نویسنده : Arvan

DNS Flood‏ چیست؟

linkedin

(Domain Name Service) DNS همانند نقشه راه در اینترنت عمل می‌کند. به این شکل که با داشتن اطلاعات نام دامنه و آدرس IP مرتبط با هریک از این دامنه‌ها در سطح اینترنت، به درخواست‌های کاربران مبنی بر ترجمه‌ی نام دامنه مورد نظر آن‌ها به آدرس IP آن وب‌سایت پاسخ می‌دهد. حملات DNS Flood نوعی از حملات Distributed Denial-of-Service attack (DDoS) هستند که در آن مهاجم درخواست‌های سیل آسایی به سمت دامنه‌هایی خاص، به منظور بروز اختلال در سرویس DNS ارسال می‌کند. با این روش، DNS از پاسخ به درخواست‌های واقعی نیز بازمی‌ماند. تشخیص ترافیک حملات DNS Flood از ترافیک عادی ممکن است کار آسانی نباشد چراکه ممکن است ترافیک‌های حجیم، مشابه و سالمی به‌شکل همزمان با حمله، از سمت کاربران عادی به سمت سرویس DNS ارسال شوند .

 

حمله DNS Flood چگونه کار می کند؟

یکی از دلایل اصلی ایجاد سرویس DNS استفاده از نام به جای آدرس IP برای سهولت کاربران بود. در نظر بگیرید به جای استفاده از دامنه‌ای مانند google.com مجبور به استفاده از آدرس IP آن یعنی رشته‌ای از اعداد مانند 216.58.208.78، بودید. بنابراین اگر حمله‌ای علیه این سرویس زیرساختی با موفقیت انجام شود، می‌تواند سبب از دسترس خارج شدن اینترنت برای عموم کاربران شود. در تصویر زیر فرآیند بروز حمله DNS Flood را مشاهده می کنید.

مهاجم با استفاده از ابزارها و اسکریپت‌های آماده می‌تواند اقدام به ارسال مقادیر زیادی از درخواست‌ها به سمت DNS Resolver کند. این درخواست‌ها سبب درگیر شدن منابع سخت‌افزاری و نرم‌افزاری سرویس‌دهنده‌ی DNS می‌شوند و امکان پاسخ به درخواست‌های کاربران واقعی را از بین می‌برند.

حملات DNS Flood با حملات DNS amplification تفاوت دارند. برخلاف حمله DNS Flood، در حمله DNS Amplification تعداد زیادی درخواست DNS به DNS Resolverهای معتبر مانند 8.8.8.8 یا 1.1.1.1 ارسال می‌شوند. این درخواست‌ها به شکلی ایجاد شده‌اند که پاسخ آن‌ها به سمت IP قربانی ارسال شود، با این کار تعداد زیادی درخواست DNS به سمت سیستم قربانی ارسال می‌شود که در نهایت منجر به اشغال شدن پهنای باند و ترافیک اینترنت قربانی و بروز اختلال در سیستم آن خواهد شد.

 

چگونه می توان حملات DNS Flood را کاهش داد؟

حملات DNS Flood نشان از تغییر روش حمله‌ی مهاجمان از روش‌های قدیمی‌تر مانند DNS Amplification دارد. با گسترش دسترسی مهاجمان به اینترنت پرسرعت و پهنای باند بالا، امکان هدف قرار دادن سازمان‌ها و شرکت‌های بزرگ به‌وسیله‌ی این مهاجمان نیز به آسانی فراهم است. تنها راه مقابله و کاهش تاثیرات چنین حملاتی استفاده از سرویس‌دهنده‌های DNS قدرتمند و پراکنده است که قابلیت مانیتورینگ در لحظه، دفع و مسدود کردن ترافیک حملات را دارند. ابر آروان به‌کمک ساختار پیشرفته‌ی anycast، هم‌چنین ساختار GSLB خود می‌تواند از تمام حملات به سرویسDNS، حملات UDP ،TCP و ICMP در لایه‌ی ۳ و ۴ شبکه، هم‌چنین حملات پیشرفته‌ی لایه‌ی ۷ جلوگیری کند.

مطالب مرتبط