Sabo3eur
6th November 2011, 08:24 PM
بررسی حملات
DNS Cache Poisoning
DNS poisoningاین مدت مطالب بسیاری بوده است كه سعی می كنم در صورت لزوم به برخی اشاره كنم . یكی از این موارد
می باشد . با اینكه مورد بسیار مهمی است اما كمتر به آن اشاره شده است . من سعی می كنم در این نوشته به اختصار
توضیحی روان برای آن ارائه بدهم و بیشتر به وارد مرجع اشاره كنم .
: DNS Cache Poisoning ابتدای تاریخچه كشف
وجود داشت و منجر به اولین مورد DNSاین اسیب پذیری مربوط می شود به سال 1993 و یافتن ایرادهایی منطقی كه در تعریف
شد . DNS Cache Poisoning
برای مطالعه كامل در مورد تاریخچه و روند بررسی تا به امروز میتوانید از لینک زیر کمک بگیرید !!!
http://www.lurhq.com/dnscache.pdf
مدتی پیش در یعنی ماه مارس 2005 یك حمله بسیار گسترده در این مورد انجام شد . بیش از 500 موسسه بزرگ دنیا قربانی
. منحرف شدند (Cairex.net)شدند و در سه حمله متوالی وب سایت های آن ها به سایت های دیگری مثل
این حمله ها آغازی بود برای بررسی بیشتر بر روی این نقص و ارایه راه كار های مختلف .
یك گزارش كامل تهیه كرد كه پیش نهاد می كنم آن را كامل مطالعه كنید . SANS در همین زمینه
در این گزارش آغاز حمله و آمار های زیادی وجود دارد :
http://isc.sans.org/presentations/dnspoisoning.php
سرور مورد استفاده شما آسیب پذیر باشد این صفحه DNS البته در صورتی كه برای اینكه به صورت عملی این ایراد را ببینید
را ببینید !!!!!
http://ketil.froyn.name/poison.html
اهمیت این ایراد امنیتی به دلیل خطری است كه برای تجارت شما و یا اطلاعات شخصی افراد می تواند داشته باشد .
بیشترین ضرری كه این مورد تا به حال وارد كرده است بر اثر سرقت اطلاعات كارت های اعتباری می باشد .
سرور شما اطلاعات او دزدیده شود . DNSفرض كنید كاربر شبكه شما قصد خرید آنلاین داشته باشد و به علت نقص
سرور به یک سایت DNSو یا شریك تجاری شما قصد بازدید از وب سایت شركت شما را داشته باشد ولی به علت ایراد یک
مستهجن هدایت شود .
روش هایی كه برای پیشگیری از این موارد و شاید سایر آسیب پذیری ها وجود دارند :
استفاده می كنید، حتما به نسخه ای بالاتر از BINDسرور شبكه خود را بروز كنید . اگر مانند اكثر شبكه ها از DNSهمیشه
میتوانید مقاله زیرDNSSec استفاده كنید . برای آشنایی بیشتر با DNSSec مهاجرت كنید و اگر این امكان را ندارید از 9.2.5
. Gmail همان خالق Bernsteinرا بخوانید !!! نوشته
http://www.onlamp.com/pub/a/onlamp/2004/10/14/dnssec.html
استفاده كنید . djbdnsاگر كمی حوصله دارید و كنجكاو هستید از
http://cr.yp.to/djbdns.html
چند توصیه هم در آخر كه هركدام بسته به شرایط شما می توانید برای شبكه ای امن تر مفید واقع شود .
. شما قابل توجه هستندname serverبه تمامی این موارد بدون توجه
شبكه پیاده كنید . در این حالت های خود را به صورت جداگانه در سگمنت های مختلف name server1 - در صورت امكان
های خودتان پیاده كنید . دقت داشته باشید که در این حالت میبایست برای name server را در مورد redundancyمیتوانید
یک راه حل جهت هماهنگی بین آن ها نیز تصمیم گیری كنید .
و از فورواردر ها داخلی و خارجی شبكه خود را از هم مجزا كنید name server 2 - در صورت كه این امكان را دارید
برای شبكه داخلی استفاده كنید . سرویس دهنده نام خارجی می بایست به هر درخواستی پاسخ دهد به جز فورواردر ها !!
ها استفاده کنیدDirectory Service را محدود كنید . البته در صورتی كه از dynamic DNS updates 3 - اگر امكان دارید
ممكن است نتوانید از این مورد بهره جویید .
روش دیگری كه در مورد بسیاری از سرویس های حیاتی شبكه شما می تواند مهم باشد پنهان كردن ورژن برنامه سرویس
استفاده میکنید حتما این کار را انجام دهید !!!BIND دهنده است اگر از
4 - سرویس های اضافه را بر روی ماشین سرور غیر فعال كنید و از یك فایروال كه به خوبی برای پاسخ به درخواست های
Fun_x7مربوطه تنظیم شده است استفاده كنید (لطفا برای كامل كردن این نوشته نظرات خود را اضافه كنید)
هر تجربه برای شبكه ای امن تر مفید است
دلیل اینکه به این مطلب اشاره شد، تقریبا برای شما که این مطلب رو می خوانید روشن است . امروز تعداد زیادی از وب
سایت های پرمخاطب ایرانی مورد حمله قرار گرفت . هنوز اطلاعات کاملی از نوع حمله ها منتشر نشده است ولی حداقل در
سرور در سمت سرویس دهنده های ایرانی اشاره شده است . DNSمورد پایگاه پرشین بلاگ به آلوده سازی
http://www.persianblog.com/news/entry.asp?module=news&id=387
کمی آشنایی با این حمله ها این نکته را یادآور می شود که در واقع تنها ضرری که این حمله به پایگاه های قربانی وارد می
کند عدم دسترسی برای آن ها است . اما به این مورد نیز باید توجه داشت علاوه بر نمایش اطلاعات نامربوط ،امکان دزیدن
اطلاعات شخصی کاربران نیز وجود خواد داشت . همینطور می بایست یادآوری شود امکان جلوگیری از این حمله ها برای دیتا
سنتر های بزرگ امکان پذیر است .
امیدوارم اطلاعات کامل تر و دقیق تری درباره ماهیت این حمله ها منتشر شود . در هر صورت باید به خاطر داشته باشیم حق
تمامی کاربران است تا از اتفاقاتی که می افتد آگاه باشند !!
اگر کمی وقت داشتید چند لینک معرفی شده اطلاعات بسیار خوبی را در اختیار شما خواهند گذاشت .
http://www.lurhq.com/cachepoisoning.html
http://www.corecom.com/external/livesecurity/dnsphishing.htm
http://ketil.froyn.name/poison.html
http://weblog.techopedia.net/techopedia
sabo3eur نویسنده :
DNS Cache Poisoning
DNS poisoningاین مدت مطالب بسیاری بوده است كه سعی می كنم در صورت لزوم به برخی اشاره كنم . یكی از این موارد
می باشد . با اینكه مورد بسیار مهمی است اما كمتر به آن اشاره شده است . من سعی می كنم در این نوشته به اختصار
توضیحی روان برای آن ارائه بدهم و بیشتر به وارد مرجع اشاره كنم .
: DNS Cache Poisoning ابتدای تاریخچه كشف
وجود داشت و منجر به اولین مورد DNSاین اسیب پذیری مربوط می شود به سال 1993 و یافتن ایرادهایی منطقی كه در تعریف
شد . DNS Cache Poisoning
برای مطالعه كامل در مورد تاریخچه و روند بررسی تا به امروز میتوانید از لینک زیر کمک بگیرید !!!
http://www.lurhq.com/dnscache.pdf
مدتی پیش در یعنی ماه مارس 2005 یك حمله بسیار گسترده در این مورد انجام شد . بیش از 500 موسسه بزرگ دنیا قربانی
. منحرف شدند (Cairex.net)شدند و در سه حمله متوالی وب سایت های آن ها به سایت های دیگری مثل
این حمله ها آغازی بود برای بررسی بیشتر بر روی این نقص و ارایه راه كار های مختلف .
یك گزارش كامل تهیه كرد كه پیش نهاد می كنم آن را كامل مطالعه كنید . SANS در همین زمینه
در این گزارش آغاز حمله و آمار های زیادی وجود دارد :
http://isc.sans.org/presentations/dnspoisoning.php
سرور مورد استفاده شما آسیب پذیر باشد این صفحه DNS البته در صورتی كه برای اینكه به صورت عملی این ایراد را ببینید
را ببینید !!!!!
http://ketil.froyn.name/poison.html
اهمیت این ایراد امنیتی به دلیل خطری است كه برای تجارت شما و یا اطلاعات شخصی افراد می تواند داشته باشد .
بیشترین ضرری كه این مورد تا به حال وارد كرده است بر اثر سرقت اطلاعات كارت های اعتباری می باشد .
سرور شما اطلاعات او دزدیده شود . DNSفرض كنید كاربر شبكه شما قصد خرید آنلاین داشته باشد و به علت نقص
سرور به یک سایت DNSو یا شریك تجاری شما قصد بازدید از وب سایت شركت شما را داشته باشد ولی به علت ایراد یک
مستهجن هدایت شود .
روش هایی كه برای پیشگیری از این موارد و شاید سایر آسیب پذیری ها وجود دارند :
استفاده می كنید، حتما به نسخه ای بالاتر از BINDسرور شبكه خود را بروز كنید . اگر مانند اكثر شبكه ها از DNSهمیشه
میتوانید مقاله زیرDNSSec استفاده كنید . برای آشنایی بیشتر با DNSSec مهاجرت كنید و اگر این امكان را ندارید از 9.2.5
. Gmail همان خالق Bernsteinرا بخوانید !!! نوشته
http://www.onlamp.com/pub/a/onlamp/2004/10/14/dnssec.html
استفاده كنید . djbdnsاگر كمی حوصله دارید و كنجكاو هستید از
http://cr.yp.to/djbdns.html
چند توصیه هم در آخر كه هركدام بسته به شرایط شما می توانید برای شبكه ای امن تر مفید واقع شود .
. شما قابل توجه هستندname serverبه تمامی این موارد بدون توجه
شبكه پیاده كنید . در این حالت های خود را به صورت جداگانه در سگمنت های مختلف name server1 - در صورت امكان
های خودتان پیاده كنید . دقت داشته باشید که در این حالت میبایست برای name server را در مورد redundancyمیتوانید
یک راه حل جهت هماهنگی بین آن ها نیز تصمیم گیری كنید .
و از فورواردر ها داخلی و خارجی شبكه خود را از هم مجزا كنید name server 2 - در صورت كه این امكان را دارید
برای شبكه داخلی استفاده كنید . سرویس دهنده نام خارجی می بایست به هر درخواستی پاسخ دهد به جز فورواردر ها !!
ها استفاده کنیدDirectory Service را محدود كنید . البته در صورتی كه از dynamic DNS updates 3 - اگر امكان دارید
ممكن است نتوانید از این مورد بهره جویید .
روش دیگری كه در مورد بسیاری از سرویس های حیاتی شبكه شما می تواند مهم باشد پنهان كردن ورژن برنامه سرویس
استفاده میکنید حتما این کار را انجام دهید !!!BIND دهنده است اگر از
4 - سرویس های اضافه را بر روی ماشین سرور غیر فعال كنید و از یك فایروال كه به خوبی برای پاسخ به درخواست های
Fun_x7مربوطه تنظیم شده است استفاده كنید (لطفا برای كامل كردن این نوشته نظرات خود را اضافه كنید)
هر تجربه برای شبكه ای امن تر مفید است
دلیل اینکه به این مطلب اشاره شد، تقریبا برای شما که این مطلب رو می خوانید روشن است . امروز تعداد زیادی از وب
سایت های پرمخاطب ایرانی مورد حمله قرار گرفت . هنوز اطلاعات کاملی از نوع حمله ها منتشر نشده است ولی حداقل در
سرور در سمت سرویس دهنده های ایرانی اشاره شده است . DNSمورد پایگاه پرشین بلاگ به آلوده سازی
http://www.persianblog.com/news/entry.asp?module=news&id=387
کمی آشنایی با این حمله ها این نکته را یادآور می شود که در واقع تنها ضرری که این حمله به پایگاه های قربانی وارد می
کند عدم دسترسی برای آن ها است . اما به این مورد نیز باید توجه داشت علاوه بر نمایش اطلاعات نامربوط ،امکان دزیدن
اطلاعات شخصی کاربران نیز وجود خواد داشت . همینطور می بایست یادآوری شود امکان جلوگیری از این حمله ها برای دیتا
سنتر های بزرگ امکان پذیر است .
امیدوارم اطلاعات کامل تر و دقیق تری درباره ماهیت این حمله ها منتشر شود . در هر صورت باید به خاطر داشته باشیم حق
تمامی کاربران است تا از اتفاقاتی که می افتد آگاه باشند !!
اگر کمی وقت داشتید چند لینک معرفی شده اطلاعات بسیار خوبی را در اختیار شما خواهند گذاشت .
http://www.lurhq.com/cachepoisoning.html
http://www.corecom.com/external/livesecurity/dnsphishing.htm
http://ketil.froyn.name/poison.html
http://weblog.techopedia.net/techopedia
sabo3eur نویسنده :