إن انتحال DNS هو هجوم يوجه المستخدمين إلى موقع مزيف بدلاً من الموقع الذي يحاولون الوصول إليه. وهو يستغل ثغرة في بروتوكول UDP ويتطلب تدابير أمنية مثل DNSSEC (امتداد أمان نظام اسم المجال) لمنعه.
إن انتحال نظام أسماء النطاقات (DNS) هو ممارسة توجيه مستخدمي الإنترنت إلى موقع مزيف عندما يحاولون الوصول إلى موقع ما. ويتم ذلك عن طريق ترجمة أسماء النطاقات إلى عناوين IP.
لكي تتمكن أجهزة الكمبيوتر المتصلة بالإنترنت من التعرف على بعضها البعض والتواصل فيما بينها، يجب أن يكون لكل جهاز كمبيوتر عنوان IP فريد، يتم إنشاؤه وفقًا لبروتوكول الإنترنت (IP). البروتوكولات هي اتفاقيات اتصال تستخدمها أجهزة الكمبيوتر للاتصال ببعضها البعض وإرسال البيانات إليها ويتم تنفيذها في البرامج أو الأجهزة. يتم تمثيل عناوين IP الأكثر استخدامًا اليوم بأرقام في أربعة حقول مفصولة بنقاط، مثل "***.126.63.1". لا ينبغي تكرار هذا العنوان أو جعله عشوائيًا، ويجب تعيين عنوان IP عام له.
هناك نوعان من عناوين IP العامة: عناوين IP الثابتة، التي تستخدم نفس الرقم باستمرار، وعناوين IP الديناميكية، والتي يمكن إعادة ترقيمها. يتم منح عناوين IP الديناميكية بواسطة بروتوكول يسمى DHCP. يقبل DHCP الطلبات من أجهزة الكمبيوتر التي تحتاج إلى عنوان IP ويعينها لها، وعندما يتوقف الكمبيوتر عن استخدام عنوان IP، يتم إرجاع العنوان حتى يتمكن كمبيوتر آخر من استخدامه. من ناحية أخرى، هناك أيضًا عناوين IP خاصة، والتي لا يمكن الوصول إليها مباشرة عبر الإنترنت ولا تحدد بعضها البعض إلا على الشبكات الداخلية.
تعمل شبكة الإنترنت على أساس عناوين IP العامة، ولكن عندما نستخدم الإنترنت، فإننا نستخدم أسماء النطاقات بدلاً من عناوين IP، والتي تتكون من أحرف مثل "www.." لسهولة الاستخدام. نحتاج إلى DNS لترجمة أسماء النطاقات إلى عناوين IP، والأجهزة التي تعمل بنظام DNS تسمى خوادم الأسماء. يحتاج جهاز الكمبيوتر الخاص بك إلى تسجيل عنوان IP لخادم الأسماء، وبينما سيسجل جهاز الكمبيوتر الذي يحمل عنوان IP ديناميكي عنوان IP لخادم الأسماء تلقائيًا عندما يتلقى عنوان IP، سيحتاج جهاز الكمبيوتر الذي يحمل عنوان IP ثابت إلى تسجيل عنوان IP لخادم الأسماء يدويًا بواسطة المستخدم. يقوم مزودو خدمة الإنترنت بتشغيل خوادم أسماء مشتركة بين مشتركيهم.
يُعد DNS مكونًا أساسيًا لاتصالات الإنترنت، كما أن الترجمة السريعة والدقيقة لاسم النطاق لها تأثير كبير على تجربة مستخدم الإنترنت. يعد أداء DNS وأمانه مهمين بشكل خاص للمواقع والشركات التي تتعامل مع كميات كبيرة من حركة المرور. إذا تعطل خادم DNS أو تعرض للاختراق، فقد يتسبب ذلك في انقطاع الخدمة بشكل كبير. على سبيل المثال، أحدث هجوم Dyn DNS في عام 2016 دمارًا هائلاً، مما أدى إلى تعطيل العديد من مواقع الويب الرئيسية.
دعونا نلقي نظرة على كيفية اتصال المستخدم عادةً بموقع ما. يُطلق على الكمبيوتر الذي يحاول الوصول إلى موقع الويب اسم العميل. عندما يكتب المستخدم اسم المجال للموقع الذي يريد زيارته في شريط العناوين (أو يبحث عنه على موقع البوابة وينقر عليه)، يرسل العميل حزمة استعلام إلى خوادم الأسماء المسجلة، ويطلب عنوان IP المقابل لاسم المجال. إذا كان عنوان IP موجودًا في قائمته، يرسل خادم الأسماء حزمة رد تخبر العميل بعنوان IP. تشير حزمة الاستجابة إلى حزمة الاستعلام التي يستجيب لها. إذا لم يكن عنوان IP مدرجًا، يرسل خادم الأسماء حزمة رد تخبر العميل بعنوان IP لخادم أسماء آخر، ويعود العميل إلى إرسال حزمة استعلام إلى خادم الأسماء هذا ويكرر العملية. يستخدم العميل عنوان IP للعثور على الموقع. ترسل خوادم الأسماء والعملاء الحزم ذهابًا وإيابًا باستخدام بروتوكول يسمى UDP. لضمان إرسال الحزم بسرعة، يرسل UDP الحزم إلى الطرف الآخر فقط ولا يتحقق من وصولها؛ إنه يثق في حزمة الاستجابة الأولى التي تصل لحزمة استعلام معينة ويتجاهل الحزمة التالية دون التحقق منها. يستفيد خداع DNS من هذه الثغرات في UDP.
دعونا نلقي نظرة على كيفية عمل تزوير DNS. يُطلق على الكمبيوتر المصاب برمز ضار يقوم بتزوير DNS اسم المهاجم. عندما يرسل العميل حزمة استعلام إلى خادم أسماء النطاقات يطلب عنوان IP معينًا، يتم إعادة توجيه الحزمة إلى المهاجم، الذي يرسل حزمة استجابة إلى العميل بعنوان IP لموقع مزيف. تصل حزمة الاستجابة من المهاجم إلى العميل قبل حزمة الاستجابة من خادم الأسماء، ويتعرف العميل على حزمة الاستجابة من المهاجم باعتبارها الحزمة الصحيحة ويتم توجيهه إلى الموقع المزيف.
لذلك، من المهم اتخاذ تدابير أمنية مثل امتداد أمان نظام اسم المجال (DNSSEC) لمنع هجمات انتحال DNS. يتحقق DNSSEC من سلامة ومصدر بيانات DNS، مما يسمح للعملاء بالتحقق من أن البيانات التي يتلقونها جديرة بالثقة. يجب على مسؤولي الشبكة أيضًا مراقبة خوادم DNS بانتظام واكتشاف النشاط الشاذ حتى يتمكنوا من الاستجابة على الفور. من المهم أيضًا أن يتبع المستخدمون النهائيون ممارسات الأمان الأساسية، مثل استخدام برامج الأمان الموثوقة وعدم زيارة مواقع الويب المشبوهة.
