حمله ربایش DNS چیست؟ روش‌های شناسایی و جلوگیری از DNS Hijacking

آیا می‌دانستید سیستم نام دامنه (DNS) که مسیریابی اینترنت را ممکن می‌سازد، می‌تواند هدف حملات سایبری قرار گیرد؟ حمله ربایش DNS یا DNS Hijacking با تغییر مسیر درخواست‌های اینترنتی به سمت سرورهای مخرب، اطلاعات کاربران را به سرقت می‌برد. هکرها با روش‌هایی مانند نصب بدافزار، در اختیار گرفتن کنترل روترها یا رهگیری و نفوذ به ارتباطات DNS، درخواست‌ها را تغییر داده و به سایت‌های مخرب هدایت می‌کنند.

کیف پول من | هدیه ویژه

با ثبت‌نام و احراز هویت ، ۱۰۰ میلیون واحد رمز ارز دریافت کنید.

ثبت‌نام کنید

تاکنون حملات ربودن DNS در فضای ارز دیجیتال منجر به سرقت داده و ارز دیجیتال کاربران زیادی شده است. در این مطلب، نحوه کار حمله ربودن DNS، انواع روش‌های حمله، نحوه شناسایی، متدهای پیشگیری و تکنیک‌های مقابله با این حملات را برای هر دوی پروتکل‌های دیفای و کاربران نهایی بررسی می‌کنیم.

حمله ربایش DNS چیست؟

حمله ربایش DNS یا DNS hijacking که با نام تغییر مسیر DNS نیز شناخته می‌شود، یک نوع حمله سایبری است که در آن مهاجم با دستکاری تنظیمات DNS، ترافیک اینترنت کاربران را به وب‌سایت‌های مخرب هدایت می‌کند. این کار معمولاً با هدف سرقت اطلاعات حساس مانند نام کاربری و رمز عبور، یا توزیع بدافزار انجام می‌شود

مهاجمان و هکرها با روش‌هایی مانند نصب بدافزار (Malware) و باج افزار (ransomware) روی کامپیوتر کاربر، در اختیار گرفتن کنترل روترها یا رهگیری و نفوذ به ارتباطات DNS، حمله خود را انجام می‌دهند.

معنی DNS Hijacking به زبان ساده در ارز دیجیتال

ربودن DNS به این معنی است که هکر با استفاده از روش‌های گوناگون، کاربران یک وب‌سایت معتبر را به سروری جعلی و خطرناک منتقل می‌کند. این اتفاق در دنیای ارزهای دیجیتال، به ویژه در پلتفرم‌های دیفای، می‌تواند خسارات جبران‌ناپذیری به بار آورد.

مهاجمان با فریب کاربران و هدایت آن‌ها به وب‌سایت‌های تقلبی، اقدام به سرقت ارزهای دیجیتال، دسترسی به کلیدهای خصوصی و یا آلوده کردن سیستم‌ها به بدافزار می‌کنند.

اهداف مهاجمان

معمولاً نهادهای دولتی، ISPها یا هکرهای مستقل با هدف سرقت اطلاعات حساس، انتشار بدافزار، فارمینگ یا اجرای حملات فیشینگ، حملات سیستم نام دامنه را انجام می‌دهند:

• فارمینگ (Pharming): در فارمینگ، مهاجمان معمولاً تبلیغات ناخواسته‌ای را برای کسب درآمد به کاربران نمایش می‌دهند.
• فیشینگ (Phishing):‌ در فیشینگ، هکرها با نمایش نسخه‌های جعلی از سایت‌های موردنظر، اطلاعات یا داده‌های ورودی توسط کاربران مانند اطلاعات ایمیل و رمزعبور را سرقت می‌کنند.
• جمع‌آوری اطلاعات: علاوه‌بر مهاجمان مستقل، بسیاری از ارائه‌دهندگان خدمات اینترنت (ISP) نیز با به‌کار بردن نوع خاصی از ربایش سیستم نام دامنه، آمار و اطلاعات ورود به دامنه‌های ناموجود را جمع‌آوری کرده و تبلیغات نمایش می‌دهند.
• سانسور اینترنت: برخی دولت‌ها از ربودن DNS به‌عنوان ابزاری برای سانسور اینترنت و هدایت کاربران به سایت‌های مورد تأییدشان استفاده می‌کنند.

DNS چیست و چگونه کار می‌کند؟

سیستم نام دامنه یا سامانه نام دامنه (Domain Name System) بخش جدایی‌ناپذیر اینترنت است که همه ما از آن استفاده می‌کنیم. این سیستم به شما اجازه می‌دهد به‌جای استفاده از آدرس آی‌پی‌های پیچیده و عددی مانند ۱۹۲.۱۶۸.۱.۱، از نام‌های دامنه ساده و قابل حفظ‌کردن مانند arzdigital.com برای دسترسی به وب‌سایت‌ها استفاده کنید. در ادامه، DNS این نام‌های کاربرپسند را به آدرس‌های آی‌پی (IP) تبدیل می‌کند تا کامپیوترها بتوانند به‌درستی به یکدیگر متصل شوند.

نقش DNS در اینترنت

DNS دفتر ثبت اسامی وبسایت‌هاست و شبیه به یک دفترچه تلفن عمل می‌کند. همانطور که شما اسامی افراد را در دفترچه تلفن‌تان ذخیره کرده و هنگام دریافت تماس با خواندن نام او متوجه می‌شوید چه کسی با شما تماس گرفته است، اینترنت نیز دفترچه تلفن مخصوص به خود را دارد که شامل فهرستی از کامپیوترها، سرویس‌ها و منابع دیگر متصل به شبکه است. این سیستم نام‌گذاری که اینترنت از آن استفاده می‌کند، DNS نام دارد.

Resolve؛ فرایند ترجمه نام دامنه به IP

معمولاً هنگام جست‌وجوی اطلاعات در اینترنت، نام دامنه وب‌سایت‌هایی مانند «google.com» را در نوار جستجو وارد می‌کنید. سپس، مرورگر از طریق آدرس آی‌پی (IP) دستگاه، فرایند اتصال را آغاز می‌کند. در این مرحله، DNS نام دامنه موردنظر را به آدرس‌های آی‌پی مانند (۱۴۲.۲۵۰.۱۹۰.۷۸) ترجمه می‌کند تا وب‌سایت قادر به بارگذاری منابع خود از اینترنت باشد.

به فرایند تبدیل شدن نام دامنه به آدرس ‌آی‌پی، ریزالو (Resolve) می‌گویند. DNS Resolver نیز یک نرم‌افزار یا سرویس است که درخواست DNS را از طرف کاربر یا اپلیکیشن دریافت کرده و نتیجه نهایی را به کاربر برمی‌گرداند.

مزیت راه‌اندازی DNS

ایجاد سیستم DNS ابتکاری از سوی علاقه‌مندان به فناوری بود، زیرا در غیر این صورت کاربران مجبور بودند برای هر دستگاهی که به اینترنت متصل می‌شود، مانند لپ‌تاپ، موبایل یا تبلت، مجموعه‌ای از اعداد (همان آدرس‌های آی‌پی) را حفظ کرده یا یادداشت کنند.

حمله ربایش چگونه DNS اجرا می‌شود؟

هنگامی‌که یک وب‌سایت از طریق یک ثبت‌کننده دامنه یا دامین ریجسترر (Domain Registrar) ثبت می‌شود، مالک آن، یک نام دامنه آزاد انتخاب کرده و آدرس آی‌پی وب‌سایت با آن نام دامنه ثبت می‌شود. برای مثال، اگر نام دامنه یک سایت، «BusinessSite.com» باشد، یک رکورد DNS شامل آدرس آی‌پی منحصربه‌فرد وب‌سایت ایجاد و نام دامنه به این آدرس آی‌پی متصل می‌شود.

در حمله DNS Hijacking، هکر به سیستم نام دامنه دسترسی یافته و آدرس آی‌پی اصلی را با یک آدرس جعلی جایگزین می‌کند. در نتیجه، کاربر با وارد کردن نام دامنه (مثلاً BusinessSite.com)، به جای سایت اصلی به سرورهای تحت کنترل مهاجم هدایت می‌شود. اگر سایت جعلی شبیه به سایت اصلی باشد، کاربر ممکن است اطلاعات حساسی مانند نام کاربری، رمز عبور یا اطلاعات بانکی را وارد کرده یا بدافزاری را دانلود کند.

مراحل کلی اجرای حمله ربودن DNS شامل موارد زیر است:

1. شناسایی هدف
2. دسترسی اولیه
3. دستکاری تنظیمات DNS
4. ارسال درخواست DNS توسط کاربر
5. هدایت درخواست به آی‌پی مهاجم
6. ورود کاربر به مقصد جعلی و بهره‌برداری مهاجم

مرحله ۱: شناسایی هدف

هدف ممکن است یک وب‌سایت عمومی، دامنه داخلی یا حساب کاربری یک ارائه‌دهنده DNS باشد. در مرحله اول، مهاجم به‌دنبال نقاط ضعف در زیرساخت سیستم نام دامنه یا دسترسی مدیریتی می‌گردد.

مرحله ۲: دسترسی اولیه

در ادامه، مهاجم با روش‌های مختلف به سرور DNS، حساب ثبت‌کننده دامنه (Registrar) یا حتی روترهای محلی دسترسی پیدا می‌کند. این روش‌ها می‌توانند شامل موارد زیر باشند:

• سرقت اطلاعات ورود (Credential Theft)
• سوءاستفاده از آسیب‌پذیری‌ها (Exploitation)
• مهندسی اجتماعی (Social Engineering)

مرحله ۳: دستکاری تنظیمات DNS

اکنون مهاجم یا هکر، رکوردهای سیستم نام دامنه (DNS records) را عوض کرده یا پاسخ‌های جعلی (Spoofed Responses) ارسال می‌کند تا ترافیک را از آدرس آی‌پی اصلی به آدرسی مخرب هدایت کند.

مرحله ۴: ارسال درخواست DNS توسط کاربر

کاربر به روش‌های معمول، مثلاً با وارد کردن آدرس در مرورگر یا استفاده از اپلیکیشن، سعی می‌کند به وب‌سایت دسترسی پیدا کند.

مرحله ۵: هدایت درخواست به آی‌پی مهاجم

اکنون به‌جای سرور واقعی، پاسخ DNS به سروری تحت کنترل مهاجم ختم می‌شود. حال اگر کاربر گواهی امنیتی یا جزئیات صفحه را بررسی نکند، معمولاً متوجه تفاوت نسخه جعلی با سایت اصلی نخواهد شد.

مرحله ۶: ورود کاربر به مقصد جعلی و بهره‌برداری مهاجم

در نهایت، کاربر ممکن است به یک سایت فیشینگ، حاوی بدافزار یا نسخه‌ای مشابه سرویس اصلی هدایت شود. نتیجه این اتفاق، سرقت اطلاعات، دانلود بدافزار یا کلاهبرداری مالی خواهد بود.

انواع حملات ربایش DNS

روش‌های مختلفی برای اجرای حملات ربایش DNS وجود دارد که هر کدام، بخش متفاوتی از فرایند Resolve سیستم نام دامنه (تبدیل نام دامنه به آی‌پی)، از دستگاه‌های شخصی گرفته تا زیرساخت‌های شبکه، را هدف قرار می‌دهند. از جمله انوع حمله ربودن DNS شامل موارد زیر است:

• ربایش محلی (Local DNS Hijack)
• ربایش روتر (Router DNS Hijack)
• حمله مرد میانی (Man-in-the-Middle)
• حمله سرور جعلی (Rogue DNS Server)
• حمله مسیر شبکه (On-path DNS Hijacking)
• مسموم کردن کش (Cache Poisoning) یا DNS Spoofing

ربایش محلی (Local DNS Hijack)

در حمله ربایش محلی سیستم نام دامنه، مهاجم یک دستگاه خاص را هدف قرار داده و با نصب بدافزار تروجان (Trojan) روی دستگاه قربانی، تنظیمات DNS محلی را تغییر می‌دهد. پس از تغییر ریزالور محلی، تمام درخواست‌های DNS از دستگاه هدف به مسیرهای دلخواه مهاجم هدایت می‌شوند.

ربایش روتر (Router DNS Hijack)

بسیاری از روترها دارای گذرواژه‌های پیش‌فرض یا آسیب‌پذیری‌های امنیتی در فریمور (Firmware) خود هستند. دراین‌صورت، مهاجمان می‌توانند با حمله به یک روتر، کنترل را در دست گرفته و تنظیمات DNS آن را بازنویسی کنند. به‌عبارت دیگر، با آلوده شدن یک روتر، کل شبکه در معرض ربودن DNS قرار می‌گیرد.

این نوع حمله به‌ویژه در محیط‌های خانگی یا دفاتر کوچک که کاربران به‌ندرت تنظیمات روتر را بررسی می‌کنند، خطرناک است.

حمله سرور جعلی (Rogue DNS Server)

در حمله سرور جعلی که به آن ربایش سطح رجیسترار (Registrar-level hijack) نیز می‌گویند، مهاجمان می‌توانند با هک یک سرور DNS، رکوردهای آن را تغییر داده و درخواست‌ها را به سایت‌های مخرب هدایت کنند. این کار ممکن است از طریق بدافزار، پیکربندی نادرست یا حتی آلوده شدن سرور DNS عمومی در لایه بالادستی رخ دهد.

حمله مرد میانی (Man-in-the-Middle)

در حملات مرد میانی یا MitM، مهاجمان از فاصله بین درخواست کاربر و پاسخ سرور DNS سوءاستفاده می‌کنند. در این روش، هکرها با قطع کردن ارتباط کاربر با سرور DNS، پیش از آنکه سرور اصلی قادر به پاسخ دادن به درخواست کاربر باشد، آدرس‌های آی‌پی به مقصد سایت‌های مخرب را جایگزین می‌کنند.

در MitM، مهاجم الزاماً در مسیر مستقیم ارتباط بین قربانی و مقصد قرار ندارد. دراین‌حالت، مهاجم باید با روش‌هایی مانند فریب قربانی برای اتصال به یک شبکه وای‌فای جعلی، جعل ARP یا جعل DNS، خود را در مسیر داده قرار دهد. پس از ورود، مهاجم می‌تواند مخفیانه داده‌ها را شنود یا دستکاری کند.

حمله مسیر شبکه (On-path DNS Hijacking)

حمله On-path که زیرمجموعه حمله مرد میانی قرار می‌گیرد، روشی خاص‌تر برای دستکاری ارتباطات بین کاربر و سرور DNS است. در این روش، هکر از پیش در مسیر جریان داده، مثلاً روی همان سروری که فرستنده و گیرنده با آن ارتباط دارند، قرار دارد. در نتیجه، هکر می‌تواند به‌صورت طبیعی و بدون نیاز به منحرف کردن مسیر ارتباطی، داده‌ها را رهگیری کند.

حملات مسیر شبکه به‌خاطر داشتن ماهیت منفعل‌تر، می‌توانند ارتباطات ایمیلی، درخواست‌های DNS و حتی شبکه‌های وای‌فای عمومی را هدف قرار دهند.

مسموم کردن کش (Cache Poisoning)

در کش پویزنینگ یا مسمومیت کش (Cache Poisoning)، مهاجم با وارد کردن رکوردهای جعلی در حافظه کش DNS روی سرور یا دستگاه کاربر، آن را آلوده می‌کند. در نتیجه، ریزالور DNS، پاسخ‌های اشتباهی را بازمی‌گرداند که توسط مهاجم کنترل می‌شوند. در این روش، حتی پس از انجام حمله نیز به‌خاطر ذخیره اطلاعات جعلی در کش، کاربر ممکن است به سایت‌های جعلی هدایت شود.

تفاوت ربایش DNS با سایر حملات؟

• ربایش: تغییر تنظیمات DNS سیستم یا روتر برای هدایت کاربر به سایت‌های تقلبی بدون اطلاع او.
• جعل: بخشی از ربایش است که دستکاری پاسخ DNS برای فریب کاربر بدون تغییر تنظیمات DNS و هدایت مخفیانه کاربر به سایت‌های مخرب را به‌همراه دارد.
• مسوم‌سازی کش: افزودن رکوردهای جعلی به کش ریزالور برای تأثیر بر گروهی از کاربران.
• فیشینگ: ساخت سایت جعلی شبیه به نسخه اصلی و فریب کاربر برای وارد کردن اطلاعات شخصی از طریق لینک‌های مشکوک.
• حمله دیداس: تفاوت اصلی بین حمله دیداس (DDoS) و ربایش DNS در این است که دیداس یک حمله برای از دسترس خارج کردن یک سرویس است، در حالی که ربایش DNS تلاشی برای هدایت ترافیک به یک سرور مخرب است.

در جدول زیر، تفاوت‌های ربایش و اسپوفینگ دی‌ان‌اس با فیشینگ، حملات دیداس و مسمومیت کش را مشاهده می‌کنید:

ویژگی‌ها / نوع حمله	DNS Hijacking	DNS Spoofing	Cash Poisoning	Phishing	DDOS
هدف اصلی	تغییر مسیر کاربران به سایت‌های تقلبی از طریق تغییر تنظیمات DNS	دستکاری پاسخ DNS برای فریب کاربر بدون تغییر تنظیمات DNS	افزودن رکوردهای جعلی به کش ریزالور برای تأثیر‌گذاری بر گروهی از کاربران	فریب کاربران برای ورود به سایت جعلی و وارد کردن اطلاعات شخصی	مختل کردن یا غیرفعال کردن سرویس DNS از طریق ارسال ترافیک بالا
روش اجرا	– نفوذ به روتر – دستیابی به حساب رجیسترار – بدافزار	– حمله‌های MitM – پاسخ‌های جعلی DNS – تغییر مسیر	تزریق داده‌های جعلی به کش DNS	ایجاد سایت‌های تقلبی مشابه سایت‌های واقعی + ارسال لینک از طریق ایمیل یا پیام	– بات‌نت‌ها – حمله Amplification – Flood Attacks – Reflection Attacks
نوع هدف‌گیری	مستقیم؛ از طریق دستکاری تنظیمات DNS در دستگاه کاربر، روتر یا ثبت‌کننده دامنه	غیرمستقیم؛ دستکاری پاسخ‌های DNS در هنگام انتقال یا سیستم‌هایی تفسیرکننده آن‌ها	غیرمستقیم؛ کش ریزالورهای بازگشتی که پاسخ‌ها را به چندین کاربر ارسال می‌کنند	غیرمستقیم؛ ایجاد سایت و محتوای فریبنده	مستقیم؛ هدف‌گیری مستقیم سرورهای DNS و زیرساخت‌های شبکه
دشواری تشخیص	متوسط تا بالا	متوسط	بالا؛ خصوصاً بدون DNSSEC	متوسط؛ در صورت دقت به URL یا نشانه‌های مشکوک سایت	پایین؛ قطعی سرویس معمولاً قابل تشخیص است
ابزار متداول حمله	– بدافزار – تغییر تنظیمات روتر یا سیستم	– شنود داده – تزریق بسته	– تزریق بسته – آسیب‌پذیری‌های کش DNS	– ایمیل فیشینگ – پیامک – شبکه‌های اجتماعی	ابزارهای حمله کم مداری/پر مداری حمله کندلوریس ابزارهای شبکه ربات ابزارهای تضخیم DNS

مثال‌هایی از انواع حملات DNS در فضای ارز دیجیتال و دیفای

حمله ربایش DNS به کیف پول‌ها و پلتفرم‌های دیفای اثرات بسیار مخربی در پی دارد. در این روش، هکرها با هدایت کاربران به سایت‌های جعلی، می‌توانند از طریق دستیابی به کلیدهای خصوصی یا نصب بدافزارها، ارزهای دیجیتال آن‌ها را سرقت کنند.

کیف پول مای‌اتروالت – ۲۰۱۸

در سال ۲۰۱۸، مهاجمان از بدافزار برای تغییر تنظیمات DNS محلی روی دستگاه‌های کاربران و هدایت آن‌ها از سایت اصلی کیف پول MyEtherWallet به یک وبسایت جعلی استفاده کردند. هکرها طی این حمله توانستند ۱۵۰ هزار دلار اتریوم را از کاربرانی که اطلاعات دارایی‌هایشان مانند کلیدهای خصوصی را وارد کرده بودند، سرقت کنند.

کریم فایننس و پنکیک سواپ – ۲۰۲۱

در مارس ۲۰۲۱ (اسفند ۹۹)، حمله ربودن DNS به صرافی غیرمتمرکز پنکیک سواپ (PancakeSwap) و پلتفرم دیفای کریم فایننس (Cream Finance)، کاربران را به وب‌سایت‌های فیشینگ هدایت کرد. طی این حمله، سایت‌های کلون‌شده پیغامی تحت عنوان «Handshake error… continue by providing seed phrase» را به کاربران نشان می‌دادند و از کاربران می‌خواستند عبارت بازیابی خود را وارد کنند. این حمله تنها در سطح DNS انجام شده بود و قراردادهای هوشمند آسیبی ندیدند.

پالیگان و فانتوم – ۲۰۲۲

انکر (Ankr) یک زیرساخت وب۳ ارائه‌دهنده نود، سرویس استیکینگ و دیگر محصولات بلاک چین‌های مبتنی بر اثبات سهام است. در ژوئیه ۲۰۲۲ (تیر ۱۴۰۱)، مهاجمان با جعل هویت یکی از اعضای تیم انکر موفق شدند از طریق ثبت‌کننده دامنه این سایت به‌نام Gandi، به تنظیمات DNS آن دسترسی پیدا کرده و رکوردهای مربوط به سرویس ارتباطی پروژه‌های پالیگان و فانتوم را تغییر دهند.

کاربران هنگام اتصال به این سرویس‌ها، به صفحات فیشینگ هدایت می‌شدند که از آن‌ها می‌خواست عبارت بازیابی والت‌شان را وارد کنند. این حمله به زیرساخت DNS محدود بود و قراردادهای هوشمند آسیبی ندیدند.

کرو فایننس – ۲۰۲۵

در ۱۲ می ۲۰۲۵، مهاجمان با نفوذ به ثبت‌کننده دامنه «fi.»، موفق به ربایش DNS دامنه پروتکل کرو فایننس (Curve Finance) شدند. این حمله، کاربران را به وب‌سایتی جعلی هدایت می‌کرد که هدفش فریب کاربران برای امضای تراکنش و تخلیه کیف پول‌ها بود. نکته مهم این حمله این بود که قراردادهای هوشمند پروتکل آسیب ندیدند و حمله صرفاً در لایه DNS رخ داد.

پیش‌تر در اوت ۲۰۲۲ (مرداد ۱۴۰۱) نیز حمله مشابهی به کرو فایننس رخ داده بود؛ مهاجمان با کلون کردن وبسایت این پروژه و دستکاری DNS، کاربران را به نسخه‌ای تقلبی هدایت کرده بودند که منجر به سرقت ۵۷۰ هزار دلار از دارایی کاربران شد.

علائم و نشانه‌های تشخیص حمله ربایش DNS

شناسایی و تشخیص یک حمله ربودن DNS به استفاده از ترکیبی از نظارت‌ها، تحلیل‌های نفوذ شبکه (Network Intrusion) و حسابرسی سطح سیستم نیاز دارد. در صورت وجود یک حمله ربایش سیستم نام دامنه ممکن است نشانه‌های زیر را مشاهده کنید:

علائم قابل مشاهده در مرورگر

• ریدایرکت غیرعادی صفحات سایت: اگر به‌طور غیرمنتظره به صفحه‌ای جدید ریدایرکت شدید، اما URL واردشده همان آدرس قبلی است.
• سرعت لود پایین صفحات: کاهش محسوس سرعت لود وبسایت‌هایی که پیشتر از آن‌ها استفاده می‌کردید.
• ظاهر شدن تبلیغات مشکوک: مشاهده تبلیغاتی پاپ‌آپ متعدد که اخطار «آلوده بودن» کامپیوتر شما را می‌دهند.
• خطاهای گواهی SSL: ممکن است خطاهای زیر را در مرورگرتان دریافت کنید که شما را به کلیک روی گزینه «Proceed Anyway» ترغیب می‌کنند:
  • Your connection is not privateNET::ERR_CERT_COMMON_NAME_INVALID
  • NET::ERR_CERT_AUTHORITY_INVALID
• تفاوت ظاهری سایت: ظاهر و رابط کاربری سایت نسبت به سایت اصلی که می‌شناسید متفاوت است.

روش‌های تشخیص فنی

• بررسی تنظیمات روتر: بااستفاده از ابزارهای آنلاینی به‌نام «Router Checker» می‌توانید معتبر بودن ریزالور DNS را بررسی کنید. با ورود به صفحه ادمین روتر نیز امکان بررسی تنظیمات DNS وجود دارد.
• ابزارهای آنلاین تشخیص: با استفاده از ابزارهایی مانند WhoIsMyDNS و nslookup می‌توانید اطلاعات مالک دامنه و تنظیمات DNS را بررسی کنید.
• استفاده از دستور Ping: در مک با ورود به بخش ترمینال و در ویندوز با باز کردن پنجره کامند، دستور «ping kaspersky۱۲۳۴۵۶.com» را تایپ کنید. اگر پیغام «cannot resolve» ظاهر شد، DNS بدون مشکل است.

روش‌های پیشگیری از حمله ربایش DNS برای پروژه‌های بلاک چینی

از اقدامات مناسب پروژه‌های ارز دیجیتال برای پیشگیری از وقوع حملات ربایش DNS شامل موارد زیر است:

کاهش وابستگی به DNSهای سنتی

با استفاده از DNSهای غیرمتمرکز مانند سرویس نام اتریوم (ENS)، یا هندشیک (Handshake)، وابستگی به ثبت‌کننده‌های متمرکز کاهش یافته و احتمال ربایش در سطح ریزالور کم می‌شود.

ذخیره‌سازی غیرمتمرکز فایل

میزبانی رابط کاربری وب‌سایت‌ها در سیستم‌هایی ذخیره‌سازی غیرمتمرکز فایل مانند سیستم فایل سیاره‌ای (IPFS) یا آرویو (Arweave)، لایه امنیتی اضافه‌ای ایجاد می‌کند.

پیاده‌سازی DNSSEC

فعال‌سازی افزونه‌های امنیتی سیستم نام دامنه (DNSSEC)، به یکپارچگی رکوردهای DNS و جلوگیری از تغییرات غیرمجاز کمک می‌کند.

ایمن‌سازی حساب‌های رجیسترار

درصورت امکان، با روش‌هایی مانند احراز هویت چندمرحله‌ای (MFA) و قفل دامنه (Domain Locking) یا قفل کلاینت (Client Lock)، حساب‌های ثبت‌کننده دامنه را ایمن کنید. این کار از ایجاد تغییر در رکوردهای DNS بدون تأیید دستی جلوگیری می‌کند.

آموزش کاربران

کاربران باید نحوه بررسی اصالت سایت‌ها، مانند استفاده از بوکمارک‌ها یا بررسی رکوردهای ENS را آموزش ببینند. این اقدامات، نرخ موفقیت فیشینگ را کاهش می‌دهند.

روش‌های پیشگیری از حمله ربودن DNS برای کاربران نهایی

برای کاهش خطر افتادن در دام حملات DNS بهتر است اقدامات زیر را طی کنید:

امنیت روتر

• تغییر دوره‌ای رمزعبور و به‌روزرسانی مدام فریمور روتر
• کانفیگ و قفل‌کردن تنظیمات DNS روی روتر درصورت امکان

امنیت دستگاه و شبکه

• نصب آنتی‌ویروس معتبر روی سیستم و به‌روزرسانی مداوم آن
• استفاده از فایروال (Firewall) برای مسدودسازی دامنه‌های مخرب پیش از اتصال
• اتصال صرف به شبکه‌های قابل اعتماد (چه عمومی چه خصوصی)
• استفاده از VPN امن و رمزنگاری‌شده برای جلوگیری از شنود و تغییر مسیر DNS
• عدم کلیک روی لینک‌های مشکوک و مراقبت از اطلاعات ورود (Credentials) به سایت‌
• فعال‌سازی احراز هویت دوعاملی (2FA) روی حساب‌ها

امنیت DNS

• استفاده از سرویس‌های DNS جایگزین و امن مانند دی‌ان‌اس عمومی گوگل و Cisco OpenDNS درصورت مشکوک بودن ربایش سیستم نامه دامنه توسط ارائه‌دهنده خدمات اینترنت (ISP)
• بررسی دوره‌ای تنظیمات و رکوردهای DNS
• نظارت بر ترافیک DNS با استفاده از ابزارهای مانیتورینگ ترافیک (Traffic Monitoring)

 ابزارها و تکنیک‌های مقابله با حمله ربایش DNS برای کاربران نهایی

آگاهی از نشانه‌های دیجیتال خطرناک، اولین قدم در امنیت سایبری (Cyber Security) است. اگر به‌عنوان یک کاربر عادی احساس کردید یک حمله ربایش DNS درحال انجام است، اقدامات زیر را انجام دهید:

قطع فوری اتصال اینترنت

برای جلوگیری از دسترسی بیشتر مهاجم به اطلاعات حساس، بلافاصله اتصال اینترنت را غیرفعال کنید.

خروج از سایت‌های ناشناس

اگر در داخل سایتی بودید که برایتان ناآشناست یا پنجره‌ها، پاپ‌آپ‌ها و صفحات غیرمنتظره نمایش داده می‌شوند، سریعاً از آن خارج شوید.

تغییر تنظیمات DNS و روتر

تنظیمات DNS را روی دستگاه و روتر بررسی و به حالت امن بازگردانید. مطمئن شوید که روتر از DNS آلوده استفاده نمی‌کند.

پاک‌سازی کش

اصلاح صرف DNS کافی نیست و ممکن است رکوردهای ربوده‌شده همچنان در کش‌های محلی یا بالادستی باقی بمانند. برای اطمینان، کش‌های زیر را پاک کنید:

• مرورگر
• DNS در سیستم شخصی
• کش‌های سطح اپلیکیشن

گزارش به ارائه‌دهنده سرویس اینترنت یا DNS

با شرکت ارائه‌دهنده اینترنت یا سرویس DNS تماس بگیرید و موضوع را گزارش کنید تا اقدامات فنی و پشتیبانی لازم توسط آن‌ها انجام شود.

بررسی تراکنش‌های کیف پول دیجیتال

اگر حمله ربودن سیستم نام دامنه مرتبط با ارزهای دیجیتال است، فوراً فعالیت‌های کیف پول ارز دیجیتال خود را برای شناسایی تراکنش‌های مشکوک بررسی کنید.

پشتیبان‌گیری از داده‌ها و بررسی امنیتی کامل

از داده‌های مهم نسخه پشتیبان بگیرید و یک اسکن امنیتی کامل برای یافتن بدافزار یا آسیب‌پذیری باقی‌مانده انجام دهید.

آینده امنیت DNS و تهدیدات نوظهور

مبارزه با حملات ربودن DNS یک نبرد همیشگی است. با رشد روزافزون پروژه‌های دیفای، حملات سایبری نیز پیچیده‌تر و هدفمندتر می‌شوند. اما با درک درست تهدیدات، اجرای تدابیر امنیتی قوی و آگاهی از روندهای جدید، پلتفرم‌ها و کاربران ارزهای دیجیتال می‌توانند تا حد زیادی خطر این حملات را کاهش دهند.

تکنیک‌های جدید حمله

امروزه استفاده از هوش مصنوعی برای خودکارسازی جرایم سایبری افزایش یافته است. بنابراین، استفاده از راهکارهای امنیتی مبتنی بر هوش مصنوعی به‌ویژه در سطح DNS، یکی از مؤثرترین خطوط دفاعی در برابر حملات پیشرفته محسوب می‌شوند.

دستگاه‌های IoT مصرفی مانند روترها نیز می‌توانند دروازه‌ای برای حملات پیچیده مانند DNS Hijacking باشند. مثلاً در سال ۲۰۱۸، مهاجمان با سوءاستفاده از آسیب‌پذیری‌های موجود در روترهای به‌روزرسانی‌نشده D-Link، تنظیمات DNS آن‌ها را تغییر داده و کاربران بانک مرکزی برزیل را به وبسایت‌های مخرب هدایت کردند. در این حمله، هکرها موفق به جمع‌آوری اطلاعات بانکی کاربران (شامل شماره شعبه، شماره حساب و پین) شدند.

در تکنیک‌های دیگر، مهاجمان می‌توانند بدون نیاز به بدافزار، حملات را در لایه تنظیمات اولیه موبایل‌ها انجام داده و با استفاده از پیامک‌های جعل‌شده، ارتباطات داده موبایل را تحت کنترل خود درآورند. گروه هکری لازاروس یکی از بزرگترین و مخوف‌ترین گروه هکری دنیاست که هکرهای آن تاکنون دارایی‌های زیادی را از طریق حمله‌های سایبری گوناگون به‌سرقت برده‌اند.

فناوری‌های نوین محافظت

• یادگیری ماشینی: علاوه‌بر AI، از الگوریتم‌های یادگیری ماشینی می‌توان برای شناسایی سریع تهدیدات جدید مانند مسموم‌سازی کش و استخراج داده‌ها استفاده کرد.
• DNS over HTTPS یا DoH: از این روش برای رمزنگاری درخواست‌ها و پاسخ‌های DNS با استفاده از HTTPS استفاده می‌شود که افزایش حریم خصوصی و جلوگیری از شنود و دستکاری داده‌های DNS توسط اشخاص ثالث را به‌دنبال دارد.
• تکنولوژی‌های بلاک چین: فناوری‌های بلاک چینی غیرمتمرکز مانند سیستم فایل سیاره‌ای و سرویس نام اتریوم از بهترین روش‌های کاهش حملات در سطح ریزالور DNSها هستند.

سؤالات متداول

جمع‌بندی

حمله ربایش سیستم نام دامنه (DNS Hijacking) یک حمله سایبری مخرب است که وبسایت‌ها، کاربران و پروژه‌های بلاک چینی را تهدید می‌کند. برای کاهش خطر این حملات، می‌توان اقداماتی نظیر احراز هویت دوعاملی، بررسی رکوردهای DNS، تغییر دوره‌ای رمزعبور روتر و نظارت بر تراکنش‌های کیف پول ارز دیجیتال را انجام داد.