آیا میدانستید سیستم نام دامنه (DNS) که مسیریابی اینترنت را ممکن میسازد، میتواند هدف حملات سایبری قرار گیرد؟ حمله ربایش DNS یا DNS Hijacking با تغییر مسیر درخواستهای اینترنتی به سمت سرورهای مخرب، اطلاعات کاربران را به سرقت میبرد. هکرها با روشهایی مانند نصب بدافزار، در اختیار گرفتن کنترل روترها یا رهگیری و نفوذ به ارتباطات DNS، درخواستها را تغییر داده و به سایتهای مخرب هدایت میکنند.
تاکنون حملات ربودن DNS در فضای ارز دیجیتال منجر به سرقت داده و ارز دیجیتال کاربران زیادی شده است. در این مطلب، نحوه کار حمله ربودن DNS، انواع روشهای حمله، نحوه شناسایی، متدهای پیشگیری و تکنیکهای مقابله با این حملات را برای هر دوی پروتکلهای دیفای و کاربران نهایی بررسی میکنیم.
حمله ربایش DNS چیست؟
حمله ربایش DNS یا DNS hijacking که با نام تغییر مسیر DNS نیز شناخته میشود، یک نوع حمله سایبری است که در آن مهاجم با دستکاری تنظیمات DNS، ترافیک اینترنت کاربران را به وبسایتهای مخرب هدایت میکند. این کار معمولاً با هدف سرقت اطلاعات حساس مانند نام کاربری و رمز عبور، یا توزیع بدافزار انجام میشود
مهاجمان و هکرها با روشهایی مانند نصب بدافزار (Malware) و باج افزار (ransomware) روی کامپیوتر کاربر، در اختیار گرفتن کنترل روترها یا رهگیری و نفوذ به ارتباطات DNS، حمله خود را انجام میدهند.
معنی DNS Hijacking به زبان ساده در ارز دیجیتال
ربودن DNS به این معنی است که هکر با استفاده از روشهای گوناگون، کاربران یک وبسایت معتبر را به سروری جعلی و خطرناک منتقل میکند. این اتفاق در دنیای ارزهای دیجیتال، به ویژه در پلتفرمهای دیفای، میتواند خسارات جبرانناپذیری به بار آورد.
مهاجمان با فریب کاربران و هدایت آنها به وبسایتهای تقلبی، اقدام به سرقت ارزهای دیجیتال، دسترسی به کلیدهای خصوصی و یا آلوده کردن سیستمها به بدافزار میکنند.
اهداف مهاجمان
معمولاً نهادهای دولتی، ISPها یا هکرهای مستقل با هدف سرقت اطلاعات حساس، انتشار بدافزار، فارمینگ یا اجرای حملات فیشینگ، حملات سیستم نام دامنه را انجام میدهند:
فارمینگ (Pharming): در فارمینگ، مهاجمان معمولاً تبلیغات ناخواستهای را برای کسب درآمد به کاربران نمایش میدهند.فیشینگ (Phishing): در فیشینگ، هکرها با نمایش نسخههای جعلی از سایتهای موردنظر، اطلاعات یا دادههای ورودی توسط کاربران مانند اطلاعات ایمیل و رمزعبور را سرقت میکنند.جمعآوری اطلاعات: علاوهبر مهاجمان مستقل، بسیاری از ارائهدهندگان خدمات اینترنت (ISP) نیز با بهکار بردن نوع خاصی از ربایش سیستم نام دامنه، آمار و اطلاعات ورود به دامنههای ناموجود را جمعآوری کرده و تبلیغات نمایش میدهند.سانسور اینترنت: برخی دولتها از ربودن DNS بهعنوان ابزاری برای سانسور اینترنت و هدایت کاربران به سایتهای مورد تأییدشان استفاده میکنند.
DNS چیست و چگونه کار میکند؟
سیستم نام دامنه یا سامانه نام دامنه (Domain Name System) بخش جداییناپذیر اینترنت است که همه ما از آن استفاده میکنیم. این سیستم به شما اجازه میدهد بهجای استفاده از آدرس آیپیهای پیچیده و عددی مانند ۱۹۲.۱۶۸.۱.۱، از نامهای دامنه ساده و قابل حفظکردن مانند arzdigital.com برای دسترسی به وبسایتها استفاده کنید. در ادامه، DNS این نامهای کاربرپسند را به آدرسهای آیپی (IP) تبدیل میکند تا کامپیوترها بتوانند بهدرستی به یکدیگر متصل شوند.
نقش DNS در اینترنت
DNS دفتر ثبت اسامی وبسایتهاست و شبیه به یک دفترچه تلفن عمل میکند. همانطور که شما اسامی افراد را در دفترچه تلفنتان ذخیره کرده و هنگام دریافت تماس با خواندن نام او متوجه میشوید چه کسی با شما تماس گرفته است، اینترنت نیز دفترچه تلفن مخصوص به خود را دارد که شامل فهرستی از کامپیوترها، سرویسها و منابع دیگر متصل به شبکه است. این سیستم نامگذاری که اینترنت از آن استفاده میکند، DNS نام دارد.
Resolve؛ فرایند ترجمه نام دامنه به IP
معمولاً هنگام جستوجوی اطلاعات در اینترنت، نام دامنه وبسایتهایی مانند «google.com» را در نوار جستجو وارد میکنید. سپس، مرورگر از طریق آدرس آیپی (IP) دستگاه، فرایند اتصال را آغاز میکند. در این مرحله، DNS نام دامنه موردنظر را به آدرسهای آیپی مانند (۱۴۲.۲۵۰.۱۹۰.۷۸) ترجمه میکند تا وبسایت قادر به بارگذاری منابع خود از اینترنت باشد.
به فرایند تبدیل شدن نام دامنه به آدرس آیپی، ریزالو (Resolve) میگویند. DNS Resolver نیز یک نرمافزار یا سرویس است که درخواست DNS را از طرف کاربر یا اپلیکیشن دریافت کرده و نتیجه نهایی را به کاربر برمیگرداند.
مزیت راهاندازی DNS
ایجاد سیستم DNS ابتکاری از سوی علاقهمندان به فناوری بود، زیرا در غیر این صورت کاربران مجبور بودند برای هر دستگاهی که به اینترنت متصل میشود، مانند لپتاپ، موبایل یا تبلت، مجموعهای از اعداد (همان آدرسهای آیپی) را حفظ کرده یا یادداشت کنند.
حمله ربایش چگونه DNS اجرا میشود؟
هنگامیکه یک وبسایت از طریق یک ثبتکننده دامنه یا دامین ریجسترر (Domain Registrar) ثبت میشود، مالک آن، یک نام دامنه آزاد انتخاب کرده و آدرس آیپی وبسایت با آن نام دامنه ثبت میشود. برای مثال، اگر نام دامنه یک سایت، «BusinessSite.com» باشد، یک رکورد DNS شامل آدرس آیپی منحصربهفرد وبسایت ایجاد و نام دامنه به این آدرس آیپی متصل میشود.
در حمله DNS Hijacking، هکر به سیستم نام دامنه دسترسی یافته و آدرس آیپی اصلی را با یک آدرس جعلی جایگزین میکند. در نتیجه، کاربر با وارد کردن نام دامنه (مثلاً BusinessSite.com)، به جای سایت اصلی به سرورهای تحت کنترل مهاجم هدایت میشود. اگر سایت جعلی شبیه به سایت اصلی باشد، کاربر ممکن است اطلاعات حساسی مانند نام کاربری، رمز عبور یا اطلاعات بانکی را وارد کرده یا بدافزاری را دانلود کند.
مراحل کلی اجرای حمله ربودن DNS شامل موارد زیر است:
شناسایی هدفدسترسی اولیهدستکاری تنظیمات DNSارسال درخواست DNS توسط کاربرهدایت درخواست به آیپی مهاجمورود کاربر به مقصد جعلی و بهرهبرداری مهاجم
مرحله ۱: شناسایی هدف
هدف ممکن است یک وبسایت عمومی، دامنه داخلی یا حساب کاربری یک ارائهدهنده DNS باشد. در مرحله اول، مهاجم بهدنبال نقاط ضعف در زیرساخت سیستم نام دامنه یا دسترسی مدیریتی میگردد.
مرحله ۲: دسترسی اولیه
در ادامه، مهاجم با روشهای مختلف به سرور DNS، حساب ثبتکننده دامنه (Registrar) یا حتی روترهای محلی دسترسی پیدا میکند. این روشها میتوانند شامل موارد زیر باشند:
سرقت اطلاعات ورود (Credential Theft)سوءاستفاده از آسیبپذیریها (Exploitation)مهندسی اجتماعی (Social Engineering)
مرحله ۳: دستکاری تنظیمات DNS
اکنون مهاجم یا هکر، رکوردهای سیستم نام دامنه (DNS records) را عوض کرده یا پاسخهای جعلی (Spoofed Responses) ارسال میکند تا ترافیک را از آدرس آیپی اصلی به آدرسی مخرب هدایت کند.
مرحله ۴: ارسال درخواست DNS توسط کاربر
کاربر به روشهای معمول، مثلاً با وارد کردن آدرس در مرورگر یا استفاده از اپلیکیشن، سعی میکند به وبسایت دسترسی پیدا کند.
مرحله ۵: هدایت درخواست به آیپی مهاجم
اکنون بهجای سرور واقعی، پاسخ DNS به سروری تحت کنترل مهاجم ختم میشود. حال اگر کاربر گواهی امنیتی یا جزئیات صفحه را بررسی نکند، معمولاً متوجه تفاوت نسخه جعلی با سایت اصلی نخواهد شد.
مرحله ۶: ورود کاربر به مقصد جعلی و بهرهبرداری مهاجم
در نهایت، کاربر ممکن است به یک سایت فیشینگ، حاوی بدافزار یا نسخهای مشابه سرویس اصلی هدایت شود. نتیجه این اتفاق، سرقت اطلاعات، دانلود بدافزار یا کلاهبرداری مالی خواهد بود.
انواع حملات ربایش DNS
روشهای مختلفی برای اجرای حملات ربایش DNS وجود دارد که هر کدام، بخش متفاوتی از فرایند Resolve سیستم نام دامنه (تبدیل نام دامنه به آیپی)، از دستگاههای شخصی گرفته تا زیرساختهای شبکه، را هدف قرار میدهند. از جمله انوع حمله ربودن DNS شامل موارد زیر است:
ربایش محلی (Local DNS Hijack)ربایش روتر (Router DNS Hijack)حمله مرد میانی (Man-in-the-Middle)حمله سرور جعلی (Rogue DNS Server)حمله مسیر شبکه (On-path DNS Hijacking)مسموم کردن کش (Cache Poisoning) یا DNS Spoofing
ربایش محلی (Local DNS Hijack)
در حمله ربایش محلی سیستم نام دامنه، مهاجم یک دستگاه خاص را هدف قرار داده و با نصب بدافزار تروجان (Trojan) روی دستگاه قربانی، تنظیمات DNS محلی را تغییر میدهد. پس از تغییر ریزالور محلی، تمام درخواستهای DNS از دستگاه هدف به مسیرهای دلخواه مهاجم هدایت میشوند.
ربایش روتر (Router DNS Hijack)
بسیاری از روترها دارای گذرواژههای پیشفرض یا آسیبپذیریهای امنیتی در فریمور (Firmware) خود هستند. دراینصورت، مهاجمان میتوانند با حمله به یک روتر، کنترل را در دست گرفته و تنظیمات DNS آن را بازنویسی کنند. بهعبارت دیگر، با آلوده شدن یک روتر، کل شبکه در معرض ربودن DNS قرار میگیرد.
این نوع حمله بهویژه در محیطهای خانگی یا دفاتر کوچک که کاربران بهندرت تنظیمات روتر را بررسی میکنند، خطرناک است.
حمله سرور جعلی (Rogue DNS Server)
در حمله سرور جعلی که به آن ربایش سطح رجیسترار (Registrar-level hijack) نیز میگویند، مهاجمان میتوانند با هک یک سرور DNS، رکوردهای آن را تغییر داده و درخواستها را به سایتهای مخرب هدایت کنند. این کار ممکن است از طریق بدافزار، پیکربندی نادرست یا حتی آلوده شدن سرور DNS عمومی در لایه بالادستی رخ دهد.
حمله مرد میانی (Man-in-the-Middle)
در حملات مرد میانی یا MitM، مهاجمان از فاصله بین درخواست کاربر و پاسخ سرور DNS سوءاستفاده میکنند. در این روش، هکرها با قطع کردن ارتباط کاربر با سرور DNS، پیش از آنکه سرور اصلی قادر به پاسخ دادن به درخواست کاربر باشد، آدرسهای آیپی به مقصد سایتهای مخرب را جایگزین میکنند.
در MitM، مهاجم الزاماً در مسیر مستقیم ارتباط بین قربانی و مقصد قرار ندارد. دراینحالت، مهاجم باید با روشهایی مانند فریب قربانی برای اتصال به یک شبکه وایفای جعلی، جعل ARP یا جعل DNS، خود را در مسیر داده قرار دهد. پس از ورود، مهاجم میتواند مخفیانه دادهها را شنود یا دستکاری کند.
حمله مسیر شبکه (On-path DNS Hijacking)
حمله On-path که زیرمجموعه حمله مرد میانی قرار میگیرد، روشی خاصتر برای دستکاری ارتباطات بین کاربر و سرور DNS است. در این روش، هکر از پیش در مسیر جریان داده، مثلاً روی همان سروری که فرستنده و گیرنده با آن ارتباط دارند، قرار دارد. در نتیجه، هکر میتواند بهصورت طبیعی و بدون نیاز به منحرف کردن مسیر ارتباطی، دادهها را رهگیری کند.
حملات مسیر شبکه بهخاطر داشتن ماهیت منفعلتر، میتوانند ارتباطات ایمیلی، درخواستهای DNS و حتی شبکههای وایفای عمومی را هدف قرار دهند.
مسموم کردن کش (Cache Poisoning)
در کش پویزنینگ یا مسمومیت کش (Cache Poisoning)، مهاجم با وارد کردن رکوردهای جعلی در حافظه کش DNS روی سرور یا دستگاه کاربر، آن را آلوده میکند. در نتیجه، ریزالور DNS، پاسخهای اشتباهی را بازمیگرداند که توسط مهاجم کنترل میشوند. در این روش، حتی پس از انجام حمله نیز بهخاطر ذخیره اطلاعات جعلی در کش، کاربر ممکن است به سایتهای جعلی هدایت شود.
تفاوت ربایش DNS با سایر حملات؟
ربایش: تغییر تنظیمات DNS سیستم یا روتر برای هدایت کاربر به سایتهای تقلبی بدون اطلاع او.جعل: بخشی از ربایش است که دستکاری پاسخ DNS برای فریب کاربر بدون تغییر تنظیمات DNS و هدایت مخفیانه کاربر به سایتهای مخرب را بههمراه دارد.مسومسازی کش: افزودن رکوردهای جعلی به کش ریزالور برای تأثیر بر گروهی از کاربران.فیشینگ: ساخت سایت جعلی شبیه به نسخه اصلی و فریب کاربر برای وارد کردن اطلاعات شخصی از طریق لینکهای مشکوک.حمله دیداس: تفاوت اصلی بین حمله دیداس (DDoS) و ربایش DNS در این است که دیداس یک حمله برای از دسترس خارج کردن یک سرویس است، در حالی که ربایش DNS تلاشی برای هدایت ترافیک به یک سرور مخرب است.
در جدول زیر، تفاوتهای ربایش و اسپوفینگ دیاناس با فیشینگ، حملات دیداس و مسمومیت کش را مشاهده میکنید:
ویژگیها / نوع حملهDNS HijackingDNS SpoofingCash PoisoningPhishingDDOSهدف اصلیتغییر مسیر کاربران به سایتهای تقلبی از طریق تغییر تنظیمات DNSدستکاری پاسخ DNS برای فریب کاربر بدون تغییر تنظیمات DNSافزودن رکوردهای جعلی به کش ریزالور برای تأثیرگذاری بر گروهی از کاربرانفریب کاربران برای ورود به سایت جعلی و وارد کردن اطلاعات شخصیمختل کردن یا غیرفعال کردن سرویس DNS از طریق ارسال ترافیک بالاروش اجرا– نفوذ به روتر
– دستیابی به حساب رجیسترار
– بدافزار– حملههای MitM
– پاسخهای جعلی DNS
– تغییر مسیرتزریق دادههای جعلی به کش DNSایجاد سایتهای تقلبی مشابه سایتهای واقعی + ارسال لینک از طریق ایمیل یا پیام
– باتنتها
– حمله Amplification
– Flood Attacks
– Reflection Attacksنوع هدفگیریمستقیم؛ از طریق دستکاری تنظیمات DNS در دستگاه کاربر، روتر یا ثبتکننده دامنهغیرمستقیم؛ دستکاری پاسخهای DNS در هنگام انتقال یا سیستمهایی تفسیرکننده آنهاغیرمستقیم؛ کش ریزالورهای بازگشتی که پاسخها را به چندین کاربر ارسال میکنندغیرمستقیم؛ ایجاد سایت و محتوای فریبندهمستقیم؛ هدفگیری مستقیم سرورهای DNS و زیرساختهای شبکه
دشواری تشخیصمتوسط تا بالامتوسطبالا؛ خصوصاً بدون DNSSECمتوسط؛ در صورت دقت به URL یا نشانههای مشکوک سایتپایین؛ قطعی سرویس معمولاً قابل تشخیص است
ابزار متداول حمله– بدافزار
– تغییر تنظیمات روتر یا سیستم– شنود داده
– تزریق بسته– تزریق بسته
– آسیبپذیریهای کش DNS– ایمیل فیشینگ
– پیامک
– شبکههای اجتماعیابزارهای حمله کم مداری/پر مداری
حمله کندلوریس
ابزارهای شبکه ربات
ابزارهای تضخیم DNS
مثالهایی از انواع حملات DNS در فضای ارز دیجیتال و دیفای
حمله ربایش DNS به کیف پولها و پلتفرمهای دیفای اثرات بسیار مخربی در پی دارد. در این روش، هکرها با هدایت کاربران به سایتهای جعلی، میتوانند از طریق دستیابی به کلیدهای خصوصی یا نصب بدافزارها، ارزهای دیجیتال آنها را سرقت کنند.
کیف پول مایاتروالت – ۲۰۱۸
در سال ۲۰۱۸، مهاجمان از بدافزار برای تغییر تنظیمات DNS محلی روی دستگاههای کاربران و هدایت آنها از سایت اصلی کیف پول MyEtherWallet به یک وبسایت جعلی استفاده کردند. هکرها طی این حمله توانستند ۱۵۰ هزار دلار اتریوم را از کاربرانی که اطلاعات داراییهایشان مانند کلیدهای خصوصی را وارد کرده بودند، سرقت کنند.
کریم فایننس و پنکیک سواپ – ۲۰۲۱
در مارس ۲۰۲۱ (اسفند ۹۹)، حمله ربودن DNS به صرافی غیرمتمرکز پنکیک سواپ (PancakeSwap) و پلتفرم دیفای کریم فایننس (Cream Finance)، کاربران را به وبسایتهای فیشینگ هدایت کرد. طی این حمله، سایتهای کلونشده پیغامی تحت عنوان «Handshake error… continue by providing seed phrase» را به کاربران نشان میدادند و از کاربران میخواستند عبارت بازیابی خود را وارد کنند. این حمله تنها در سطح DNS انجام شده بود و قراردادهای هوشمند آسیبی ندیدند.
پالیگان و فانتوم – ۲۰۲۲
انکر (Ankr) یک زیرساخت وب۳ ارائهدهنده نود، سرویس استیکینگ و دیگر محصولات بلاک چینهای مبتنی بر اثبات سهام است. در ژوئیه ۲۰۲۲ (تیر ۱۴۰۱)، مهاجمان با جعل هویت یکی از اعضای تیم انکر موفق شدند از طریق ثبتکننده دامنه این سایت بهنام Gandi، به تنظیمات DNS آن دسترسی پیدا کرده و رکوردهای مربوط به سرویس ارتباطی پروژههای پالیگان و فانتوم را تغییر دهند.
کاربران هنگام اتصال به این سرویسها، به صفحات فیشینگ هدایت میشدند که از آنها میخواست عبارت بازیابی والتشان را وارد کنند. این حمله به زیرساخت DNS محدود بود و قراردادهای هوشمند آسیبی ندیدند.
کرو فایننس – ۲۰۲۵
در ۱۲ می ۲۰۲۵، مهاجمان با نفوذ به ثبتکننده دامنه «fi.»، موفق به ربایش DNS دامنه پروتکل کرو فایننس (Curve Finance) شدند. این حمله، کاربران را به وبسایتی جعلی هدایت میکرد که هدفش فریب کاربران برای امضای تراکنش و تخلیه کیف پولها بود. نکته مهم این حمله این بود که قراردادهای هوشمند پروتکل آسیب ندیدند و حمله صرفاً در لایه DNS رخ داد.
پیشتر در اوت ۲۰۲۲ (مرداد ۱۴۰۱) نیز حمله مشابهی به کرو فایننس رخ داده بود؛ مهاجمان با کلون کردن وبسایت این پروژه و دستکاری DNS، کاربران را به نسخهای تقلبی هدایت کرده بودند که منجر به سرقت ۵۷۰ هزار دلار از دارایی کاربران شد.
علائم و نشانههای تشخیص حمله ربایش DNS
شناسایی و تشخیص یک حمله ربودن DNS به استفاده از ترکیبی از نظارتها، تحلیلهای نفوذ شبکه (Network Intrusion) و حسابرسی سطح سیستم نیاز دارد. در صورت وجود یک حمله ربایش سیستم نام دامنه ممکن است نشانههای زیر را مشاهده کنید:
علائم قابل مشاهده در مرورگر
ریدایرکت غیرعادی صفحات سایت: اگر بهطور غیرمنتظره به صفحهای جدید ریدایرکت شدید، اما URL واردشده همان آدرس قبلی است.سرعت لود پایین صفحات: کاهش محسوس سرعت لود وبسایتهایی که پیشتر از آنها استفاده میکردید.ظاهر شدن تبلیغات مشکوک: مشاهده تبلیغاتی پاپآپ متعدد که اخطار «آلوده بودن» کامپیوتر شما را میدهند.خطاهای گواهی SSL: ممکن است خطاهای زیر را در مرورگرتان دریافت کنید که شما را به کلیک روی گزینه «Proceed Anyway» ترغیب میکنند:Your connection is not privateNET::ERR_CERT_COMMON_NAME_INVALIDNET::ERR_CERT_AUTHORITY_INVALIDتفاوت ظاهری سایت: ظاهر و رابط کاربری سایت نسبت به سایت اصلی که میشناسید متفاوت است.
روشهای تشخیص فنی
بررسی تنظیمات روتر: بااستفاده از ابزارهای آنلاینی بهنام «Router Checker» میتوانید معتبر بودن ریزالور DNS را بررسی کنید. با ورود به صفحه ادمین روتر نیز امکان بررسی تنظیمات DNS وجود دارد.ابزارهای آنلاین تشخیص: با استفاده از ابزارهایی مانند WhoIsMyDNS و nslookup میتوانید اطلاعات مالک دامنه و تنظیمات DNS را بررسی کنید.استفاده از دستور Ping: در مک با ورود به بخش ترمینال و در ویندوز با باز کردن پنجره کامند، دستور «ping kaspersky۱۲۳۴۵۶.com» را تایپ کنید. اگر پیغام «cannot resolve» ظاهر شد، DNS بدون مشکل است.
روشهای پیشگیری از حمله ربایش DNS برای پروژههای بلاک چینی
از اقدامات مناسب پروژههای ارز دیجیتال برای پیشگیری از وقوع حملات ربایش DNS شامل موارد زیر است:
کاهش وابستگی به DNSهای سنتی
با استفاده از DNSهای غیرمتمرکز مانند سرویس نام اتریوم (ENS)، یا هندشیک (Handshake)، وابستگی به ثبتکنندههای متمرکز کاهش یافته و احتمال ربایش در سطح ریزالور کم میشود.
ذخیرهسازی غیرمتمرکز فایل
میزبانی رابط کاربری وبسایتها در سیستمهایی ذخیرهسازی غیرمتمرکز فایل مانند سیستم فایل سیارهای (IPFS) یا آرویو (Arweave)، لایه امنیتی اضافهای ایجاد میکند.
پیادهسازی DNSSEC
فعالسازی افزونههای امنیتی سیستم نام دامنه (DNSSEC)، به یکپارچگی رکوردهای DNS و جلوگیری از تغییرات غیرمجاز کمک میکند.
ایمنسازی حسابهای رجیسترار
درصورت امکان، با روشهایی مانند احراز هویت چندمرحلهای (MFA) و قفل دامنه (Domain Locking) یا قفل کلاینت (Client Lock)، حسابهای ثبتکننده دامنه را ایمن کنید. این کار از ایجاد تغییر در رکوردهای DNS بدون تأیید دستی جلوگیری میکند.
آموزش کاربران
کاربران باید نحوه بررسی اصالت سایتها، مانند استفاده از بوکمارکها یا بررسی رکوردهای ENS را آموزش ببینند. این اقدامات، نرخ موفقیت فیشینگ را کاهش میدهند.
روشهای پیشگیری از حمله ربودن DNS برای کاربران نهایی
برای کاهش خطر افتادن در دام حملات DNS بهتر است اقدامات زیر را طی کنید:
امنیت روتر
تغییر دورهای رمزعبور و بهروزرسانی مدام فریمور روترکانفیگ و قفلکردن تنظیمات DNS روی روتر درصورت امکان
امنیت دستگاه و شبکه
نصب آنتیویروس معتبر روی سیستم و بهروزرسانی مداوم آناستفاده از فایروال (Firewall) برای مسدودسازی دامنههای مخرب پیش از اتصالاتصال صرف به شبکههای قابل اعتماد (چه عمومی چه خصوصی)استفاده از VPN امن و رمزنگاریشده برای جلوگیری از شنود و تغییر مسیر DNSعدم کلیک روی لینکهای مشکوک و مراقبت از اطلاعات ورود (Credentials) به سایتفعالسازی احراز هویت دوعاملی (2FA) روی حسابها
امنیت DNS
استفاده از سرویسهای DNS جایگزین و امن مانند دیاناس عمومی گوگل و Cisco OpenDNS درصورت مشکوک بودن ربایش سیستم نامه دامنه توسط ارائهدهنده خدمات اینترنت (ISP)بررسی دورهای تنظیمات و رکوردهای DNSنظارت بر ترافیک DNS با استفاده از ابزارهای مانیتورینگ ترافیک (Traffic Monitoring)
ابزارها و تکنیکهای مقابله با حمله ربایش DNS برای کاربران نهایی
آگاهی از نشانههای دیجیتال خطرناک، اولین قدم در امنیت سایبری (Cyber Security) است. اگر بهعنوان یک کاربر عادی احساس کردید یک حمله ربایش DNS درحال انجام است، اقدامات زیر را انجام دهید:
قطع فوری اتصال اینترنت
برای جلوگیری از دسترسی بیشتر مهاجم به اطلاعات حساس، بلافاصله اتصال اینترنت را غیرفعال کنید.
خروج از سایتهای ناشناس
اگر در داخل سایتی بودید که برایتان ناآشناست یا پنجرهها، پاپآپها و صفحات غیرمنتظره نمایش داده میشوند، سریعاً از آن خارج شوید.
تغییر تنظیمات DNS و روتر
تنظیمات DNS را روی دستگاه و روتر بررسی و به حالت امن بازگردانید. مطمئن شوید که روتر از DNS آلوده استفاده نمیکند.
پاکسازی کش
اصلاح صرف DNS کافی نیست و ممکن است رکوردهای ربودهشده همچنان در کشهای محلی یا بالادستی باقی بمانند. برای اطمینان، کشهای زیر را پاک کنید:
مرورگرDNS در سیستم شخصیکشهای سطح اپلیکیشن
گزارش به ارائهدهنده سرویس اینترنت یا DNS
با شرکت ارائهدهنده اینترنت یا سرویس DNS تماس بگیرید و موضوع را گزارش کنید تا اقدامات فنی و پشتیبانی لازم توسط آنها انجام شود.
بررسی تراکنشهای کیف پول دیجیتال
اگر حمله ربودن سیستم نام دامنه مرتبط با ارزهای دیجیتال است، فوراً فعالیتهای کیف پول ارز دیجیتال خود را برای شناسایی تراکنشهای مشکوک بررسی کنید.
پشتیبانگیری از دادهها و بررسی امنیتی کامل
از دادههای مهم نسخه پشتیبان بگیرید و یک اسکن امنیتی کامل برای یافتن بدافزار یا آسیبپذیری باقیمانده انجام دهید.
آینده امنیت DNS و تهدیدات نوظهور
مبارزه با حملات ربودن DNS یک نبرد همیشگی است. با رشد روزافزون پروژههای دیفای، حملات سایبری نیز پیچیدهتر و هدفمندتر میشوند. اما با درک درست تهدیدات، اجرای تدابیر امنیتی قوی و آگاهی از روندهای جدید، پلتفرمها و کاربران ارزهای دیجیتال میتوانند تا حد زیادی خطر این حملات را کاهش دهند.
تکنیکهای جدید حمله
امروزه استفاده از هوش مصنوعی برای خودکارسازی جرایم سایبری افزایش یافته است. بنابراین، استفاده از راهکارهای امنیتی مبتنی بر هوش مصنوعی بهویژه در سطح DNS، یکی از مؤثرترین خطوط دفاعی در برابر حملات پیشرفته محسوب میشوند.
دستگاههای IoT مصرفی مانند روترها نیز میتوانند دروازهای برای حملات پیچیده مانند DNS Hijacking باشند. مثلاً در سال ۲۰۱۸، مهاجمان با سوءاستفاده از آسیبپذیریهای موجود در روترهای بهروزرسانینشده D-Link، تنظیمات DNS آنها را تغییر داده و کاربران بانک مرکزی برزیل را به وبسایتهای مخرب هدایت کردند. در این حمله، هکرها موفق به جمعآوری اطلاعات بانکی کاربران (شامل شماره شعبه، شماره حساب و پین) شدند.
در تکنیکهای دیگر، مهاجمان میتوانند بدون نیاز به بدافزار، حملات را در لایه تنظیمات اولیه موبایلها انجام داده و با استفاده از پیامکهای جعلشده، ارتباطات داده موبایل را تحت کنترل خود درآورند. گروه هکری لازاروس یکی از بزرگترین و مخوفترین گروه هکری دنیاست که هکرهای آن تاکنون داراییهای زیادی را از طریق حملههای سایبری گوناگون بهسرقت بردهاند.
فناوریهای نوین محافظت
یادگیری ماشینی: علاوهبر AI، از الگوریتمهای یادگیری ماشینی میتوان برای شناسایی سریع تهدیدات جدید مانند مسمومسازی کش و استخراج دادهها استفاده کرد.DNS over HTTPS یا DoH: از این روش برای رمزنگاری درخواستها و پاسخهای DNS با استفاده از HTTPS استفاده میشود که افزایش حریم خصوصی و جلوگیری از شنود و دستکاری دادههای DNS توسط اشخاص ثالث را بهدنبال دارد.تکنولوژیهای بلاک چین: فناوریهای بلاک چینی غیرمتمرکز مانند سیستم فایل سیارهای و سرویس نام اتریوم از بهترین روشهای کاهش حملات در سطح ریزالور DNSها هستند.
سؤالات متداول
در صورت حمله ربایش DNS چه اتفاقی میافتد؟
کاربر بهجای سایت واقعی، به یک سایت جعلی یا مخرب هدایت میشود. در صورت وارد کردن اطلاعات حیاتی، احتمال سرقت داراییها وجود دارد.
آیا استفاده از VPN از ربایش DNS محافظت میکند؟
بله، درصورت استفاده VPN از DNS اختصاصی و رمزنگاریشده میتوان از حملات ربایش سیستم نام دامنه جلوگیری کرد.
چگونه بفهمیم DNS هک شده است؟
با مشاهده علائمی مانند نمایش تبلیغات مکرر آلوده بودن دستگاه، پیغام هشدار Connection not private، و بررسی تغییر تنظیمات DNS در روتر یا دستگاه میتوانید حمله به DNS را شناسایی کنید.
بهترین DNS های عمومی کدامند؟
دیاناس عمومی گوگل (۸.۸.۸.۸ و ۸.۸.۴.۴)، کلاودفلر (۱.۱.۱.۱) و سیسکو (۲۰۸.۶۷.۲۲۲.۲۲۲) بهترین گزینهها هستند.
آیا DNSSEC کاملاً امن است؟
کامل خیر. این روش از جعل دیاناس (DNS Spoofing) جلوگیری میکند، اما در برابر ربایش تنظیمات یا حملات انسانی (مهندسی اجتماعی) آسیبپذیر است.
جمعبندی
حمله ربایش سیستم نام دامنه (DNS Hijacking) یک حمله سایبری مخرب است که وبسایتها، کاربران و پروژههای بلاک چینی را تهدید میکند. برای کاهش خطر این حملات، میتوان اقداماتی نظیر احراز هویت دوعاملی، بررسی رکوردهای DNS، تغییر دورهای رمزعبور روتر و نظارت بر تراکنشهای کیف پول ارز دیجیتال را انجام داد.
نظرات کاربران