طريقة مزود معين لمنع اعتراض DNS
Categories:
أثناء الأيام الأخيرة، لاحظت سلوكًا غير طبيعي في خدمة DNS العامة حيث ترسل عناوين IP طلبات متكررة لنفس المجال بمعدل عشرات الطلبات في الثانية، دون الالتزام ببروتوكول DNS أو الاهتمام بقيمة العمر الافتراضي (TTL).
في البداية اعتقدت أن عنوان IP هذا هو من المهاجم، ولكن بعد مراقبة حركة البيانات اكتشفت أن التطبيق الخاص بشركة معينة يقوم بطلبات DNS مكثفة. تم ضبط TTL=10 من قبل الطرف الخلفي، مما يعني أن عمر قيمة الإرجاع لاستعلامات DNS المستلمة هو 10 ثوانٍ، ويجب على المستخدم استخدام هذه القيمة الإرجاعية خلال هذه الفترة دون إجراء طلبات DNS أخرى. لكن التطبيق يرسل عشرات الطلبات المتماثلة في الثانية، مما يدل على أنه لا يتبع بروتوكول DNS بشكل صحيح ولا يراعي قيمة TTL. في إحصائيات اعتراض الطرف الخلفي، تشكل طلبات هذا المجال أكثر من 90% من إجمالي الطلبات.
ربما تدرك الشركة أن هناك وسائل لاعتراض DNS، وتتخذ نهجًا يتمثل في مهاجمة خادم DNS الخاص بك مباشرة من خلال DoS عندما لا تسمح لها بالوصول. نظرًا لضبط الطرف الخلفي على السماح فقط بـ 20 طلبًا مفاجئًا في الثانية، فإن هذا السلوك العدوانى يؤثر في الوقت نفسه على استعلامات DNS الطبيعية الأخرى للمستخدم، ويؤثر على الاستخدام الطبيعي للتطبيقات الأخرى.
عندما يرى فريق التشغيل والإدارة هذا السلوك من عنوان IP واحد يطلب نفس المجال بشكل مكثف، لا يكون أمامه خيار سوى السماح له بالمرور.