engeneer_19
28th January 2010, 11:48 PM
ابتدای تاریخچه كشف DNS Cache Poisoning (http://en.wikipedia.org/wiki/DNS_cache_poisoning) مربوط می شود به سال 1993 و یافتن ایرادهایی منطقی كه در تعریف DNS وجود داشت و منجر به اولین مورد های DNS Cache Poisoning شد. برای مطالعه كامل در مورد تاریخچه و روند بررسی تا به امروز بخوانید : DNS Cache Poisoning – The Next Generation (http://www.lurhq.com/dnscache.pdf).
مدتی پیش در یعنی ماه مارس 2005 یك حمله بسیار گسترده در این مورد انجام شد. بیش از 500 موسسه بزرگ دنیا قربانی شدند و در سه حمله متوالی وب سایت های آن ها به سایت های دیگری ( مثل abx4.com ) منحرف شدند. این حمله ها آغازی بود برای بررسی بیشتر بر روی این نقص و ارایه راه كار های مختلف. در همین زمینه SANS یك گزارش كامل تهیه كرد كه پیش نهاد می كنم آن را كامل مطالعه كنید. در این گزارش آغاز حمله و آمار های زیادی وجود دارد : March 2005 DNS Poisoning Summary (http://isc.sans.org/presentations/dnspoisoning.php)
برای اینكه به صورت عملی این ایراد را ببینید ( البته در صورتی كه DNS سرور مورد استفاده شما آسیب پذیر باشد.) این صفحه (http://ketil.froyn.name/poison.html) را ببینید.
اهمیت این ایراد امنیتی به دلیل خطری است كه برای تجارت شما و یا اطلاعات شخصی افراد می تواند داشته باشد. بیشترین ضرری كه این مورد تا به حال وارد كرده است بر اثر سرقت اطلاعات كارت های اعتباری می باشد. فرض كنید كاربر شبكه شما قصد خرید آنلاین داشته باشد و به علت نقص DNS سرور شما اطلاعات او دزدیده شود. و یا شریك تجاری شما قصد بازدید از وب سایت شركت شما را داشته باشد ولی به علت ایراد یك DNS سرور به سایت مستهجن هدایت شود.
روش هایی كه برای پیشگیری از این موارد ( و شاید سایر آسیب پذیری ها ) وجود دارند :
- همیشه DNS سرور شبكه خود را بروز كنید. اگر مانند اكثر شبكه ها از BIND استفاده می كنید، حتما به نسخه ای بالاتر از 9.2.5 مهاجرت كنید و اگر این امكان را ندارید از DNSSec (http://www.dnssec.net/) استفاده كنید. برای آشنایی بیشتر با DNSSec (http://www.dnssec.net/) این مقاله را بخوانید : The Basics of DNSSEC (http://www.onlamp.com/pub/a/onlamp/2004/10/14/dnssec.html)
- اگر كمی حوصله دارید و كنجكاو هستید از djbdns (http://cr.yp.to/djbdns.html) استفاده كنید. djbdns نوشته Dan Bernstein (http://cr.yp.to/djb.html) ( همان خالق qmail ) می باشد كه با هدف بر از بین بردن آسیب پذیری های BIND و مانند سایر محصولات او با تفكر امنیتی خلق شده است. اگر شبكه شما در حد متوسط است و تحمل چند ساعت اختلال برای آن امكان پذیر است پیشنهاد می كنم از این محصول استفاده كنید. هم تجربه تازه ای است و هم خود را از بسیاری آسیب پذیری ها دور نگه داشته اید. برای شروع نصب می توانید از این راهنما استفاده كنید : Installing djbdns for Name Service (http://www.securityfocus.com/infocus/1438) - همچنین ایشون نوشته ای در مورد Domain Name System دارند كه بسیار آموزنده است. مخصوصا در مورد مفاهیم امنیتی به شما كمك ویژه ای خواهد كرد. اگر به مفاهیم شبكه علاقه مند هستید این نوشته جزو Most Read شما است : Notes on the Domain Name System (http://cr.yp.to/djbdns/notes.html)
چند توصیه هم در آخر كه هركدام بسته به شرایط شما می توانید برای شبكه ای امن تر مفید واقع شود. تمامی این موارد بدون توجه به name server شما قابل توجه هستند:
- در صورت امكان name server های خود را به صورت جداگانه در سگمنت های مختلف شبكه پیاده كنید. در این حالت می توانید redundancy را در مورد name server های خودتان پیاده كنید. دقت داشته باشید در این حالت می بایست برای یك راه حل جهت هماهنگی بین آن ها نیز تصمیم گیری كنید.
- در صورت كه این امكان را دارید name server داخلی و خارجی شبكه خود را از هم مجزا كنید و از forwarder ها برای شبكه داخلی استفاده كنید. سرویس دهنده نام خارجی می بایست به هر درخواستی پاسخ دهد به جز forwarder ها.
- اگر امكان دارید dynamic DNS updates را محدود كنید. البته در صورتی كه از Directory Service ها استفاده كنید ممكن است نتوانید از این مورد بهره جویید.
- روش دیگری كه در مورد بسیاری از سرویس های حیاتی شبكه شما می تواند مهم باشد پنهان كردن ورژن برنامه سرویس دهنده است. اگر از BIND استفاده می كنید حتما این كار را انجام دهید.
- سرویس های اضافه را بر روی ماشین سرور غیر فعال كنید و از یك فایروال كه به خوبی برای پاسخ به درخواست های مربوطه تنظیم شده است استفاده كنید.
----- لطفا برای كامل كردن این نوشته نظرات خود را اضافه كنید. هر تجربه برای شبكه ای امن تر مفید است.
مدتی پیش در یعنی ماه مارس 2005 یك حمله بسیار گسترده در این مورد انجام شد. بیش از 500 موسسه بزرگ دنیا قربانی شدند و در سه حمله متوالی وب سایت های آن ها به سایت های دیگری ( مثل abx4.com ) منحرف شدند. این حمله ها آغازی بود برای بررسی بیشتر بر روی این نقص و ارایه راه كار های مختلف. در همین زمینه SANS یك گزارش كامل تهیه كرد كه پیش نهاد می كنم آن را كامل مطالعه كنید. در این گزارش آغاز حمله و آمار های زیادی وجود دارد : March 2005 DNS Poisoning Summary (http://isc.sans.org/presentations/dnspoisoning.php)
برای اینكه به صورت عملی این ایراد را ببینید ( البته در صورتی كه DNS سرور مورد استفاده شما آسیب پذیر باشد.) این صفحه (http://ketil.froyn.name/poison.html) را ببینید.
اهمیت این ایراد امنیتی به دلیل خطری است كه برای تجارت شما و یا اطلاعات شخصی افراد می تواند داشته باشد. بیشترین ضرری كه این مورد تا به حال وارد كرده است بر اثر سرقت اطلاعات كارت های اعتباری می باشد. فرض كنید كاربر شبكه شما قصد خرید آنلاین داشته باشد و به علت نقص DNS سرور شما اطلاعات او دزدیده شود. و یا شریك تجاری شما قصد بازدید از وب سایت شركت شما را داشته باشد ولی به علت ایراد یك DNS سرور به سایت مستهجن هدایت شود.
روش هایی كه برای پیشگیری از این موارد ( و شاید سایر آسیب پذیری ها ) وجود دارند :
- همیشه DNS سرور شبكه خود را بروز كنید. اگر مانند اكثر شبكه ها از BIND استفاده می كنید، حتما به نسخه ای بالاتر از 9.2.5 مهاجرت كنید و اگر این امكان را ندارید از DNSSec (http://www.dnssec.net/) استفاده كنید. برای آشنایی بیشتر با DNSSec (http://www.dnssec.net/) این مقاله را بخوانید : The Basics of DNSSEC (http://www.onlamp.com/pub/a/onlamp/2004/10/14/dnssec.html)
- اگر كمی حوصله دارید و كنجكاو هستید از djbdns (http://cr.yp.to/djbdns.html) استفاده كنید. djbdns نوشته Dan Bernstein (http://cr.yp.to/djb.html) ( همان خالق qmail ) می باشد كه با هدف بر از بین بردن آسیب پذیری های BIND و مانند سایر محصولات او با تفكر امنیتی خلق شده است. اگر شبكه شما در حد متوسط است و تحمل چند ساعت اختلال برای آن امكان پذیر است پیشنهاد می كنم از این محصول استفاده كنید. هم تجربه تازه ای است و هم خود را از بسیاری آسیب پذیری ها دور نگه داشته اید. برای شروع نصب می توانید از این راهنما استفاده كنید : Installing djbdns for Name Service (http://www.securityfocus.com/infocus/1438) - همچنین ایشون نوشته ای در مورد Domain Name System دارند كه بسیار آموزنده است. مخصوصا در مورد مفاهیم امنیتی به شما كمك ویژه ای خواهد كرد. اگر به مفاهیم شبكه علاقه مند هستید این نوشته جزو Most Read شما است : Notes on the Domain Name System (http://cr.yp.to/djbdns/notes.html)
چند توصیه هم در آخر كه هركدام بسته به شرایط شما می توانید برای شبكه ای امن تر مفید واقع شود. تمامی این موارد بدون توجه به name server شما قابل توجه هستند:
- در صورت امكان name server های خود را به صورت جداگانه در سگمنت های مختلف شبكه پیاده كنید. در این حالت می توانید redundancy را در مورد name server های خودتان پیاده كنید. دقت داشته باشید در این حالت می بایست برای یك راه حل جهت هماهنگی بین آن ها نیز تصمیم گیری كنید.
- در صورت كه این امكان را دارید name server داخلی و خارجی شبكه خود را از هم مجزا كنید و از forwarder ها برای شبكه داخلی استفاده كنید. سرویس دهنده نام خارجی می بایست به هر درخواستی پاسخ دهد به جز forwarder ها.
- اگر امكان دارید dynamic DNS updates را محدود كنید. البته در صورتی كه از Directory Service ها استفاده كنید ممكن است نتوانید از این مورد بهره جویید.
- روش دیگری كه در مورد بسیاری از سرویس های حیاتی شبكه شما می تواند مهم باشد پنهان كردن ورژن برنامه سرویس دهنده است. اگر از BIND استفاده می كنید حتما این كار را انجام دهید.
- سرویس های اضافه را بر روی ماشین سرور غیر فعال كنید و از یك فایروال كه به خوبی برای پاسخ به درخواست های مربوطه تنظیم شده است استفاده كنید.
----- لطفا برای كامل كردن این نوشته نظرات خود را اضافه كنید. هر تجربه برای شبكه ای امن تر مفید است.