نگاهی به روش تونل‌زنی DNS در حملات سایبری

نگاهی به روش تونل‌زنی DNS در حملات سایبری
تاریخ انتشار : ۱۴ مهر ۱۴۰۳

تونل‌زنی DNS راهی خطرناک برای سرقت اطلاعات حساس ماست.

به گزارش گرداب، در دهه‌های اخیر، رشد فراگیر فضای سایبری همراه با رشد بیشتر روش‌های امنیتی باعث شده است که مهاجمان به تکاپوی استفاده از راه‌های جدید در عرصه حملات سایبری بیفتند. یکی از این راه‌ها تونل‌زنی DNS یا DNS Tunneling نام دارد که مهاجمان سایبری در آن از مسیر‌های شناخته شده‌ی ارتباطات اینترنتی برای حمله استفاده می‌کنند.
تعریف و اهمیت

پروتکل DNS سازوکاری است که به ما اجازه می‌دهد بتوانیم از آدرس‌های مشخص برای دستیابی به سرور‌های مختلف در سراسر جهان استفاده کنیم. برای مثال هنگامی که شما آدرس پایگاه اطلاع‌رسانی گرداب (www.gerdab.ir) را در مرورگر خود وارد می‌کنید، درخواست شما با کمک پروتکل DNS به آدرس IP سرور متصل شده و صفحه اول وب‌سایت گرداب در دستگاه شما بارگذاری می‌شود.

تونل‌زنی DNS روشی است که در آن از پروتکل DNS به منظور نفوذ به سامانه‌ها سوءاستفاده می‌شود. در این روش، اطلاعات در رشته‌های متنی آدرس‌های اینترنتی یا همان نام دامنه‌ها (Domain Names) قرار می‌گیرد و از طریق پروتکل DNS به یک سرور دیگر منتقل می‌شود. این حمله می‌تواند به شکلی پنهان و بدون اطلاع کاربران عادی انجام شود.

با وجود اینکه پروتکل DNS جزئی جدایی‌ناپذیر از اینترنت است، اما بر خلاف سایر پروتکل‌های مشابه همچون HTTPS و اف‌تی‌پی، پروتکل DNS تمهیدات امنیتی چندانی در مقابل سوءاستفاده‌ها ندارد. به همین علت است که بهره‌برداری از آن برای مهاجمان جذاب است.

چرا تونل‌زنی DNS یک تهدید است؟ 

بدافزار‌ها می‌توانند با استفاده از روش تونل‌زنی DNS با سرور‌های فرماندهی و کنترل خود ارتباط بگیرند و داده‌هایی را به آن ارسال کرده و دستوراتی را از آن دریافت کنند. این ارتباطات از طریق تبدیل داده‌ها به رشته‌های متنی رمزگذاری شده و ارسال آن در قالب آدرس‌های اینترنتی رخ می‌دهد. 
این فعالیت‌ها برای سامانه‌های امنیتی همانند یک ارتباط عادی به نظر می‌رسد که باعث می‌شود تشخیص و مقابله با این حملات برای مدافعان چالش‌برانگیز باشد.

نگاهی به روش تونل‌زنی DNS در حملات سایبری
مثالی از چگونگی دزدی داده‌ها در قالب آدرس اینترنتی

راهکار‌های مقابله:

۱. پیگیری و پایش فعال: بررسی و پایش فعالیت‌های DNS برای شناسایی الگو‌های غیرمعمول می‌تواند به شناسایی حملات DNS Tunneling کمک کند.

۲. استفاده از سامانه‌های امنیتی پیشرفته: استفاده از فایروال‌های قوی و سامانه‌های تشخیص نفوذ (IDS/IPS) که قادر به تشخیص حملات DNS Tunneling هستند، می‌تواند سیستم را از این نوع حملات محافظت کند.

۳. استفاده از فیلتر‌های DNS: اعمال فیلتر‌های DNS که محتویات ارسالی و دریافتی را بررسی و تصفیه می‌کنند، می‌تواند به شناسایی و جلوگیری از ارسال داده‌های مخرب کمک کند.

نگاهی به روش تونل‌زنی DNS در حملات سایبری
نموداری از شیوه اتصال مهاجمان با رایانه هدف در روش تونل‌زنی DNS


مقابله با حملات سایبری از طریق تونل‌زنی DNS بیش از هر چیز نیازمند توجه و هشیاری است. پیچیدگی این نوع حملات و پنهان بودنشان باعث می‌شود که افراد و مجموعه‌ها نیازمند آگاهی از این تهدید برای محافظت از امنیت سایبری خود باشند.