حل جميع مشاكل Windows والبرامج الأخرى

كيفية استخدام DNS الشخصي لعزل هجوم خادم الجذر

بشرط صحة اثنين من المبرمجين ، فإن ما بدأ كمحاولة لتوفير أداء أفضل لخادم نظام أسماء النطاقات (DNS) على أجهزة Windows قد يكون أيضًا إحدى الطرق لتقليل مخاوف أمان DNS.

والمثير للدهشة أن المشروع يتركز على مشتق تم تكوينه خصيصًا لـ BIND 9.2 (نطاق اسم الإنترنت في بيركلي) المترجم لجهاز المستخدم. DNS المترجم هذا - يسمى BIND-PE ومتاح على NTCanuck.com —تم الإعلان عنه في البداية على خادم أخبار Gibson Research Corp. (GRC) ، news.grc.com ، في مجموعة أخبار متعلقة بأداة أبحاث نظام اسم المجال (DNSRU) في مركز الخليج للأبحاث (GRC) ، والتي تم تصميمها لاختبار أداء نظام DNS ومعدلات انتهاء الصلاحية.



خادم BIND هو خادم الأسماء الأكثر استخدامًا على الإنترنت ويوفر الآلية التي تترجم أسماء المجال إلى عناوين بروتوكول الإنترنت لمتصفحات الويب وتطبيقات الإنترنت الأخرى. عادة ، يوفر مزود خدمة الإنترنت (ISP) عدة خوادم أسماء لاستخدام عملائها. ومع ذلك ، يوفر BIND-PE DNS مستقل لمزود خدمة الإنترنت يعمل مباشرة على أجهزة الكمبيوتر الخاصة بالمستخدمين.



متى بدأت رموز upc

حادثة مؤسفة تحفز الحركة

كان جاذبي المباشر لتشغيل DNS المترجم هو إمكانية تجنب إفساد ذاكرة التخزين المؤقت المحلية المحتملة لخوادم DNS الخاصة بمزود خدمة الإنترنت. يعتبر تسمم ذاكرة التخزين المؤقت لنظام أسماء النطاقات بمثابة استغلال للهجوم على خادم DNS الذي يستبدل تعيين عنوان الإنترنت لاسم المجال بعنوان IP الخاص بجهاز كمبيوتر آخر. لقد أصبحت ضحية لتسمم ذاكرة التخزين المؤقت لنظام أسماء النطاقات عندما أسفرت محاولتي لزيارة موقع CNN على الويب عن قيام مستعرضي بنقلني إلى موقع ويب يقدم محتوى ذا طبيعة مختلفة تمامًا.



راندال فون أستاذ نظم المعلومات في جامعة بايلور في واكو ، تكساس. يمكن الوصول إليه عند Randy_Vaughn@Baylor.edu .

قد لا يؤدي التسمم بذاكرة التخزين المؤقت إلى حادثة محرجة مثل حادثة وقع فيها فحسب ، بل يمكن استخدامه أيضًا لإعادة توجيه متصفحك من موقع الويب الخاص بالمصرف الذي تتعامل معه ، على سبيل المثال ، إلى خادم آخر يبدو بدرجة كافية مثل البنك الذي تتعامل معه مما يتسبب في تكبدك خسارة مالية. وغني عن القول ، لدي دافع كبير لمنع هذا النوع من المشاكل في المستقبل. ومع ذلك ، شعرت أنه من المجدي النظر في أداء DNS المترجم.

ظهر DNSRU إلى حيز الوجود بعد أن حاول مركز الخليج للأبحاث تفادي هجوم رفض الخدمة عن طريق تغيير عنوان IP الخاص بنطاقه. لاحظ مركز الخليج للأبحاث (GRC) في لاجونا هيلز بولاية كاليفورنيا أن خوادم DNS لم تحترم دائمًا وقت انتهاء صلاحية ذاكرة التخزين المؤقت القصير للشركة (10 دقائق) من خلال العودة إلى خوادم GRC الرسمية لتحديث IP الخاص بنطاقها. تشتمل اختبارات DNSRU على عدد من الاستعلامات المصممة لقياس استجابات خادم DNS لأسماء النطاقات المخبأة وغير المخزنة مؤقتًا والمعروفة.

لقياس الخادم ، يقوم DNSRU بتجميع عدة مئات من الطلبات لأسماء مثل 3bglnvvvzeyrk5f3xqsqrxflqh.computerworld.com و nvtfp1prswuqzfnfcatcgpiufc.com ، بالإضافة إلى طلبات الحصول على أسماء عدد من مواقع الويب الشهيرة الأخرى. نشر جيبسون DNSRU من أجل جمع نتائج الاختبار من عدد كبير من خوادم DNS. يتضمن كل تقرير DNSRU عنوان IP للخادم ، والتوقيت العالمي المنسق (UTC) للتشغيل التجريبي ومقاييس الأداء للخادم.



ينتج عن تشغيل اختبار DNSRU النموذجي ، مثل تشغيل واحد باستخدام خادم DNS الخاص بمزود خدمة الإنترنت ، ملخصًا لنتائج الاختبار مثل:

66. xxx.xxx.xxx دقيقة متوسط الأعلى الأمراض المنقولة جنسيا ديف ريليب٪
الاسم المخبأ 0.025 0.038 0.057 0.006 99.0
اسم غير مخبأ 0.051 0.097 0.212 0.028 100.0
بحث DotCom 0.083 0.097 0.150 0.013 100.0

UTC: 2002-12-14 ، من 22:05:58 إلى 22:06:53 ، مقابل 00: 55.419

لقد قمت بإخفاء عنوان IP الحقيقي للخادم في إخراج DNSRU أعلاه إلى 66.xxx.xxx.xxx من أجل حماية DNS.

أنتج نفس الاختبار ضد استخدام خادم DNS المترجم الذي يعمل على المضيف المحلي (127.0.0.1):

127. 0. 0. 1 دقيقة متوسط الأعلى الأمراض المنقولة جنسيا ديف ريليب٪
الاسم المخبأ 0.000 0.000 0.002 0.000 100.0
اسم غير مخبأ 0.037 0.092 0.210 0.034 99.5
بحث DotCom 0.065 0.085 0.120 0.010 100.0

UTC: 2002-12-14 ، من 22:05:05 إلى 22:05:38 ، لـ 00: 33.478

تشير مثل هذه النتائج النموذجية إلى أن DNS المحلي يتمتع بالفعل بميزة أداء مهمة للأسماء المخزنة مؤقتًا وتلميحًا لتحسين الأداء لعمليات بحث 'DotCom' ، لكنها لا تقدم تحسينًا للأسماء غير المخزنة مؤقتًا على DNS الخاص بـ ISP. أوقات التخزين المؤقت المحسّنة هي نتيجة تنفيذ DNS المترجم لمنشأة التخزين المؤقت الدائمة. يتكون تشغيل اختبار DNSRU من عدة مئات من الاستعلامات. يشير عمود الموثوقية إلى أن كلاً من DNS الخاص بمزود خدمة الإنترنت ونظام أسماء النطاقات المترجم قد فشلا في الرد على بعض الاستفسارات ، وهو أمر شائع لجميع عمليات الاختبار هذه. من المثير للاهتمام ملاحظة أن DNS المترجم ، BIND-PE ، قد تم تكوينه لاستخدام خوادم الجذر التي تتم صيانتها بواسطة Open Root Server Confederation Inc. (ORSC) بدلاً من الجذور القياسية التي يستخدمها مزود خدمة الإنترنت الخاص بي.

تعتمد اختبارات انتهاء صلاحية DNSRU على خادم DNS الخاص بـ GRC الذي يوفر اسمًا متخصصًا مع مهلة لبضع ثوان. كان أداء كل من خادم DNS الخاص بـ ISP ونظام DNS المحلي مُرضيًا في اختبارات انتهاء الصلاحية. أثبت التقاط حزمة لعدد قليل من اختبارات DNSRU أن خادم DNS القياسي لمزود خدمة الإنترنت الخاص بي قد أنتج ما يقرب من 1600 حزمة لكل اختبار ، في حين أن DNS المحلي أنتج ما يزيد قليلاً عن 1800 حزمة في اختبار DNSRU الأولي وحوالي 850 حزمة لكل اختبار في الاختبارات اللاحقة. يتجاوز DNSRU ذاكرة التخزين المؤقت لعميل DNS الخاص بـ Windows ، لذلك يمكنني أن أستنتج أن ذاكرة التخزين المؤقت DNS المترجمة تعمل بشكل صحيح ولكن لا يمكنني تحديد ما إذا كان DNS المترجم يوفر تقليلًا عامًا لحركة المرور.

هناك ، بالطبع ، بعض العيوب المحتملة لتشغيل DNS المحلي. أولاً ، قد يؤدي التوزيع الواسع لمثل هذه الأداة في النهاية إلى جعل المستخدمين المنزليين عرضة لعمليات استغلال معينة. لن يكون BIND-PE الحالي قابلاً للتطبيق في الإعدادات التجارية عندما تتطلب إدخالات DNS محددة. وفقًا لريتشارد سيكستون ، عضو مجلس إدارة ORSC ، فإن خوادم الجذر ORSC المستخدمة في التثبيت الافتراضي BIND-PE ستحل جميع الطلبات إلى نطاق المستوى الأعلى الحالي (TLD). وأشار إلى أن مزود خدمة الإنترنت الذي يستخدم التخزين المؤقت للوكيل الشفاف يمكن أن يمنع حل الطلبات إلى TLDs المدعومة من ORSC ، مثل .ocean. على الرغم من المخاطر المحتملة ، فإن التوزيع الواسع لنظام DNS المحلي قد يجعل هجمات رفض الخدمة ضد خوادم الجذر أقل احتمالية.

اقترح Paul Mockapetris ، كبير العلماء في Nominum Inc. ومؤسس نظام DNS ، مؤخرًا أن يحتفظ مشغلو DNS بنسخة حالية من مناطق الجذر من أجل عزل أنفسهم عن هجمات خادم الجذر المستقبلية. يشير Sexton إلى أنه إذا كانت مناطق الجذر المحلية ممارسة شائعة ، فنادراً ما يلاحظ مشغلو DNS أي انقطاع لخادم الجذر. عقبة أمام هذا النهج هو تصور أنه يتطلب خبرة فنية كبيرة.

بالنسبة لمستخدم الكمبيوتر العادي ، قد يبدو تثبيت DNS المترجم تجربة شاقة ، ومن المحتمل أن يتم تجاهل التحديثات الدورية لمنطقة الجذر. ومع ذلك ، فإن توزيع BIND-PE يقوم تلقائيًا بتهيئة الخادم للتشغيل ويتضمن تكوين 'الجذر التابع' لجعل DNS المترجم يعمل كخادم جذر ORSC مع جميع معلومات TLD المطلوبة في ملف محلي.

علاوة على ذلك ، يقوم DNS المترجم تلقائيًا بتحديث بيانات منطقة الجذر. يسمح هذا التكوين للمستخدم العادي بالحصول على مرايا شخصية محدثة لبيانات خادم الجذر دون وجود عقبة مخيفة في التكوين. يمكن أيضًا تكييف مثل هذا النهج مع مزود خدمة الإنترنت أو خوادم DNS الخاصة بالشركات. يسمح نهج عبد الجذر لمشغلي DNS بتجنب مخاطر هجمات خادم الجذر المستقبلية ، وإذا تم تنفيذه على نطاق واسع من قبل الأفراد الذين يستخدمون DNS المحلي أو مشغلي DNS الآخرين ، فقد يقلل من الدافع لهجمات خادم الجذر في المستقبل.