP را هدایت می کند، بنابراین دستگاه شما به وب سایت اشتباهی متصل می شود. اما بیایید نگاهی به چگونگی مدیریت بیشتر مجرمان اینترنتی در انجام دزدی DNS بیندازیم:

دزدی DNS
دوباره چک کردن آدرسهای حساس مانند لینک های پرداخت بسیار برای جلوگیری از انواع دزدی مانند دزدی DNS میتواند کمک کننده باشد

از طریق بدافزار

حملات بدافزاری می توانند روتر شما را آلوده کرده و تنظیمات DNS آن را تغییر دهند تا از سرورهای DNS متعلق به هکرها به جای سرورهای قانونی استفاده کند. به این ترتیب، شما به طور خودکار به هر وب سایتی که صاحب سرور بخواهد هدایت می شوید.

یکی از بهترین نمونه های این بدافزار DNSChanger بود. این تنظیمات DNS روتر را تغییر داده تا کاربران آنلاین را مجبور به بازدید از وب سایت هایی کند که مجرمان اینترنتی ده ها تبلیغ در آنها نشان می دهند. خوشبختانه هیچ یک از این تبلیغات مخرب نبودند زیرا فقط برای درآمدزایی تبلیغات استفاده می شد.

اگر یک هکر از چنین بدافزاری برای آلوده کردن روتر شما استفاده کند، اتفاق بسیار بدتری می تواند رخ دهد. می توانید به یک وب سایت مخرب هدایت شوید که بر کلیدهای شما و ترافیک شما نظارت دارد یا نرم افزارهای تبلیغاتی، جاسوسی یا keylogger ها را بر روی دستگاه شما نصب می کند.

تعامل با تبلیغات، پیوندها و بارگیری های مخرب اغلب منجر به آلوده شدن دستگاه و روتر شما می شود.

با به خطر انداختن سرورهای DNS

هک کردن سرورهای DNS بسیار پیچیده است، اما یک مجرم سایبری ماهر می تواند آن را از بین ببرد. هنگامی که آنها از امنیت سرور عبور می کنند، فقط برخی از آدرس های IP موجود در پایگاه داده را تغییر می دهند و منتظر می مانند تا کاربران آنلاین بی خبر به وب سایت های اشتباهی هدایت شوند.

حتی گاهی ممکن است هکرها بتوانند سرویس دهنده های ISP DNS را به خطر بیاندازند. در صورت وقوع چنین اتفاقی، تمام کاربران ISP در معرض خطر سرقت اطلاعات شخصی و مالی خود قرار دارند.

با راه اندازی سرورهای Rogue DNS

مجرمان اینترنتی می توانند سرورهای DNS خود را در صورت تمایل راه اندازی کنند. آنها فقط بانک های اطلاعاتی موجود در آن سرورها را تغییر می دهند، بنابراین در صورت سوال شدن آدرس های IP اشتباه به کاربر بازگردانده می شوند.

سرورهای Rogue DNS اغلب در کنار حملات بدافزار روتر استفاده می شوند. با این وجود هکرها همچنین می توانند از پیام های تبلیغاتی و فیشینگ استفاده کنند تا در صورت استفاده افراد مختلف از آنها بتوانند اهداف خود را نهایی کنند.

ربودن ISP DNS چیست؟

ارائه دهندگان ISP همچنین می توانند یک نوع ربودن DNS را انجام دهند، اگرچه برای کاربران آنلاین به اندازه ربودن معمولی DNS خطرناک نیست. با این وجود، می تواند بسیار آزاردهنده باشد.

چرا؟ زیرا آنها از آن برای قرار دادن شما در معرض تبلیغات به منظور افزایش درآمد استفاده می کنند. اساساً، آنها پاسخ NXDOMAIN-پاسخ دامنه های اینترنتی موجود را ربوده اند. به طور معمول، اگر آدرس وب سایت را تایپ کنید که وجود ندارد، پاسخ NXDOMAIN را دریافت خواهید کرد که دقیقاً این را به شما می گوید.

اگر ISP از ربودن DNS استفاده کند، پاسخ NXDOMAIN را دریافت نمی کنید. در عوض، شما به یک وب سایت جعلی هدایت می شوید که حاوی ده ها آگهی است. گاهی اوقات، ممکن است ISP داده های کاربر را از افرادی که با تبلیغات ارتباط برقرار می کنند جمع آوری کرده و به تبلیغ کنندگان شخص ثالث بفروشد.

به طور معمول، سرقت DNS ISP نباید نگران کننده ای برای شما باشد. تنها در صورتی در معرض وب سایت های جعلی قرار می گیرید که عمداً به آدرس وب سایت غیر موجود دسترسی داشته باشید. اگرچه، اگر تبلیغات حاوی بدافزار باشند، خطرات جدی وجود دارد و شما به اشتباه به وب سایت دسترسی پیدا می کنید (اشتباه وارد کردن آدرسی که می خواهید معمولاً به آن متصل شوید).

نحوه تشخیص هک شدن DNS

تشخیص ربودن DNS چندان ساده نیست زیرا هیچ تست ربودن DNS “بله یا خیر” وجود ندارد. و اگر به وب سایتی که در آن قرار می گیرید توجه کافی ندارید، ممکن است حتی متوجه نشوید که آن سایت اشتباه است یا تقلبی.

بهترین راه برای تشخیص ربودن DNS این است که مطمئن شوید همیشه در وب سایت مناسب هستید. در صورت مشاهده غلط املایی در آدرس URL، فقدان گواهی امنیت وب سایت و عدم استفاده از رمزگذاری HTTPS، ممکن است در وب سایت فیشینگ به سر برده باشید.

خوشبختانه، علاوه بر این، برخی از ابزارهای آنلاین وجود دارد که می توانید از آنها برای حكم روشن تر استفاده كنید. برای شروع، WhoIsMyDNS.com وب سایتی است که می توانید از آن برای بررسی اینکه سرور واقعی که از طرف شما درخواست ها را ارائه کرده است، استفاده کنید یا خیر، آیا این وب سایت معتبر است یا خیر. اگر سرور در لیست سرورهای DNS مشکوک باشد، IP مالک کیست و Reverse DNS چیست به شما می گوید.

همچنین Router Checker از F-Secure Labs وجود دارد-ابزاری که اتصال دستگاه شما به حل کننده DNS آن را تأیید می کند و بررسی می کند که به یک سرور DNS مجاز متصل شده است. در صورت عدم تطابق گزارش شده، احتمالاً قربانی ربودن DNS هستید.