الـ DNS

الملف الشخصي · 05-18-2011 05:12 PM

الـ DNS

السلام عليكم ورحمة الله وبركاته :

الـ DNS

الملخص

نتناول في مقالنا هذا النظام المتبع في تسمية النطاقات في الإنترنت والمعروف ب Domain name System متطرقة للعناصر الرئيسية المكونة لهذا النظام من حيث نظام التسمية ومكوناته والسجلات المختلفة التابعة له كذلك سوف نستعرض المخاطر الأمنية التي تهدد هذا النظام وكيفية مواجهاتها والحد منها أرجوا من الله أن يوفقني لهذا

كلمات افتتاحية

اسم النطاق (Domain Name)- عنوان برتوكول الإنترنت (IP address)- نظام أسماء النطاقات (DNS) - سجلات المصادر (Resources Records)- ملف النطاق (Zone File)

المقدمــة

هل تخيلت يومأ أنك إذا أردت زيارة موقع ما على الشبكة العنكبوتية فيجب عليك أن تتذكر عنوانه والذي يعرف بـعنوان برتوكول الإنترنت (IP address) الخاص بجهاز الكمبيوتر الموصول بالإنترنت ويتكون هذا العنوان من أربعة أعداد مفصولة بنقاط، يمكن تمثيلها بالشكل التالي (192.168.1.2). هذا بل وعليك أيضاً تذكر جميع عناوين المواقع التي تود زيارتها لذا تم بناء نظام أسماء النطاقات والذي يعمل على استخدام الأسماء عند التراسل بين أجهزة الحاسب التابعة لشبكة الإنترنت بدلا من الأرقام التي نادرا ما يتذكرها احد ومن ثم تحويلها إلى ما يقابلها من عناوين برتوكولات الإنترنت فعندما نقوم بكتابة اسم الموقع في المتصفح يقوم هذا النظام بإرسال اسم هذا الموقع إلى عنوان مزود الـ DNS المسجل لديه لكي يستفسر منه عن عنوان ال IP لهذا الموقع فيرد عليه المزود بعنوان ال IP إذا كان مسجلا لديه فيقوم النظام بالتوجه إلى هذا العنوان لطلب الموقع ويبدأ الموقع في الظهور لديك على المتصفح وكل هذا يحدث في ثواني ولا نشعر به كمستخدمين فهذا النظام والذي يرمز له بـ DNS اختصارا Domain name Server عبارة عن قاعدة بيانات تحتوي على معلومات النطاقات و أسماء الأجهزة وعناوينها الرقمية تحت أي نطاق. بحيث يقوم هذا النظام بتجزئه معلومات إلى أجزاء يتم إدارتها والوصول إليها محليا عن طريق الشبكة . لذلك يعتبر أسماء النطاقات من أهم الأنظمة الموجودة حاليا من خلال الانترنت فو لا يمكن الاستغناء عنه في نظم تشغيل الشبكات حيث لا يمكن الوصول إلى الأجهزة أو لمواقع بدونه ، و إذا تعرض هذا النظام للتعطيل أو التخريب من قبل مخترقي الشبكات فان ذلك سيؤدي لحدوث أضرار جسيمة وخطيرة لمستخدمي الانترنت والشبكات، مثل العمل على جعل المستخدمين يتوجهون لمواقع وهمية حتى يتم سرقة (معلوماتهم الشخصية أو أرقام البطاقات الائتمانية)، وقد يؤدي إلى تعطيل المواقع و الخدمات المتاحة لذا وجب على القائمين ببرمجة نظم تشغيل الشيكات العمل على فرض الكثير من نظم الحماية والتي توفر لهذا النظام أمنه [1]

اسم الموقع Internet Protocol Address))

كل كمبيوتر على شبكة الانترنت أو الشبكات المحلية لابد له من عنوان وحيد يعمل كرقم هوية خاص به و يتألف من أربعة أجزاء رقمية ، يقترب الرقم في كل جزء ابتداء من اليسار من الجهاز الذي يستضيف الموقع ، فعنوان ال IP لشركة مايكروسوفت مثلاً هو 257.46.197.102 "حيث يعرّف الجزء الأول من الرقم بدءاً من اليسار المنطقة الجغرافية ويعين الجزء الثاني المنظمة أو الجهاز المزود ويجعل الجزءان التاليان الأمور أكثر تحديداً ، فالرقم الثالث يعين مجموعة الأجهزة التي ينتمي إليها الجهاز، والرقم الرابع يعين الجهاز ذاته"[8] , وحاليا نستخدم الجيل الرابع من هذا البروتوكول الذي يحدد عدد الأي بي في العالم و الذي يمكن تداوله وهو ( 4 آلاف مليون) عنوان, لأنه يتم استخدام 32 بت, و لاحقاً سوف يبدأ العمل بالجيل السادس (64 بت) للعناوين لإضافة الملايين من العناوين الجديدة للنظام .
اسم النطاق( (Domain Nam

اسم النطاق هو الاسم المصاحب لعنوان الإنترنت و هو مجموعة من الأحرف اللاتينية و الأرقام تمثل عنواناً لجهاز كمبيوتر على الإنترنت، و من الواجب أن يكون اسم النطاق فريداً، و يتم الدخول على الموقع الالكتروني عن طريق اسم النطاق وعبر برنامج مستكشف الانترنت Internet browser ، ويمكن أن يكون اسم النطاق بالصيغة التالية (company.com.). و يتكون اسم النطاق من عدة أجزاء: المستوى العلوي ويمثله في الصيغة السابقة (com). المستوى الثاني و يمثله (company). للوصول للموقع يتم كتابة (www. company.com). .كما يوجد هيئة عالمية تقوم بالإشراف و بتسجيل النطاقات نظير رسوم سنوية وتتعامل مع هذه الهيئة العديد من الشركات عديدة التي تقوم بدور الوسيط بين الهيئة ومسئولي المواقع الإلكترونية.- الشكل (1). [7]

شكل (1)

نظام أسماء النطاقات (DNS)

"يعرف نظام أسماء النطاقات بأنه قاعدة بيانات غير مركزية (موزعة) على شبكة الإنترنت تحتوي على معلومات النطاقات و أسماء الأجهزة وعناوينها الرقمية تحت كل نطاق تشبه إلى حد كبير دليل التلفونات. بمعنى آخر هو بروتوكول يقوم بترجمة أسماء النطاقات من كلمات إلى عنوان (Internet Protocol Address). وهذه الترجمة ضرورية لأن الحاسوب يتعامل بالأرقام وليس بالكلمات. واسم النطاق، هو نظام التسمية الهرمية لأجهزة الكمبيوتر فهو يقوم بتجزئه معلومات الشبكة إلى أجزاء يتم إدارتها محليا والوصول إليها عن طريق الشبكة ,و لتنظيم وتعريف المجالات. بشكل أساسي، توفر DNS للمجال اسم وعنوان IP واحد أو أكثر. على سبيل المثال، يمكن ترجمة اسم المجال dept. company.com إلى 198.102.434.8. ويتم زيادة الاعتمادية و تحسبن سرعة الرد فيه باستخدام التعددية (replication) و الحفظ المؤقت (caching). وهذا النظام له جذر رئيسي تندرج تحته نطاقات علوية (نطاقات مفتوحة ونطاقات دولية ونطاقات ذات استخدامات خاصة) وتحت كل نطاق علوي يوجد نطاقات فرعية أخرى." [2] أنظر الشكل (2) يوضح خطوات العمل في .DNS[7]

شكل (2)
مكونات نظام أسماء النطاقات (DNS)
مزودات نظام أسماء النطاقات (The DNS Server)

هي عبارة عن حاسبات تعمل على أنظمة تشغيل مختلفة مثل اليونيكس واللينكس وويندوزسيرفر وتملك معلومات عن عناوين الحواسيب المستخدمة على الشبكة و عناوين الـ IP الموافقة ، حيث تقدم هذه المعلومات إلى المستخدمين الذين يقومون بإرسال الطلبات Requests من أجل الحصول عليها . ويوجد مزود رئيسي على الأقل لكل اسم نطاق، ويتم من إدارة سجلات النطاق و عمل التحديثات عليها من خلاله ويعد هذا المزود المالك الرئيسي للنسخة الأصلية لملف اسم النطاق،و توجد أيضا مزودات فرعية عديدة تأخذ نسخة من ذلك الملف بالتنسيق مع المزود الرئيسي .وفي حال لم يكن المزود r قادراً على توصيل المعلومة لسبب ما ، فإن الطلب يمكن أن يمرر إلى مزود آخر .[3]

سجلات المصادر (Resources Records)

قاعدة بيانات الـ DNS تقسم إلى عدة مناطق وهي بمثل السجلات التعريفية التي تعمل على تعريف أي معلومة بالنظام و تسمى باسم سجلات المصادر(Resource Records ( RRs ، وأهم هذه السجلات:

"سجل تعريف العنوان ("A": Address): ويستخدم لربط الأسماء بالعناوين الرقمية المقابلة لها، ويمكن تمثيل ذلك في ملف النطاق
سجل تعريف خادم البريد ("MX": Mail eXchange): ويستخدم لتعريف خادم البريد الالكتروني لاسم النطاق الأسماء بالعناوين الرقمية المقابلة لها ، ويمكن تمثيل ذلك في ملف النطاق على الشكل التالي:
سجل تعريف خادم اسم النطاق ("NS": Name Server): ويستخدم لتعريف خادم اسم النطاق المسئول عن النطاق، ويمكن تمثيل ذلك في ملف النطاق على الشكل التالي:
سجل تعريف المترادفات ("CNAME": Canonical Name): ويستخدم لتعريف مترادفات للأسماء, ويمكن تمثيل ذلك في ملف النطاق على الشكل التالي:
سجل تعريف معلومات النطاق ("SOA": Start Of Authority): ويستخدم لتعريف بعض المعلومات الأساسي حول النطاق (مثل من هو خادم الأسماء الرئيسي، عنوان البريد الكتروني للمسئول الفني، ... الخ) وله صيغة معينة وبعض الأرقام الأخرى الهامة المستخدمة بين الخادمات الرئيسية والثانوية التي تخدم اسم النطاق"[4]

ملف النطاق(Zone File)

وهو ملف داخل خادم أسماء النطاقات ويعمل علي حفظ وتدوين جميع سجلات المصادر السابق سردها
المقرر(Resolver)

هو جهاز حاسب يوجد في كل من الشبكات الخاصة ويعمل على إرسال استفسارات مستخدمي الشبكة حول عنوان موقع ما إلى خادمات الـ DNS المسئولة على هذا النطاق ومن ثم إرسال النتيجة النهائية لمستخدمي الشبكة (ترجمة الأسماء إلى عناوين IP) كما يقوم أيضا بحفظ وتخزين نتائج استفسارات السابقة والتي حصل عليها في سجلات مؤقتة فقط لمدة محدودة (DNS cashing) ليمدها للمستخدمين مرة آخري دون الحاجة إلى الذهاب إلى خادمات DNS مما يوفر الوقت والجهد . [5]

المخاطر التي يتعرض لها نظام DNS

إفساد السجلات المؤقتة (Cache Poisoning)

يتم وضع معلومات خاطئة بدلا من المعلومات الصحيحة حتى يتوجه المستخدمين إلى العناوين الخاطئة بدلا من العناوين الحقيقية.

· هجمات تعطيل الخدمة (Denial of Service)

يرسل المهاجم رسائل تحتوي على بيانات بكميات كبيرة أو رسائل كثيرة بأحجام صغيرة إلى خادم أسماء النطاقات ليستنفذ مصادر الجهاز و يتم تعطيل الجهاز عن العمل.

· تخريب الذاكرة (Buffer overflow)

يقوم المهاجم بإرسال بيانات على هيئة استفسارات مما يؤدي إلى أن يتخطى البرنامج المساحة الخاصة له بالذاكرة و الوصول إلى مساحة إضافية أخرى ممكن أن تسبب بمشاكل حساسة للخادم عند تنفيذه لأي برنامج آخر يستخدم تلك المساحة التي تمت الإضافة عليها.

· هجمة "الرجل الوسيط" (Man in the middle attack)

يقحم المهاجم نفسه بين خادم أسماء النطاقات( DNS) و المستخدم ويقوم بالرد برسائل غير صحيحة للمستخدمين عن استفساراتهم. وذلك ممكن أن يحدث من خلال عدة طرق مختلفة.

· استغلال خدمة خادمات أسماء النطاقات المشتركة (DNS Vulnerabilities in Shared Host Environments

في الآونة الخيرة ونتيجة لانتشار الإنترنت اضطرت بعض الشركات لاستضافة أكثر من موقع على جهاز واحد و لتقليل سعر الاستضافة، حيث تم استخدام خادمات أسماء نطاقات مشتركة (Shared DNS servers) وقام المهاجمين باستغلال ذلك بحيث استخدموا خدمة التوجيه التي تعمل على تغير وجهة الموقع من الاتجاه الصحيح إلى الاتجاه الوهمي ليؤثر على الخادم في استفساراته و مراسلاته.

· استغلال الثغرات الأمنية في نظم تشغيل خادم أسماء النطاقات (Security Holes/Bugs)

يستغل المهاجم الثغرات الأمنية التي تم الإعلان و الإفصاح عنها , و يقوم بالبحث عن الأجهزة التي لم تقم بالتحديثات اللازمة بتلك الثغرات ويهاجم الأجهزة و يحاول الاستيلاء عليها من خلالها.

· إفساد أو تغيير إعدادات نظام أسماء النطاقات أو ملفات الترجمة الداخلية للأجهزة:

يغير المهاجم بإعدادات نظام أسماء النطاقات داخل الأجهزة إما عن طريق الوصول مباشرة إلى الجهاز أو عن طريق فيروسات أو برامج معينة تقوم بتغير الإعدادات الموجودة بالنظام, و ذلك يؤدي إلى تشويه و تعطيل نظام أسماء النطاقات على الجهاز.

· خداع وتضليل المستخدمين باستخدام أسماء نطاقات مشابهة للأصلية (Domain Fishing)

يقوم المهاجم بتضليل المستخدمين و خداعهم من خلال استغلال تشابه أسماء النطاقات بحيث يسجل المهاجم أسماء نطاقات وهمية تشابه أسماء نطاقات حساسة و مشهورة (وذلك بإعادة ترتيب حروف النطاق الأصلي أو استبدال حرف برقم مشابه له)، ومن ثم استخدام البريد الالكتروني لجذب الزوار وإرسالهم إلى مواقع تلك النطاقات وهي تشبه إلى حد بعيد الموقع الأصلي ومن ثم أخذ معلوماتهم الزوار الشخصية أو معلومات بطاقاتهم الائتمانية [6]

طرق حماية نظام DNS

· حماية الاتصال الشبكي لخادمات أسماء النطاقات(Network Security)

تطبق الحماية من خلال استخدام موجة أو جدار ناري و القيام بشروط معينة لفلترة الرسائل على الشبكة بحيث لا تفتح المنافذ إلا التي يحتاجها الخادم للقيام بعمله.

· حماية وتحديث نظام التشغيل (OS Security)

من اللازم حماية نظام التشغيل و ذلك من خلال التحديثات اللازمة بشكل مستمر , و الحرص على دقة إعدادات نظام التشغيل و صحته و العمل على إزالة جميع البرامج و الخدمات الإضافية الغير لازمة أو التي لا حاجة لوجودها.

· التنوع في خادمات أسماء النطاقات (Diversity)

من الواجب وجود خادمين على الأقل لإعداد خادمات أسماء النطاقات بحيث يكون من الممكن إضافة أسماء النطاقات الرئيسي منها و الثانوي والأفضل أن توجد الخادمات على شبكات مختلفة و نظام تشغيل مختلف عن بعضهم البعض.

· إخفاء الخادم الرئيسي لأسماء النطاقات (Hiding the Primary Name server)

في نظام DNS يوجد على الأقل خادم رئيسي معلن لكل نطاق ولكن يفضل وضع خادم آخر رئيسي مخفي لا يعلم عنه أحد ولا يتم مخاطبته سوى من الخادم الرئيسي المعلن (الذي يأخذ منه ملفات النطاقات المستضافة) بعد ذلك يقوم بتوزيعها على الخادمات الثانوية، حتى يتأكد من الحصول على نسخة صحيحة من ملفات النطاقات المستضافة .

· تخصيص جهاز مستقل يعمل كخادم لأسماء النطاقات (Dedicated Machine for DNS servers)

يقوم بخدمة أسماء النطاقات و العمل على الحد من الخدمات الإضافية على الجهاز و التركيز على أمن نظام التشغيل للحد من إمكانية اختراق الجهاز.

· استخدام خدمة امتدادات نظام أسماء النطاقات الأمن (Domain Name Service Security Extension-DNSSEC)

وهي خدمة مهمة بحيث تقوم بأمرين مهمين هما: التأكد من مصدر المعلومة ومن حقيقة المعلومة نفسها.

· إخفاء نوع وإصدار الخادم(Hiding Server Version)

من الضروري إخفاء رقم إصدار خادم أسماء النطاقات و المقررات حتى يصعب على المهاجم تحديد نوع خادم أسماء النطاقات أو الإصدار الحالي لها, حتى في حال اكتشاف الثغرات الأمنية للخادم لا يمكن أن يستغلها.

· منع خدمة نقل ملفات النطاقات للجهات الغير مصرحة (Preventing Unauthorized Zone Transfers)

لاحتواء ملف النطاق على جميع أسماء وعناوين الأجهزة والخدمات المتوفرة يجب عدم السماح لأي شخص بالحصول على هذه المعلومات كاملة، لذلك يتم تحديد الخادمات التي تستطيع نقل ملف النطاق كذلك التحقق من طالب خدمة نقل الملفات.[6]

الخلاصة:

في عصرنا الحالي وما نواجه من تحديات نتيجة التقدم السريع في تكنولوجيا الاتصالات وما قدمه هذا التطور للإنسان وسلوكه وما أحدثه في تغيير لأخلاقياته نتج عنه الكثير من مخترقي نظم التشغيل والشبكات ولعل نظام DNS. والذي خصص لخدمة مستخدمي الإنترنت واحدة مما تأثروا حيث تم استغلال DNS لتسهيل نشاط ضار ولتسهيل طائفة واسعة من السلوك الإجرامي أو ما يعرف بالخداع حيث يسجل هؤلاء أسماء النطاقات لدعم الهجمات التي تستغل في سرقة المعلومات واستغلال المؤسسات المالية لسرقة الحسابات المصرفية وبطاقات الائتمان أو بيع منتجات وهمية أو غير مشروعة لذلك فمن الضروري التحقق من نظم الأمان والتي تم سردها لضمن لهذا النظام فاعلية أكثر في الأداء.

منقول

ادارة سكيورتي العرب