🛡️هجوم DNS Poisoning/Spoofing 🧑💻..
هو قيام المهاجم بعملية إعادة توجيه للهدف إلى مخدم server مخادع بدل المخدم الشرعي، وهذا يتم من خلال التلاعب بمدخلات جدول DNS مما يؤدي إلى ترجمة عناوين نطاقات Domains إلى عناوين IP مخادعة، عندما يحاول الضحية الوصول لموقع ويب فإن المهاجم يتلاعب بمدخلات جدول DNS لذلك فإن جهاز الضحية سيتم توجيهه إلى رابط مخادع وهو الرابط الخاص بسيرفر المهاجم.
🟢هذا الهجوم يمكن أن يتم من خلال السيناريوهات التالية:
1️⃣داخل الشبكة.
2️⃣عبر الانترنت.
3️⃣بإستخدام سيرفر وكيل Proxy Server.
4️⃣ Cache Poisoning.DNS.
1️⃣ المهاجم داخل الشبكة:
يحاول المهاجم القيام بهذا الهجوم من خلال انتحال DNS الخاص بالشبكة المحلية بمساعدة تقنيات أخرى مثل ARP poisoning وللقيام بهذا الهجوم يجب أن يكون المهاجم متصل مع نفس الشبكة وقادر على التقاط حركة البيانات داخل الشبكة، فإذا نجح المهاجم بإلتقاط طلب DNS فيمكنه الرد بإرسال إجابة تحوي على عنوان خبيث قبل أن يقوم سيرفر DNS الفعلي بالرد على هذا الطلب.
2️⃣ الهجوم عبر الانترنت:
يُعرف هذا النوع من الهجوم أيضاً باسم Remote DNS Poisoning من الممكن أن يتم ضد هدف واحد أو عدة أهداف في أي مكان في العالم، وللقيام بهذا النوع من الهجوم فإن المهاجم يعمل على إعداد سيرفر DNS مخادع له عنوان IP ثابت Static IP هذا الهجوم يتم بمساعدة برمجيات خبيثة (أحصنة طروادة Trojans)، ومن خلاله يستطيع المهاجم تغيير عنوان سيرفر DNS الأساسي في جهاز الضحية واستبداله بعنوان السيرفر المخادع الخاص بالمهاجم، وعندها سيتم توجيه طلبات الضحية بحسب القيم الخاصة بسيرفر المهاجم.
3️⃣ الهجوم من خلال سيرفر وكيل Proxy Server:
يقوم المهاجم بإعداد مخدم وكيل proxy في نظام الهدف ليعمل على إعداده كمخدم DNS مخادع ثم يقوم بتغيير إعدادات المخدم الوكيل ضمن نظام الهدف بمساعدة برمجية خبيثة، وليتم بعدها تعيين ال Proxy على أنه سيرفر DNS الأساسي.
4️⃣ هجوم DNS Cache Poising:
يتم هذا الهجوم من خلال تبديل أو إضافة سجلات DNS مخادعة ضمن الذاكرة المؤقتة DNS cache، إن آلية عمل DNS تعتمد على ذاكرة مؤقتة تقوم بحفظ الطلبات التي تم ترجمتها مؤخراً، والمهاجم يقوم بالتلاعب بها لإضافة مدخلات عنوان IP لموقع مزور، وعندما يقوم المستخدم بطلب الموقع المستبدل فسوف يقوم DNS أولاً بفحص DNS cache وإذا كان العنوان موجود فسيتم إرساله إلى المستخدم وعندها سيتم توجيه إلى العنوان "المزور" الذي حدده المهاجم بدلاً عن العنوان الحقيقي للموقع المطلوب.
💥 للحماية من هجمات DNS spoofing:
1️⃣استخدام SSL - Secure Socket Layer لحماية حركة البيانات.
2️⃣إيجاد كل الإجابات لطلبات DNS ضمن سيرفر DNS محلي.
3️⃣منع إرسال طلبات DNS السيرفرات خارجية.
4️⃣إعداد الجدار الناري ليقوم بالحد من طلبات اكتشاف سيرفر DNS الخارجية.
5️⃣تركيب أنظمة كشف الاختراق IDS استخدام static ARP and IP tables.
6️⃣استخدام أدوات كشف التنصت sniffing.
7️⃣الاعتماد على سيرفرات بروكسي موثوقة.
8️⃣مراقبة حركة البيانات.