طريقة مزود معين لمنع اعتراض DNS
Categories:
في الآونة الأخيرة، لاحظت أن خدمة DNS العامة تظهر سلوكًا غير طبيعي للوصول إلى IP، مع طلبات متكررة للدومين نفسه عشرات المرات في الثانية، دون اتباع بروتوكول DNS بشكل كامل، ولا تأخذ بعين الاعتبار قيمة وقت البقاء (TTL) العالمي.
في البداية اعتقدت أن هذا IP هو من المهاجم، ولكن بعد مراقبة حركة المرور اكتشفت أن التطبيق الخاص بشركة معينة هو من يقوم بالطلب المحموم لـ DNS. إعداد الـ backend لـTTL=10 يعني أن عمر قيمة الإرجاع لاستعلامات DNS المستلمة هو 10 ثوانٍ، ويجب على الطرف الطالب استخدام هذه القيمة خلال هذه الفترة العشر ثوانٍ دون إرسال طلب جديد لخادم DNS. ولكن التطبيق هذا يقوم بإرسال عشرات الطلبات المتطابقة في الثانية، ما يدل على أن التطبيق لا يتعامل مع قيمة TTL بشكل صحيح وفقًا لبروتوكول DNS. في إحصائيات حظر الطلب في الـ backend، هناك أكثر من 90% من الطلبات هي لطلبات هذا الدومين.
ربما تدرك الشركة أن هناك وسيلة لاعتراض DNS، وتتخذ نهجًا يقول: “إذا لم تسمح لي بالوصول، فسأجعل تطبيق المستخدم يقوم بهجوم DoS على خادم DNS الخاص بك”. نظرًا لأن الـ backend قام بتحديد حد أقصى 20 طلبًا في الثانية في نفس الوقت، فإن هذا السلوك الجامح سيؤثر أيضًا على استعلامات DNS الطبيعية الأخرى للمستخدم، ويؤثر على الاستخدام الطبيعي للتطبيقات الأخرى.
عندما يرى فريق التشغيل والصيانة هذا السلوك المحموم لطلب الدومين نفسه من IP واحد، لا يمكنه إلا السماح بالمرور.