راقب مرور DNS وربما يمكنك التعرف على شيء مريب

سوف يستغل المجرمون أي من خدمات أو بروتوكولات الإنترنت متى ما سنحت لهم الفرصة بذلك. وفيما يلي ست علامات على الأنشطة المريبة التي يجب مراقبتها في نظام DNS.

تقع على عاتق مديري تكنولوجيا المعلومات مهمة لا تقاضون مقابل لها تتمثل في وجوب مراقبة الأجهزة والأجهزة المضيفة والشبكات للتعرف على أي علامات تدل على أنشطة مريبة. قد تكون عملية اكتشاف التسلل إلى المضيف وحماية النقاط النهائية من التدابير الأمنية التي "يجب الاعتماد عليها" بالنسبة للعديد من المؤسسات، لكن ليس هناك ما يضاهي مراقبة مرور بيانات DNS إذا كنت تتطلع إلى الكشف عن البرامج الضارةRAT، أو rootkit، أو APT، أو برامج ضارة أخرى تستوطن في الشبكات الخاصة بك.

لماذا DNS؟
سوف يستغل المجرمون أي من خدمات أو بروتوكولات الإنترنت متى ما سنحت لهم الفرصة بذلك، ويشمل ذلك نظام DNS. حيث يقومون بتسجيل أسماء نطاقات تستخدم لمرة واحدة من أجل حملات عشوائية وإدارة شبكة الروبوت botnet، كما يستخدمون نطاقات مشبوهة لاستضافة تنزيلات التصيد أو البرامج الضارة. ويقومون كذلك بحقن الاستعلامات الضارة لاستغلال خوادم الاسم أو تعطيل حل الأسماء. وتقوم بحقن ردود خادعة لإفساد نطاقات الذاكرة المؤقتة لوحدة الحل أو تعظيم هجمات رفض الخدمة. كما أنهم يستخدمون DNS كقناة تحويل لإنقاذ البيانات أو تحديثات البرامج الضارة.

وقد لا تتمكن أنت من مجاراة كل عملية استغلال جديدة لنظام DNS لكن بإمكانك أن تكون استباقيًا من خلال استخدام جدران حماية، أو نظم كشف التسلل IDS للشبكات، أو وحدات حل الأسماء من أجل الإبلاغ عن مؤشرات محددة لنشاط DNS المريب.

ما الذي تبحث عنه؟
يقدم تشكيل استعلامات DNS أو أنماط مرور البيانات علامات على أن أنشطة مريبة أو ضارة تنبعث من الشبكات الخاصة بك. على سبيل المثال:

استعلامات DNS من عناوين المصادر الخادعة أو العناوين غير المرخصة للاستخدام لكنها لا تقوم بلفترة الخروج لاسيما عند ملاحظتها بالتزامن مع حجم استعلامات DNS المرتفع في العادة أو استعلامات DNS التي تستخدم TCP بدلاً من UDP فقد تشير إلى أن الأجهزة المضيفة المصابة على شبكتك مشاركة في هجمات الحرمان من الخدمات DDoS.

أما استعلامات DNS ذات الشكل غير الصحيح فقد تكون دليلاً على هجوم استغلال الضعف ضد خادم الاسم أو وحدة الحل والتي يتم التعرف عليها من خلال عنوان IP الوجهة. كما يمكن أيضًا أن تشير إلى أن لديك أجهزة لا تعمل بالشكل الصحيح على شبكتك. وقد تعود أسباب المشكلات من هذه الأنواع إلى وجود برامج ضارة أو محاولات غير ناجحة في التخلص من البرامج الضارة.

استعلامات DNS التي تطلب حل الأسماء الخاصة بالنطاقات الضارة المعروفة أو الأسماء ذات الصفات المعروفة لخوارزميات استخراج النطاقات (DGA) المرتبطة بشبكات الروبوت botnet والاستعلامات لوحدات الحل التي لم تقم أنت بالترخيص لاستخدامها في العديد من الحالات عبارة عن مؤشرات نهائية غير مقصودة على إصابة الأجهزة المضيفة على الشبكات الخاصة بك.

كما توفر ردود DNS أيضًا علامات على أن بيانات مريبة أو ضارة يجري تسليمها إلى أجهزة مضيفة على الشبكات الخاصة بك. على سبيل المثال، طول ردود DNS أو الصفات التركيبية لها قد تكشف عن نية ضارة أو إجرامية. على سبيل المثال، رسائل الرد كبيرة بشكل غير عادي (هجوم التكبير) أو الرد أو الأقسام الإضافية في رسالة الرد ضارة (إفساد الذاكرة المؤقتة، قناة تحويل).

قد تكون ردود DNS على محفظة النطاقات الخاصة بك التي تنحل إلى عناوين IP تكون مختلفة عن ما تقوم أنت بنشره في المناطق المرخصة الخاصة بك، والردود من خوادم الاسم التي لم ترخص لها استضافة منطقتك، والردود الإيجابية على الأسماء في المناطق الخاصة بك والتي يجب أن تقوم بحل خطأ الاسم (NXDOMAIN) إشارة إلى اختطاف اسم نطاق أو حساب تسجيل أو تعديل في رد DNS.

كما أن ردود DNS من عناوين IP مريبة، على سبيل المثال؛ عناوين من مجموعات IP مخصصة لشبكة وصول ذات نطاق عريض، وظهور مرور بيانات DNS على مَنفذ غير قياسي، والعدد المرتفع في الغالب لرسائل الرد التي تقوم بحل النطاقات باستخدام أوقات حياة (TTL) قصيرة أو العدد المرتفع في الغالب للردود التي تحتوي على "خطأ في الاسم" (NXDOMAIN) فتكون في الغالب عبارة عن مؤشرات على أجهزة مضيفة مصابة وخاضعة لسيطرة شبكات الروبوت botnet وتقوم بتشغيل برامج ضارة.

هناك أشكال متعددة لمراقبة DNS قد تكشف هذه التهديدات، والعديد منها في الوقت الفعلي. وفي الجزء الثاني، فإنني أبحث في الطريقة التي يمكن من خلالها تنفيذ آليات لاكتشاف هذه التهديدات في جدران حماية الإنترنت، وذلك من خلال استخدام نظم التسلل للشبكات، أو تحليل مرور البيانات، أو بيانات السجل.

تم نشر هذا المقال في الأساس في 12 يونيو 2014 على موقع Dark Reading.