DNS attack

السلام عليكم ورحمة الله وبركاته
تحية لجميع افراد واعضاء ومنظمات الهاكرز الاخلاقي.
is small note:قد يكون اسم الموضوع متناقض مع محتواه لانني فتحت الباب على كثير من الاشياء
اذا كان لكم رائي اخر حول اسم الموضوع :بانتضاركم..
((introduction))
هذ الموضوع البسيط الذي كتبته هنا يستهدف ذوي الاساسيات وبالامكان الخبراء ايضا الاطلاع على ما هو موجود في هذه الورقات البسيطة
للنقاش وتزويدنا بمعلومات اكبر وهذا ما اتوقعه..ساتناول به بعض الهجومات التي يتعرض لها dns server وبعض التفاصيل الاخرى .الخ ...
مرفقة بصور توضيحية وكلام مبني على اساس علمي صحيح نضريا وتطبيقيا والفائدة الاكبر بالمعلومات الجديدة التي فيه التي اعتقد انها لم تطرح على الاكثر في
المنتديات العربية الاخرى ليس لانها اول مرة تطرح هكذا مواضيع بل العكس انها اشتهرت بين الكثيرين ولكن البعض يوافقني بانها كلها مواضيع ومقالات
مقتبسة واساسها ضعيف جدا :- هذا ما لاحضته. وستتضح لكم الفكرة عن ماذا اتكلم في الموضوع.
للمعرفة اكثر لمن لا يملكون معلومات عن هذا المجال:-واخذ فكرة عن هذ المقال:-
http://en.wikipedia.org/wiki/Domain_Name_System
---------------------------------------------
any way
بعد المقدمة البسيطة ..احب ان ابدء في كتابة اكثر الاشياء اهمية في خصوص DNS والامور المتعلقة به.
هذا المقال او الموضوع سموه ما شئتم O_o

ساتكلم فيه عن هجوم تسميم وتلويث سجل النطاقات وما يواجهها من ip special الموجودة في الخوادم server dns-1
وهجوم تضليل المستخدم عن طريق التلاعب بسجل hosts file -2 الموجودة بالجهاز الشخصي
وايضا ساذكر موضوع السجلات المؤقتة المسممة(Cache Poisoning)او ما يسمى تسمم/تلوث السجلات المؤقتة
but before
(مشكلة)متصلة) ^ان الاخوان الي في المحتوىالعربي يشرحونها بشكل غير صحيح ويذكرون بان جميع طرق هذا الهجوم
او كل ما يذكر من تسمم او تلوث ينسبوها الى cache poisoning :وهذا شي خاطى وليس له اي اساس من الصحة
والسبب عدم لديهم المعرفة الكافية في هذا المجال او نقلا من مصادر موثوقة حسب اعتقادهم
---دعوني اوضح اكثر .
ان الفرق (مثلا) هو ان التسميم الاول يحصل في server dns ويقودنا الى server dns poisoning
والتسميم الثاني حصل في ملف الخوادم hosts file ويقودنا الى hosts file poisoning
وهنا نستنتج اننا الى الان ليست لدينا علاقة بما يسمى ب cache poisoning .اي الذاكرة الوسيطة المسممة.
لان بالاساس الذاكرة الوسيطة تتواجد في خوادم dns المحلية التي يزودها عادة مشغلي الشبكة ومزودو خدمة الانترنيت
(cache ISPs/local).
والضعف الامني الذي يحصل من وراء هذه التهديدات هي بسبب خادمات ضعيفة :-
-خادمات DNSالتي تعالج المعلومات الاضافية
-خادمات DNS التي تعالج الطلبات التكرارية.
و cache poisoning هي هذه الذاكرة لكن مسممة\ملوثة :-
والذاكرة الوسيطة هي التي يتم تخزين فيها السجلات المؤقتة .(فكرتها) ان اي اتصال بموقع ودومين معين راح يتخزن في
هذه السجلات وذلك لتخفيف الضغط على Server Dns المسئول عن النطاق الذي يتم الاستعلام عليه بعد فتره قصيرة من الاستعلام الاول
وتخفيف الضغط على سيرفرات مزود الخدمة الخ من تسريع عملية التصفح مثلا او لتقليل "الكلفة ماديا"الناتجة من بعض الامور...
.حيث ان فكرة هذه السجلات هي تخزين النطاقات وما تواجهها من ip address special.
---------
وصلنا الى النقطة الوسيطة وهي اننا تلاعبنا بسجلات dns او لوثنا NS/A/etc لكنا لم نصل الى cache
وسممنا ملف الخوادم hosts file لكننا لم نصل الى cache
وقفة تحليلية:البعض قد يفكر بان هذه الطريقة لا تاتي من ضمن "Dns attack" وانها تتفرع من هجومات dns spoofing
هذا الكلام صحيح ؟؟؟؟ .لكن بالاساس هذا الملف اسمه ملف الخوادم يعني مثل ما نحن قمنا بتسميم "ملف المصدر"الموجود بال dns
هنا ايضا قمنا بتسميم "ملف الخوادم"الموجود بجهازنا الذي بامكاننا ان نقول انه اصبح "ملف المصدر" بعد التعديل عليه
لان الاستفسار الذي سيقوم به المستخدم سيذهب اولا الى هذا الملف في حال تسميمه او تم التلاعب به
.هذا سيبقينا داخل دائرة "dns attack" لكن ايضا لا ننسى العلاقة الوطيدة بين
(dns spoofing/dns attack/etc) كونها هجومات تعتمد بالدرجة الاولى على تضليل المستخدم
المهم نرجع من جديد:- الى اننا الى الان لم نصل الى المعنى الحقيقي ل cache poisoning من ناحية الهجومين .
وكل هذا يرجع الا اننا لم نسمم السجلات المؤقتة
بل لوثنا السجلات (المتبعة(اساسيا) للرد على اي استفسار يقدم لها من قبل المقرر .
وبعد (نجاح الهجوم التعديل\التلاعب)بالامكان ان نطلق عليها cache poisoning وهذا في طلب الاستعلام الثاني
وقتها افترضنا ان التسميم حصل وهذا يقودنا الى cache poisoning الوسيطة بيني وبين الخوادم..
وايضا يبقى الاساس متلاعب به ومسمم
---
النقطة الاخيرة:-تبين لنا ان هناك فرقا كبير بين Cache poisning attack-1 وبين Dns poisoning attack-2 :-
حيث الهجوم (1) يعتمد على تسميم السجلات المؤقتة والمحفوظة in cache Dns المقدمة من خوادم dns المحلية ..الخ.
صورة توضيحية :-


كود:

www.zo-dns = 3.3.3.3 || www.xxx.net+www.zo-dns.net=3.3.3.3

هنا قصدت استهدافها بعملية الاضافة ..الخ....
موضوع "cache poisoning" موضوع طويل جدا ولهذا انا لم اتطرق اليه كثيرا
ساخصص له موضوع كامل وسافصل الاشياء المعقدة فيه .باقرب وقت ممكن.
والهجوم (2) يعتمد بتعديل على السجلات الاساسية المحفوظة in source records .
صورة توضيحية :-



كود:

zo-dns.net. NS NS1.nsz-d.net
zo-dns.net. NS NS2.nsz-d.net
…
NS1.nsz-d.net. A 3.3.3.3
NS2.nsz-d.net. A 3.3.3.3

وهذا الهجوم يسمى ايضا بالضربة المباشرة .اي التلاعب بالمصدر نفسه بعيدا عن تسميم الكاش .وتطبيقه صعب جدا جدا..
هذا مجرد مثال لتصحيح المفاهيم التي يستوعبها اخواني العرب بشكل خاطى وتبقى معلقة في اروقة عقولهم
وفي كتاباتهم للمواضيع اكيد بعد نسخ\لصق تمتد الى ابعد من ذلك حيث تشمل المبتدئين وكل من هو جديد عن هذا التخصص
المهم هذا الموضوع متشعب وانا ساذكر الكثير من النقاط التي احب ان اتوقف عندها لاوضح اكثر.
فارجو الانتباه وانا معتبر ان الي متابعني فاهمين الوضع ..
----------------------------------
حسنا يا جماعة دعونا ناخذ فكرة عن هذا الاسلوب من الهجوم:-
يمكننا من افساد هذه السجلات المهمة حيث تكون المعلومات المخزنة الصحيحة في هذه السجلات
هي عرضة للتغيير وافسادها بعدة طرق(بعدة طرق)مثلا:-
1-hosts-l A +etc
.dns poisoning- A +etc -2
.cache poisoning- A +etc -3
.......attacks other
>خيار اول:- هي وجود ضعف امني في نظام dns وخوادمه او برامجه الاساسية مثل bind .تتبع(servers ISPs)
//وهذه صعبة(حاليا) لكن ليست مستحيلة(حاليا) :
//حيث ان نظام dns وموزعو الخدمة وخوادمه حاله حال اي خادم اخر لكنها مؤمنة اكثر وهذه ترجع الى عدة امور كثيرة
//ومن الصعوبة الحصول على باب للدخول لكن نحن نعرف شي اول"لم تخلق الحماية الا لتخترق"
//ونعرف شي ثاني"ليس هناك نظام\برنامج\اي شي خالي من الثغرات او بنية مؤمنة من جميع النواحي"
//وهذه كلها تتبع ان ليس هناك شي كامل فالكمال لله سبحانه وتعالى.
//حتى هذا الموضوع فيه اخطاء .لاننا لسنا معصومين من الاخطاء.
//هذه كلها فكرة اولى(بالامكان مراجعة كتاب (نظام اسماء النطاقات:مخاطر وحلول: احد المراجع الجيدة حول هذا الموضوع).
>خيار ثاني>باب اخر>عمليات spoofing الخ .....
>خيار ثالث>باب اخر>الاختراق المستهدف .....
>اخرى......
جميع الطرق تعتمد اسلوب the client misguidance..القصد بتوهيم او تضليل الزبون
مثلا هي توجيه الزبون\المستخدم الى موقع اخر غير مرغوب به وهذا كله يتوقف على طريقة الاستغلال التي قام بها المهاجم
خلونا نوضح طريقة الفكرة اكثر :- ولنفترض :-باختصار:-
عملية اعتيادية---->client يستفسر عن domain معين >الى dns server local وقتها > lookup on Dns Cache <لا شي
يتوجه السوال الان الى خادم master server بارسال الاستفسار الى الخادم الذي يوجد لديه البيانات
حول هذا الدومين < هذه كلها بعد عملية a.root/b.c.etc .ثم تتم عملية الرد المعروفة.
صورة تبين الطلب.بدون تسميم=نتيجة صحيحة وموثوقة:-


الى الان بدون تسميم :-
عملية التسمم\التلاعب----->-بعد ما تم التاكد من عدم وجود معلومات عن النطاق المطلوب في cache وبعد ما تم ارسال الاستعلام الذي اعطيناه
الى local dns الى خوادم اسماء النطاقات .وقتها راح يرد الخادم المسمم بالمعلومات الصحيحة+معلومات غير صحيحة.
//to explain > معلومات صحيحة هي المعلومات التي يرسلها الخادم لنا عندما نستفسر عن اي موقع .
//والمعلومات الغير صحيحة هي التي اضافها attacker الى المعلومات الصحيحة.بعد اقناع الخادم الرئيسي .
//وقفة تحليلية:- القصد هنا بالاقناع هو عمليات الاقناع التي تستهدف cache local والتي تسمى بهجومات cache poisoning
ولا يتدرج تحته هجومات dns poisoning لاننا في هذا الهجوم نستهدف المصدر نفسه يعني اختراق بحت ...
وهذا الاقناع يكون بعدة طرق منها السهلة التي اكتشفها Dan ومنها الصعبة التي فتح الباب عنها Dan والتي هي قيد التطوير ؟؟ الخ.
وان شاء الله اذا توفقت ساكتب مواضيع تتحدث عن التحايل والاقناع(بعدة طرق):.
الان فهمنا ان المعلومات الغير صحيحة اضافها المهاجم
صورة تبين الطلب+التسميم الذي حصل:-


يتبع---->-وقتها راح تصل لنا معلومات من dns local عن موقع اخر.وهي لتضليلنا عن استخدام الموقع المطلوب..<<تعتمد على طريقة الاستغلال.
.بعدها اكيد ان dns local راح يخزن المعلومات التي استقبلها من الخادم في السجلات المؤقتة وهنا اي شخص (محلي)< تابع لمزود الخدمة مثلا
سيقوم بارسال query الى dns local راح تستجيب لهcache المسممة وترد عليه بالمعلومات التي تم تحزينها من قبله.
see the picture to explain more


هنا ياتي دور cache poisoning وتبدا مهمتها بعد ما اصبحت مسممة\ملوثة بعمل المطلوب منها < وهي عمليات التضليل الخ...
دعونا نتعمق اكثر فاكثر :-
كل ما ذكر فوق تم في حالة وهي ان لا يوجد معلومات عن هذا النطاق في جداول الخادم او dns caching :-
فاذا وجدت هذه data in cache لن تنجح جميع طرق الهجوم التي تسمى ب cache poisoning الخ..الا بطرق اخرى:-
وقفة تحليلة لطريقة من هذه الطرق:example about this attack
//وهي ان يقوم المهاجم بالتعديل على سجل ملف الخوادم الموجودة في الجهاز نفسه(Hosts File)
كود:

//as in windows :X\win\sys32\drivers\etc\hosts
//unix-like /etc/hosts

//
وتعديل البيانات الى ما يريده المهاجم .اذا اراد تحويل,حجب,الخ اي موقع يطلب من الضحية
// for example to Zo-Dns .
//او هجومات arp poisoning -spoofing كثيرة ومتعددة .
//طيب يا احمد ممكن توضح اكثر
//دعونا ناخذ مثالنا التالي عن نظام ويندوز :ارفقت فديو"just"لتوضيح هذه العملية.ولاثراء المحتوى اكثر.
الرابط::::::::اعذروني .الفديو 46 ميجا .والمشكلة معقدة .
المهم فكرة الفديو التعديل على ملف hosts file ومن ثم التلاعب ب ip الموقع
وتحويله الى موقع اخ . وهي لها عشرات الافكار من الهجوم المستهدف الى انشاء باتش يستهدف الشبكة ويتلاعب بالملف الخ ..
--------------------------->> back to the subject
//وهنا لن تقدر ان تفعل شي ولن تعرف ما المشكلة لان المشكلة اصبحت تقبع في الهوست والسجلات الموجودة والمسئولة عن الاجهزة في الشبكة التي تتواجد بها .
//حيث سيتم تحويلك الى الموقع Zo-Dns كل ما حاولت ان تستعرض موقع اخر مثل www.dnssec.net .
//والحل اكيد بتحليل "hosts file" وتصحيحه و مسح السجلات بالكامل وتنضيف الذاكرة.
كود:

Flush DNS in Windows
`use the command `ipconfig /flushdns

..
//اذا لم تحل ايضا بالامكان تجريب الامرين
كود:

net stop dnscache :ايقاف الخدمة

كود:

net start dnscache :بدا الخدمة من جديد.

كود:

Flush DNS in Linux
`use the command `/etc/init.d/nscd restart

.
//ايضا من بابا اخر لن تفيدنا عملية `TTL` والوقت المحدد من قبل الخادم المسئول.الخ....
//لان المشكلة مثل ما قلنا locally .
//بالامكان تطوير هذه الفكرة لتؤدي الى تسميم الشبكة كلها؟؟!!او الوصول لصلاحيات اعلى تمكننا من تسميم الكاش نفسها !
او مثلا ارسال باتش يستهدف هذا الملف ويعدل فيه .او اختراق مستهدف=حسابات بنكية.الخ....من عشرات الطرق.

اذا:-الصور السابقة والفديو توضح لنا طرق الاستغلال لهذه المشكلة ..
حيث توضح لنا ان المعلومات الصحيحة تم ارسالها بشكل صحيح من الخادم المسئول ..
but+information wrong اضافها attacker الى المعلومات الصحيحة.او تم ((التلاعب بها اساسيا من المصدر الموثوق)).
طيب دعوني اوضح اكثر .. ..ان الموقع المطلوب الذي قمنا بالاستعلام عنه لم نتمكن من استعراضه بل
استعرضنا موقع اخر او بشكل متقدم صفحة اخرى...لاحظ الصورة:-


(ركز هنا--Redirection-> صفحة\موقع اخر (مزيف).يعني خطورة واضحة.حيث اننا لا نعلم ما هي هذه الصفحة وما يوجد بداخلها من برمجيات
ضارة او فايروسات .او اي شي تفكر فيه حاليا..هو صحيح توقع :-
@سرقة جلسات ومعلومات مهمة.
@تحميل فايروسات الى جهازك الشخصي.
@وجود برمجيات ضارة متنوعة وتنتهك الخصوصية.
@تحويلك الى مواقع اخرى مخترقة .او صفحات مزورة مشابهة لمواقع التي طلبتها > يؤدي الى سرقة حسابات بنكية مثلا
وهذه ما واجهتها السعودية بشدة : حسب مصادرهم يذكرون انها هجمات بخسائر مالية قليلة :لكنها (؟).<الله يعينهم.
واخرها ايضا من باب هجمات DNS تعرضت لها مصر وبشدة :- حسب مصادرهم يقولون انها قطع كوابل انترنيت في البحر :لكنها(؟)
خصم الكلام لو تابعنا الاحصائيات المختلفة والمصادر والمقالات الاخرى :يتبين لنا ان عام 2009 اعام الاختراقات من العيار الثقيل:
ونصفها تمت عن طريق البنية التحتية الاساسية والي هي Domain Name System .
"نقدر نقول:-سنة صعبة مرت على الفرق الامنية المسئولة على Domain-name system"
وهارد لك يا الاخضر <انتو السبب ههههههههه ..
but seriouslly ....This is very scary / Q_x ....
there is the much from question marks about this subject......
----
هذه المشاكل كلها من سرقة حسابات بنكية الى توهيم وتضليل المستخدم الى مواقع مشبوهة .اسبابها كثيرة
لكني على الاكثر اقدر اقول سببها الاساسي هو كون المستخدم العادي غير مؤمن بدرجة كافية لكشف مثل هذه الاعمال والهجمات .
وهذا موضوع اخر نقدر ان شاء الله نتكلم عليه ونتناقش فيه في موضوع اخر ...
-------------------------------------------------------------
---------------------------------------------------------
((problem))
ان هذه الطرق اصبحت في تكاثر حيث ان اساس المشكلة تكمن في الاجهزة والبروتكولات المستخدمة في التواصل بينها للعثور على
ip address >>site or server and pc ..أقصد بالطريقة التي تتحدث بها الاجهزة في الشبكة العنكبوتية.
خبراء الحماية لنظام اسماء النطاقات ينقسمون الى قسمين حاليا<!.
نصفهم يحذر ويخوف من نتائج هذه الهجمات والتحايل الذي يصل الى مرحلة يهدد المستخدم والشبكة العنكبوتية باكملها.
والنصف الاخر لا يعيرون انتباه الى هذه المشاكل ويذكرون انها ستنتهي تدريجيا .مع تطور الحماية < اي تطور الله يهديكم ...
لكن بوجهة نظر شخصية وبخبرة بسيطة في هذا المجال الذي ادرجته على لائحتي من الاولويات.
ان المشكلة كبيرة ولن تنتهي ابدا .لكن بالامكان تقليلها وهذا على لسان مجتمع ICANN الخ:-وتم طرح الكثير من الاقتراحات:-
# توثيق الاتصالات قبل السماح بإجراء تغييرات على سجلاتNS
# منع التغير الآلي في سجل NS .
# تنفيذ حد أدنى ل "مدة الاستمرار"(TTL) لاستجابات طلب خادم الاسم.
#تحديد عناوين(IP)محدد لquery/answer لخوادم Dns .
# تحديد عدد خوادم الاسم التي يمكن تحديدها لنطاق محدد.
# تحديد عدد التغييرات في عنوان سجل (A)التي يمكن إجراؤها في إطار فاصل زمني محدد على خوادم الاسم المرتبطة بنطاق مُسجل.
# وغيرها الكثير من مراجعة (53) الى زيادة قوة التشفير وتوثيق مصادر المعلومات وعمليات الوصول ...الخ
تم العمل على بعضها .بالامكان مراجعة http://www.icann.org للمعرفة اكثر .
وتم عقد الكثير من الدراسات والتقارير حول هذه المشاكل من قبل اللجنة الاستشارية للامان والاستقرار(SSAC)الخ...
ايضا تم العمل على كثير من النقاط لحماية خوادم نظام اسماء النطاقات من هجمات dns من قبل DNS Security Extensions
مع مساعدة الكثير من الشركات الامنية بالامكان مراجعة http://www.dnssec.net للمعرفة اكثر .
وايضا باالامكان الاطلاع على بعض ادوات الحماية من خلال http://www.dnssec-tools.net
http://www.opendns.com/Switch
لكن بالامكان ان نقول ما دامت الحماية في تطور بالامكان ان تتطور طرق الاختراق والتحايل الى ابعد مما وصلنا اليه حاليا
--------
-----------
Conclusion
نظام اسماء النطاقات بقواعده وخوادمه وخدماته في خطر .
وليس باستطاعتنا تجاهل هذا الشي .حيث انني يوميا اقرء اكثر واكثر وبعد التجارب الفاشلة والناجحة يتضح لي انها مشكلة كبيرة.
وان هناك بعض الطرق منها البسيطة ومنها المعقدة التي ليس من استطاعتي او استطاعة الخبراء المحترفين في هذا المجال
ان يضعوها في المجتمعات وخاصة امام ×××××× kiddies وهذا ليس كما تسموه احتكار او عدم نشر العلم والمعرفة
بل هو خوفا من ان يسقط 50% من المحتوى العربي .نعم صدقني
--اكيد ان الخبراء في هذا المنتدى العزيز سيتفهمون كلامي وسيفسرونه كما هو مطروح وموضح.
بانتضار ارائكم ومناقشاتكم واضافاتكم فلا تبخلون علي ..اهم شي تصحيحكم حول اخطائي في هذا الموضوع .
حيث انكم ستفيدوني كثيرا وستفيدون االطامحين الاخرين لو طرحتو طرق او ناقشتو فيها او اي شي تكتبه ايديكم ...
the subject end
well see you next time. With the subject of another
----------------------------------------------------------
note
كل ما كتب هنا هو شي بسيط حول جزء صغير من الاخطار الكثيرة التي يواجهها DNS
بالامكان ايضا ان اشرح عن الطرق السابقة لكن بطريقة اخرى تختلف عن التي تم ذكرها؟؟ حيث سيختلف الشرح لو انني تعمقت اكثر
ودخلت بكل صغير وكبيرة .لكنني حاولت على قدر الامكان جعل الموضوع قصير ومفهوم .وليس معقد كما يجب ان يكون.
-"ايضا"كل الصور التي تم ارفاقها في الشرح هي مثال بسيط .للتوضيح اكثر.يعني لا تتخذها مرجع لجميع انواع هذ الهجوم او هذه المخاطر :::
-----------------------------------------------------------------------
Resources about/attack and protection DNS
http://www.dnssec.net/dns-threats /com/org
http://www.bind9.net
http://www.icann.org
http://www.iana.org
http://www.ccnog.org
http://www.opendns.com
كتاب "الاصطياد الالكتروني"
كتاب "نظام اسماء النطاقات :مخاطر وحلول"
don't forget google
also,please open the door about discussion subject
----------------------------------------------------
ارجو مسامحتي اذا كان هناك خطا في الموضوع من ناحية الشرح والتوضيح او الصور او الفديو:جهد شخصي
واسئل الله ان يكون الموضوع كامل لوجه الكريم.وان اكون افدتكم ولو بالشي القليل.والموضوع الكامل يكتمل بترابط الحلقات
وهذه الحلقات جاري العمل عليها .
:00001806[1]: