DNS Flood چیست؟
(Domain Name Service) DNS همانند نقشه راه در اینترنت عمل میکند. به این شکل که با داشتن اطلاعات نام دامنه و آدرس IP مرتبط با هریک از این دامنهها در سطح اینترنت، به درخواستهای کاربران مبنی بر ترجمهی نام دامنه مورد نظر آنها به آدرس IP آن وبسایت پاسخ میدهد. حملات DNS Flood نوعی از حملات Distributed Denial-of-Service attack (DDoS) هستند که در آن مهاجم درخواستهای سیل آسایی به سمت دامنههایی خاص، به منظور بروز اختلال در سرویس DNS ارسال میکند. با این روش، DNS از پاسخ به درخواستهای واقعی نیز بازمیماند. تشخیص ترافیک حملات DNS Flood از ترافیک عادی ممکن است کار آسانی نباشد چراکه ممکن است ترافیکهای حجیم، مشابه و سالمی بهشکل همزمان با حمله، از سمت کاربران عادی به سمت سرویس DNS ارسال شوند .
حمله DNS Flood چگونه کار می کند؟
یکی از دلایل اصلی ایجاد سرویس DNS استفاده از نام به جای آدرس IP برای سهولت کاربران بود. در نظر بگیرید به جای استفاده از دامنهای مانند google.com مجبور به استفاده از آدرس IP آن یعنی رشتهای از اعداد مانند 216.58.208.78، بودید. بنابراین اگر حملهای علیه این سرویس زیرساختی با موفقیت انجام شود، میتواند سبب از دسترس خارج شدن اینترنت برای عموم کاربران شود. در تصویر زیر فرآیند بروز حمله DNS Flood را مشاهده می کنید.
مهاجم با استفاده از ابزارها و اسکریپتهای آماده میتواند اقدام به ارسال مقادیر زیادی از درخواستها به سمت DNS Resolver کند. این درخواستها سبب درگیر شدن منابع سختافزاری و نرمافزاری سرویسدهندهی DNS میشوند و امکان پاسخ به درخواستهای کاربران واقعی را از بین میبرند.
حملات DNS Flood با حملات DNS amplification تفاوت دارند. برخلاف حمله DNS Flood، در حمله DNS Amplification تعداد زیادی درخواست DNS به DNS Resolverهای معتبر مانند 8.8.8.8 یا 1.1.1.1 ارسال میشوند. این درخواستها به شکلی ایجاد شدهاند که پاسخ آنها به سمت IP قربانی ارسال شود، با این کار تعداد زیادی درخواست DNS به سمت سیستم قربانی ارسال میشود که در نهایت منجر به اشغال شدن پهنای باند و ترافیک اینترنت قربانی و بروز اختلال در سیستم آن خواهد شد.
چگونه می توان حملات DNS Flood را کاهش داد؟
حملات DNS Flood نشان از تغییر روش حملهی مهاجمان از روشهای قدیمیتر مانند DNS Amplification دارد. با گسترش دسترسی مهاجمان به اینترنت پرسرعت و پهنای باند بالا، امکان هدف قرار دادن سازمانها و شرکتهای بزرگ بهوسیلهی این مهاجمان نیز به آسانی فراهم است. تنها راه مقابله و کاهش تاثیرات چنین حملاتی استفاده از سرویسدهندههای DNS قدرتمند و پراکنده است که قابلیت مانیتورینگ در لحظه، دفع و مسدود کردن ترافیک حملات را دارند. ابر آروان بهکمک ساختار پیشرفتهی anycast، همچنین ساختار GSLB خود میتواند از تمام حملات به سرویسDNS، حملات UDP ،TCP و ICMP در لایهی ۳ و ۴ شبکه، همچنین حملات پیشرفتهی لایهی ۷ جلوگیری کند.