IDN സ്പൂഫിംഗ് എന്നത് തിരഞ്ഞെടുത്തവയ്ക്ക് "സമാനമായ" ഡൊമെയ്ൻ നാമങ്ങളുടെ ജനറേഷൻ ആണ്, സാധാരണയായി ആക്രമണകാരിയുടെ ഉറവിടത്തിലേക്കുള്ള ലിങ്ക് പിന്തുടരാൻ ഉപയോക്താവിനെ നിർബന്ധിക്കാൻ ഉപയോഗിക്കുന്നു. അടുത്തതായി, കൂടുതൽ നിർദ്ദിഷ്ട ആക്രമണ ഓപ്ഷൻ നോക്കാം.

ആക്രമിക്കപ്പെട്ട കമ്പനിക്ക് organisation.org ഡൊമെയ്ൻ ഉണ്ടെന്നും ഈ കമ്പനിക്കുള്ളിൽ ആന്തരിക റിസോഴ്‌സ് portal.organization.org ഉപയോഗിക്കുമെന്നും സങ്കൽപ്പിക്കുക. ആക്രമണകാരിയുടെ ലക്ഷ്യം ഉപയോക്താവിൻ്റെ ക്രെഡൻഷ്യലുകൾ നേടുക എന്നതാണ്, ഇത് ചെയ്യുന്നതിന്, അവൻ ഇ-മെയിൽ വഴിയോ കമ്പനി ഉപയോഗിക്കുന്ന മെസഞ്ചർ വഴിയോ ഒരു ലിങ്ക് അയയ്ക്കുന്നു.

അത്തരമൊരു സന്ദേശം ലഭിച്ചതിനാൽ, ലിങ്ക് തെറ്റായ സ്ഥലത്തേക്ക് എവിടെയെങ്കിലും നയിക്കുന്നത് നിങ്ങൾ ശ്രദ്ധിക്കാതിരിക്കാനുള്ള ഉയർന്ന സാധ്യതയുണ്ട്. ലിങ്കിൽ ക്ലിക്കുചെയ്‌തതിന് ശേഷം, നിങ്ങളോട് ഒരു ലോഗിൻ/പാസ്‌വേഡ് ആവശ്യപ്പെടും, താൻ ഒരു ആന്തരിക ഉറവിടത്തിലാണെന്ന് കരുതി ഇര തൻ്റെ അക്കൗണ്ട് വിവരങ്ങൾ നൽകുകയും ചെയ്യും. ഏതെങ്കിലും ജീവനക്കാരൻ്റെ സിസ്റ്റത്തിൽ വിട്ടുവീഴ്ച ചെയ്തുകൊണ്ട് ഇതിനകം തന്നെ ചുറ്റളവിൽ തുളച്ചുകയറുകയും ഇപ്പോൾ സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർ പ്രത്യേകാവകാശങ്ങൾക്കായി പോരാടുകയും ചെയ്താൽ ആക്രമണകാരിയുടെ സാധ്യത വളരെ കൂടുതലാണ്.

ഇവിടെ സമ്പൂർണ്ണ "ഫൂൾപ്രൂഫിംഗ്" കൊണ്ടുവരുന്നത് അസാധ്യമാണ്, എന്നാൽ ഒരു ഡിഎൻഎസ് അഭ്യർത്ഥന വഴി പേര് റെസല്യൂഷൻ്റെ ഘട്ടത്തിൽ ഈ ആക്രമണം തടയാൻ നിങ്ങൾക്ക് ശ്രമിക്കാം.

സംരക്ഷണത്തിനായി, തടസ്സപ്പെടുത്തിയ DNS അഭ്യർത്ഥനകളിൽ നേരിടുന്ന പേരുകൾ ഞങ്ങൾ തുടർച്ചയായി ഓർമ്മിക്കേണ്ടതുണ്ട്. കമ്പനി അതിൻ്റെ ആന്തരിക ഉറവിടങ്ങൾ ഉപയോഗിക്കുന്നു, അതിനർത്ഥം portal.organization.org എന്നതിലേക്കുള്ള അഭ്യർത്ഥനയിൽ ഞങ്ങൾ അത് വേഗത്തിൽ കണ്ടെത്തും എന്നാണ്. മുമ്പ് നേരിട്ടതിന് സമാനമായ ഒരു പേര് ഞങ്ങൾ കണ്ടുമുട്ടിയാലുടൻ, ആക്രമണകാരിയുടെ IP വിലാസത്തിന് പകരം ഒരു പിശക് നൽകി DNS പ്രതികരണം മാറ്റിസ്ഥാപിക്കാം.
"സമാനത" നിർണ്ണയിക്കുന്നതിന് എന്ത് അൽഗോരിതങ്ങൾ ഉണ്ടായിരിക്കും?

• UTS39 കൺഫ്യൂസബിൾ ഡിറ്റക്ഷൻ (http://www.unicode.org/reports/tr39/#Confusable_Detection) യൂണിക്കോഡ് വിലപ്പെട്ട ഒരു ചിഹ്ന പട്ടിക മാത്രമല്ല, മാനദണ്ഡങ്ങളുടെയും ശുപാർശകളുടെയും ഒരു കൂട്ടം കൂടിയാണ്. UTS39 ഒരു യൂണികോഡ് സ്ട്രിംഗ് നോർമലൈസേഷൻ അൽഗോരിതം നിർവചിക്കുന്നു, അതിൽ ഹോമോഗ്ലിഫുകളിൽ വ്യത്യാസമുള്ള സ്ട്രിംഗുകൾ (ഉദാഹരണത്തിന്, റഷ്യൻ "എ", ലാറ്റിൻ "എ" എന്നിവ) അതേ രൂപത്തിലേക്ക് ചുരുക്കും.
• ആന്തരിക അക്ഷരങ്ങളുടെ പുനഃക്രമീകരണം വഴി വ്യത്യാസമുള്ള വാക്കുകൾ. Organisation.org, orgainzation.org എന്നിവയെ ആശയക്കുഴപ്പത്തിലാക്കുന്നത് വളരെ എളുപ്പമാണ്
• ആദ്യ ലെവൽ ഡൊമെയ്ൻ മാറ്റിസ്ഥാപിക്കുന്നു. പേരിൻ്റെ ആദ്യ തലം സാധാരണയായി ഒരു അർത്ഥവും ഉൾക്കൊള്ളുന്നില്ല, കൂടാതെ "ഓർഗനൈസേഷൻ" കാണുന്ന ഒരു കമ്പനി ജീവനക്കാരന് .org അല്ലെങ്കിൽ .net ലെ വ്യത്യാസം അവഗണിക്കാൻ കഴിയും, എന്നിരുന്നാലും ഇവിടെ ഒഴിവാക്കലുകൾ സാധ്യമാണ്

മിക്കവാറും, കോർപ്പറേറ്റ് സെർവർ ബൈൻഡ് ചെയ്യപ്പെടില്ല, ഇത് വെബ് ഹോസ്റ്റുകൾക്കോ ​​ദാതാക്കൾക്കോ ​​ഉള്ള ഒരു സ്റ്റാൻഡേർഡാണ്, പക്ഷേ സജീവ ഡയറക്ടറിയുടെ വ്യാപകമായ ഉപയോഗം കാരണം മൈക്രോസോഫ്റ്റ് ഡിഎൻഎസ് സെർവർ. മൈക്രോസോഫ്റ്റ് ഡിഎൻഎസ് സെർവറിനായി ഒരു ഫിൽട്ടർ എഴുതുമ്പോൾ ഞാൻ നേരിട്ട ആദ്യത്തെ പ്രശ്നം ഡിഎൻഎസ് അഭ്യർത്ഥനകൾ ഫിൽട്ടർ ചെയ്യുന്നതിനുള്ള ഒരു എപിഐ കണ്ടെത്താൻ എനിക്ക് കഴിഞ്ഞില്ല എന്നതാണ്. ഈ പ്രശ്നം വ്യത്യസ്ത രീതികളിൽ പരിഹരിക്കാൻ കഴിയും, സോക്കറ്റ് എപിഐയ്ക്കായി ഞാൻ dll കുത്തിവയ്പ്പും ഒരു IAT ഹുക്കും തിരഞ്ഞെടുത്തു.

രീതിശാസ്ത്രം മനസിലാക്കാൻ, PE ഫോർമാറ്റിനെക്കുറിച്ചുള്ള അറിവ് ആവശ്യമാണ്, ഉദാഹരണത്തിന്, നിങ്ങൾക്ക് കൂടുതൽ വിശദമായി വായിക്കാം. എക്സിക്യൂട്ടബിൾ ഫയലിൽ തലക്കെട്ടുകൾ, വിഭാഗങ്ങളുടെ പട്ടിക, വിഭാഗങ്ങൾ എന്നിവ അടങ്ങിയിരിക്കുന്നു. ബൂട്ട്ലോഡർ ആപേക്ഷിക വിലാസത്തിൽ (ആപേക്ഷിക വെർച്വൽ വിലാസം - RVA) മെമ്മറിയിലേക്ക് മാപ്പ് ചെയ്യേണ്ട ഡാറ്റയുടെ ഒരു ബ്ലോക്കാണ് വിഭാഗങ്ങൾ, കൂടാതെ എല്ലാ ഉറവിടങ്ങളും കോഡും മറ്റ് ഡാറ്റയും വിഭാഗങ്ങളിൽ അടങ്ങിയിരിക്കുന്നു. ഈ ലേഖനത്തിൻ്റെ ഉദ്ദേശ്യങ്ങൾക്കായി ആപ്ലിക്കേഷന് പ്രവർത്തിക്കാൻ ആവശ്യമായ നിരവധി പട്ടികകളിലേക്കുള്ള ലിങ്കുകൾ (RVA) ഉണ്ട് - ഇറക്കുമതി പട്ടികയും കയറ്റുമതി പട്ടികയും. ഇറക്കുമതി പട്ടികയിൽ ആപ്ലിക്കേഷന് പ്രവർത്തിക്കാൻ ആവശ്യമായ ഫംഗ്‌ഷനുകളുടെ ഒരു ലിസ്റ്റ് അടങ്ങിയിരിക്കുന്നു, എന്നാൽ മറ്റ് ഫയലുകളിൽ അവ സ്ഥിതിചെയ്യുന്നു. എക്‌സ്‌പോർട്ട് ടേബിൾ എന്നത് ആ ഫയലിൽ നിന്ന് എക്‌സ്‌പോർട്ട് ചെയ്യുന്ന ഫംഗ്‌ഷനുകളുടെ ഒരു ലിസ്റ്റ് അടങ്ങുന്ന ഒരു "പിന്നിലേക്ക്" പട്ടികയാണ്, അല്ലെങ്കിൽ, എക്‌സ്‌പോർട്ട് ഫോർവേഡിംഗിൻ്റെ കാര്യത്തിൽ, ആശ്രിതത്വം പരിഹരിക്കുന്നതിനുള്ള ഫയലിൻ്റെ പേരും ഫംഗ്‌ഷൻ്റെ പേരും.

ബോറടിപ്പിക്കുന്ന CreateRemoteThread ഇല്ലാതെ ഞങ്ങൾ dll കുത്തിവയ്പ്പ് നടത്തും. PE എക്‌സ്‌പോർട്ട് ഫോർവേഡിംഗ് ഉപയോഗിക്കാൻ ഞാൻ തീരുമാനിച്ചു - ആവശ്യമുള്ള പ്രോസസ്സിലേക്ക് ലോഡുചെയ്യുന്നതിന്, ഇറക്കുമതിയിൽ നിന്നുള്ള ഏതെങ്കിലും dll-ൻ്റെ പേരിന് തുല്യമായ ഒരു പേരിൽ exe ഫയലിനൊപ്പം ഡയറക്ടറിയിൽ ഒരു dll സൃഷ്ടിക്കുമ്പോൾ ഇത് വളരെക്കാലമായി അറിയപ്പെടുന്ന ഒരു സാങ്കേതികതയാണ്. exe ഫയലിൻ്റെ പട്ടിക (പ്രധാന കാര്യം HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Control\Session Manager\KnownDLLs ഉപയോഗിക്കരുത് എന്നതാണ്). സൃഷ്ടിച്ച dll-ൽ, ടാർഗെറ്റ് dll-ൽ നിന്നുള്ള കയറ്റുമതി പട്ടിക പകർത്തി, എന്നാൽ കയറ്റുമതി ചെയ്ത ഫംഗ്ഷൻ്റെ കോഡിലേക്കുള്ള ഒരു പോയിൻ്ററിന് പകരം, "endpoint! sendto" പോലെയുള്ള ഒരു ഫോർവേഡ് സ്ട്രിംഗിലേക്ക് നിങ്ങൾ RVA എഴുതേണ്ടതുണ്ട്. %systemroot%\system32\dns.exe-ൽ സ്ഥിതി ചെയ്യുന്ന HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\DNS എന്ന സേവനമായി മൈക്രോസോഫ്റ്റ് dns സെർവർ തന്നെ നടപ്പിലാക്കുന്നു.

DNS സെർവറിലേക്കുള്ള അന്തിമ ഇഞ്ചക്ഷൻ അൽഗോരിതം ഇതുപോലെയായിരിക്കും:

• ഒരു ഡയറക്‌ടറി സൃഷ്‌ടിക്കുക %systemroot%\system32\dnsflt (മറ്റേതെങ്കിലും ഡയറക്‌ടറി സാധ്യമാണ്, system32-ൽ ഡയറക്ടറി കണ്ടെത്തേണ്ട ആവശ്യമില്ല).
• അവിടെ %systemroot%\system32\dnsapi.dll പകർത്തുക - ഇത് dns.exe എന്തെങ്കിലും ഇറക്കുമതി ചെയ്യുന്ന dll ആണ്, നിങ്ങൾക്ക് മറ്റേതെങ്കിലും "അജ്ഞാത dll" തിരഞ്ഞെടുക്കാം.
• പകർത്തിയ dll-ൻ്റെ പേര് endpoint.dll എന്ന് മാറ്റുക - ഞങ്ങൾ ഈ പേര് ഫോർവേഡ് ലൈനിൽ ഉപയോഗിക്കും.
• ഞങ്ങൾ കുത്തിവച്ച dll എടുത്ത് അതിൽ ശരിയായ കയറ്റുമതി പട്ടിക ചേർക്കുക, ഞങ്ങളുടെ dll %systemroot%\system32\dnsflt-ലേക്ക് പകർത്തുക.
• രജിസ്ട്രി കീയിൽ HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\DNS, ഇമേജ്പാത്തിലെ പുതിയ ബൈനറി വിലാസം %systemroot%\system32\dnsflt\dns.exe മാറ്റുക.
• %systemroot%\system32\dnsflt\dns.exe മുതൽ %systemroot%\system32\dns.exe വരെ ഒരു സിംലിങ്ക് സൃഷ്ടിക്കുക

എന്തുകൊണ്ടാണ് അവസാന ഘട്ടം? വിൻഡോസിന് ഒരു ബിൽറ്റ്-ഇൻ ഫയർവാൾ ഉണ്ടെന്നതാണ് വസ്തുത, സ്ഥിരസ്ഥിതിയായി, വിൻഡോസ് സെർവറിൽ %systemroot%\system32\dns.exe ആപ്ലിക്കേഷന് മാത്രമേ പോർട്ട് 53 കേൾക്കാൻ അവകാശമുള്ളൂ. നിങ്ങൾ മറ്റൊരു ഡയറക്ടറിയിൽ നിന്ന് ഇത് പ്രവർത്തിപ്പിക്കാൻ ശ്രമിക്കുകയാണെങ്കിൽ, നിങ്ങൾക്ക് നെറ്റ്‌വർക്ക് ആക്‌സസ് അവകാശങ്ങൾ ഉണ്ടാകില്ല. എന്തിനാണ് ഞാനിത് പകർത്തിയത്? മുഴുവൻ സിസ്റ്റത്തിലെയും ആഘാതം കുറയ്ക്കുന്നതിനും യഥാർത്ഥ dnsapi.dll തൊടാതിരിക്കുന്നതിനും. ഒരു ആപ്ലിക്കേഷനിലേക്ക് ഒരു സിംലിങ്ക് എങ്ങനെ സൃഷ്ടിക്കാമെന്ന് നിങ്ങൾക്കറിയാമെങ്കിൽ, നിങ്ങൾക്ക് അതിൻ്റെ നെറ്റ്‌വർക്ക് അവകാശങ്ങൾ നേടാനാകുമെന്ന് ഇത് മാറുന്നു. സ്ഥിരസ്ഥിതിയായി, സിംലിങ്കുകൾ സൃഷ്ടിക്കാൻ അഡ്മിനിസ്ട്രേറ്റർമാർക്ക് മാത്രമേ അവകാശമുള്ളൂ, എന്നാൽ ഒരു ഉപയോക്താവിന് സിംലിങ്കുകൾ സൃഷ്ടിക്കാനുള്ള അവകാശം നൽകുന്നതിലൂടെ, ബിൽറ്റ്-ഇൻ ഫയർവാൾ മറികടക്കാൻ നിങ്ങൾ അദ്ദേഹത്തിന് അവസരം നൽകുന്നുവെന്ന് കണ്ടെത്തുന്നത് വളരെ ആശ്ചര്യകരമാണ്.

DllMain-ൽ നിന്ന് പ്രോസസ്സിലേക്ക് ലോഡ് ചെയ്ത ശേഷം, നിങ്ങൾക്ക് ഒരു ത്രെഡ് സൃഷ്ടിച്ച് ഒരു ഇൻ്റർസെപ്ഷൻ സജ്ജീകരിക്കാം. ഏറ്റവും ലളിതമായ സാഹചര്യത്തിൽ, ws2_32.dll-ൽ നിന്നുള്ള sendto ഫംഗ്‌ഷൻ വഴി പോർട്ട് 53-ൽ നിന്ന് UDP പാക്കറ്റ് അയച്ചുകൊണ്ട് ഞങ്ങളുടെ dns സേവനം ക്ലയൻ്റിനോട് പേരിൻ്റെ IP വിലാസം പറയും. പ്രതികരണം വളരെ വലുതാണെങ്കിൽ TCP പോർട്ട് 53 ഉപയോഗിക്കാമെന്ന് സ്റ്റാൻഡേർഡ് നിർദ്ദേശിക്കുന്നു, കൂടാതെ ഈ സാഹചര്യത്തിൽ sendto തടസ്സപ്പെടുത്തുന്നത് ഉപയോഗശൂന്യമായിരിക്കും. എന്നിരുന്നാലും, tcp ഉപയോഗിച്ച് സമാനമായ രീതിയിൽ കേസ് കൈകാര്യം ചെയ്യാൻ കഴിയും, എന്നിരുന്നാലും ഇത് കൂടുതൽ അധ്വാനം ആവശ്യമാണ്. ഇപ്പോൾ, യുഡിപിയുടെ ഏറ്റവും ലളിതമായ കേസ് ഞാൻ നിങ്ങളോട് പറയും. അതിനാൽ dns.exe-ലെ കോഡ് ws2_32.dll-ൽ നിന്ന് sendto ഫംഗ്‌ഷൻ ഇറക്കുമതി ചെയ്യുമെന്നും DNS അഭ്യർത്ഥനയോട് പ്രതികരിക്കാൻ അത് ഉപയോഗിക്കുമെന്നും ഞങ്ങൾക്കറിയാം. ഫംഗ്‌ഷനുകൾ തടസ്സപ്പെടുത്തുന്നതിന് ധാരാളം വ്യത്യസ്ത മാർഗങ്ങളുണ്ട്, ക്ലാസിക് ഒന്ന് സ്‌പ്ലിക്കിംഗ് ആണ്, അതിൻ്റെ ഫംഗ്‌ഷനിൽ ആദ്യത്തെ sendto നിർദ്ദേശങ്ങൾ jmp ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കുമ്പോൾ, അത് പൂർത്തിയാക്കിയ ശേഷം, മുമ്പ് സംരക്ഷിച്ച sendto നിർദ്ദേശങ്ങളിലേക്കും തുടർന്ന് ഉള്ളിലേക്കും ഒരു മാറ്റം സംഭവിക്കുന്നു. sendto ഫംഗ്‌ഷൻ. ഒരു ഇറക്കുമതി ടേബിളിന് പകരം sendto എന്ന് വിളിക്കാൻ GetProcAddress ഉപയോഗിച്ചാലും സ്‌പ്ലിക്കിംഗ് പ്രവർത്തിക്കും, എന്നാൽ ഒരു ഇറക്കുമതി പട്ടികയാണ് ഉപയോഗിക്കുന്നതെങ്കിൽ, സ്‌പ്ലിക്കിംഗിന് പകരം IAT ഹുക്ക് ഉപയോഗിക്കുന്നത് എളുപ്പമാണ്. ഇത് ചെയ്യുന്നതിന്, നിങ്ങൾ ഡൗൺലോഡ് ചെയ്ത dns.exe ഇമേജിൽ ഇറക്കുമതി പട്ടിക കണ്ടെത്തേണ്ടതുണ്ട്. ടേബിളിന് തന്നെ കുറച്ച് ആശയക്കുഴപ്പമുണ്ടാക്കുന്ന ഘടനയുണ്ട്, വിശദാംശങ്ങൾക്ക് നിങ്ങൾ PE ഫോർമാറ്റിൻ്റെ വിവരണത്തിലേക്ക് പോകേണ്ടതുണ്ട്.

പ്രധാന കാര്യം, ഇമേജ് ലോഡ് ചെയ്യുന്ന പ്രക്രിയയിൽ, ഇറക്കുമതി ടേബിളിൽ sendto ഫംഗ്ഷൻ്റെ തുടക്കത്തിലേക്ക് സിസ്റ്റം ഒരു പോയിൻ്റർ എഴുതും എന്നതാണ്. ഇതിനർത്ഥം, ഒരു sendto കോൾ തടസ്സപ്പെടുത്തുന്നതിന്, ഇറക്കുമതി പട്ടികയിലെ യഥാർത്ഥ sendto-യുടെ വിലാസം നിങ്ങളുടെ ഫംഗ്‌ഷൻ്റെ വിലാസം ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കേണ്ടതുണ്ട്.

അതിനാൽ, ഞങ്ങൾ ഒരു ഇൻ്റർസെപ്ഷൻ സജ്ജീകരിച്ച് ഡാറ്റ സ്വീകരിക്കാൻ തുടങ്ങി. sendto ഫംഗ്‌ഷൻ പ്രോട്ടോടൈപ്പ് ഇതുപോലെ കാണപ്പെടുന്നു:

Int sendto(_In_ SOCKET s, _In_ const char *buf, _In_ int len, _In_ int flags, _In_ const struct sockaddr *to, _In_ int tolen);
s എന്നത് പോർട്ട് 53-ലെ സോക്കറ്റാണെങ്കിൽ, ബഫ് പോയിൻ്ററിൽ ലെനിൻ്റെ dns പ്രതികരണം അടങ്ങിയിരിക്കും. ഫോർമാറ്റ് തന്നെ RFC1035 ൽ വിവരിച്ചിരിക്കുന്നു, താൽപ്പര്യമുള്ള ഡാറ്റ ലഭിക്കുന്നതിന് എന്താണ് ചെയ്യേണ്ടതെന്ന് ഞാൻ ചുരുക്കമായി വിവരിക്കും.

സ്റ്റാൻഡേർഡിലെ സന്ദേശ ഘടന ഇനിപ്പറയുന്ന രീതിയിൽ വിവരിച്ചിരിക്കുന്നു:

തലക്കെട്ടിൽ ആവശ്യമായ വിവരങ്ങൾ അടങ്ങിയിരിക്കുന്നു: സന്ദേശ തരം, പിശക് കോഡ്, വിഭാഗങ്ങളിലെ ഘടകങ്ങളുടെ എണ്ണം. തലക്കെട്ട് തന്നെ ഇതുപോലെ കാണപ്പെടുന്നു:

DNS_HEADER (uint16_t id; // ഐഡൻ്റിഫിക്കേഷൻ നമ്പർ uint8_t rd: 1; // ആവർത്തനത്തിന് ആവശ്യമുള്ള uint8_t tc: 1; // വെട്ടിച്ചുരുക്കിയ സന്ദേശം uint8_t aa: 1; // ആധികാരികമായ ഉത്തരം uint8_t4 ഉദ്ദേശ്യത്തിൻ്റെ ഉദ്ദേശ്യത്തിൽ; 1; // ചോദ്യം uint8_t ra: 1 അധികാര എൻട്രികളുടെ എണ്ണം uint16_t add_count);
ഉത്തരം ലഭിക്കാൻ ചോദ്യ വിഭാഗം വേർപെടുത്തേണ്ടി വരും. തലക്കെട്ടിൽ (q_count) സൂചിപ്പിച്ചിരിക്കുന്ന ബ്ലോക്കുകളുടെ എണ്ണം ഈ വിഭാഗത്തിൽ തന്നെ അടങ്ങിയിരിക്കുന്നു. ഓരോ ബ്ലോക്കിലും ഒരു പേര്, തരം, അഭ്യർത്ഥന ക്ലാസ് എന്നിവ അടങ്ങിയിരിക്കുന്നു. സ്ട്രിംഗുകളുടെ ഒരു ശ്രേണിയായി പേര് എൻകോഡ് ചെയ്‌തിരിക്കുന്നു, ഓരോന്നും സ്ട്രിംഗിൻ്റെ നീളമുള്ള ഒരു ബൈറ്റിൽ ആരംഭിക്കുന്നു. അവസാനം പൂജ്യം നീളമുള്ള ഒരു സ്ട്രിംഗ് ഉണ്ട്. ഉദാഹരണത്തിന്, homedomain2008.ru എന്ന പേര് ഇതുപോലെ കാണപ്പെടും:

ഉത്തര വിഭാഗവും സമാനമായി കാണപ്പെടുന്നു: ബ്ലോക്കിൽ ഒരു പേര്, തരം, ക്ലാസ്, ttl, അധിക ഡാറ്റ എന്നിവ അടങ്ങിയിരിക്കുന്നു. ഐപി വിലാസം ആഡിൽ ഉണ്ടായിരിക്കും. ഡാറ്റ. പേര് പാഴ്‌സ് ചെയ്യുമ്പോൾ മറ്റൊരു ബുദ്ധിമുട്ട് ഉണ്ടാകുന്നു. പ്രത്യക്ഷത്തിൽ, സന്ദേശത്തിൻ്റെ വലുപ്പം കുറയ്ക്കുന്നതിന്, ലേബലിൻ്റെ ദൈർഘ്യത്തിന് പകരം, നിങ്ങൾക്ക് മറ്റൊരു ഡാറ്റ ഏരിയയിലേക്കുള്ള ഒരു ലിങ്ക് കണ്ടെത്താനാകും. ഇത് ഇനിപ്പറയുന്ന രീതിയിൽ എൻകോഡ് ചെയ്‌തിരിക്കുന്നു: നീളത്തിൻ്റെ ഏറ്റവും പ്രധാനപ്പെട്ട 2 ബിറ്റുകൾ 11 ന് തുല്യമാണെങ്കിൽ, അടുത്ത ബൈറ്റും അതുപോലെ തന്നെ ഏറ്റവും കുറഞ്ഞ പ്രാധാന്യമുള്ള ദൈർഘ്യമുള്ള ബിറ്റുകളും ബൈറ്റുകളുടെ തുടക്കവുമായി താരതമ്യപ്പെടുത്തുമ്പോൾ ഓഫ്‌സെറ്റായി വ്യാഖ്യാനിക്കണം സന്ദേശം. പേരിൻ്റെ കൂടുതൽ പാഴ്‌സിംഗ് ഈ ഓഫ്‌സെറ്റിലൂടെ കടന്നുപോകണം.

അതിനാൽ, ആവശ്യമായ API ഞങ്ങൾ തടഞ്ഞു, DNS പ്രതികരണം പാഴ്‌സ് ചെയ്‌തു, ഇപ്പോൾ ഞങ്ങൾ ഒരു തീരുമാനമെടുക്കേണ്ടതുണ്ട്: ഈ പ്രതികരണം കൂടുതൽ ഒഴിവാക്കുക അല്ലെങ്കിൽ ഒരു പിശക് നൽകുക. ഡാറ്റാബേസിൽ ഇതുവരെ ഇല്ലാത്ത ഓരോ പേരിനും, അത് "സംശയാസ്പദമാണോ" എന്ന് നിങ്ങൾ പ്രതികരണത്തിൽ നിന്ന് പരിശോധിക്കേണ്ടതുണ്ട്.
യൂണിക്കോഡ് ടെക്നിക്കൽ സ്റ്റാൻഡേർഡ് tr39-ൽ നിന്നുള്ള അസ്ഥികൂടത്തിൻ്റെ പ്രവർത്തനത്തിൻ്റെ ഫലം ഡാറ്റാബേസിൽ നിന്നുള്ള ഏതെങ്കിലും പേരുകളുടെ ഫലവുമായി പൊരുത്തപ്പെടുന്ന പേരുകൾ അല്ലെങ്കിൽ ആന്തരിക അക്ഷരങ്ങൾ പുനഃക്രമീകരിക്കുന്നതിലൂടെ ഡാറ്റാബേസിൽ ഉള്ളതിൽ നിന്ന് വ്യത്യസ്തമായ പേരുകൾ ഞങ്ങൾ "സംശയാസ്പദമായി" പരിഗണിക്കും. . പരിശോധനകൾ നടപ്പിലാക്കാൻ, ഞങ്ങൾ 2 ടേബിളുകൾ സംഭരിക്കും. ആദ്യത്തേത് ഡാറ്റാബേസിൽ നിന്നുള്ള എല്ലാ പേരുകൾക്കുമുള്ള അസ്ഥികൂട ഫലങ്ങൾ ഉൾക്കൊള്ളും, രണ്ടാമത്തെ പട്ടികയിൽ, ആദ്യ ലെവലിൽ ഒഴികെയുള്ള ഓരോ ലേബലിൽ നിന്നും ആദ്യത്തേയും അവസാനത്തേയും പ്രതീകങ്ങൾ നീക്കംചെയ്ത് ബാക്കിയുള്ളവ അടുക്കി ഡാറ്റാബേസ് വരികളിൽ നിന്ന് ലഭിച്ച വരികൾ ഞങ്ങൾ എഴുതും. ഓരോ ലേബലിൻ്റെയും പ്രതീകങ്ങൾ. ഇപ്പോൾ, രണ്ട് പട്ടികകളിൽ ഒന്നിൽ ഒരു പുതിയ പേര് ഉൾപ്പെടുത്തിയാൽ, ഞങ്ങൾ അത് സംശയാസ്പദമായി കണക്കാക്കുന്നു.

രണ്ട് സ്ട്രിംഗുകളുടെ സമാനത നിർണ്ണയിക്കുക എന്നതാണ് അസ്ഥികൂടത്തിൻ്റെ പ്രവർത്തനത്തിൻ്റെ ലക്ഷ്യം, ഇതിനായി ഓരോ സ്ട്രിംഗിനും പ്രതീകങ്ങൾ സാധാരണമാക്കുന്നു. ഉദാഹരണത്തിന്, Xlœ Xloe ആയി പരിവർത്തനം ചെയ്യപ്പെടും, അതിനാൽ, ഫംഗ്‌ഷൻ്റെ ഫലം താരതമ്യം ചെയ്യുന്നതിലൂടെ, നിങ്ങൾക്ക് യൂണികോഡ് സ്ട്രിംഗുകളുടെ സമാനത നിർണ്ണയിക്കാനാകും.

മുകളിൽ പറഞ്ഞവ നടപ്പിലാക്കുന്നതിൻ്റെ ഒരു ഉദാഹരണം github-ൽ കാണാം.
വ്യക്തമായും, വിവരിച്ച പരിഹാരത്തിന് പ്രായോഗികമായി സാധാരണ പരിരക്ഷ നൽകാൻ കഴിയില്ല, കാരണം തടസ്സപ്പെടുത്തലിലെ ചെറിയ സാങ്കേതിക പ്രശ്നങ്ങൾക്ക് പുറമേ, “സമാനമായ” പേരുകൾ കണ്ടെത്തുന്നതിൽ ഇതിലും വലിയ പ്രശ്നമുണ്ട്. കൈകാര്യം ചെയ്യുന്നത് നന്നായിരിക്കും:

• ക്രമമാറ്റങ്ങളുടെയും ഹോമോഗ്ലിഫുകളുടെയും സംയോജനം.
• അസ്ഥികൂടം കണക്കിലെടുക്കാത്ത പ്രതീകങ്ങൾ ചേർക്കുന്നു.
• UTS tr39 അസ്ഥികൂടത്തിൽ മാത്രമായി പരിമിതപ്പെടുത്തിയിട്ടില്ല;
• ജാപ്പനീസ് ഫുൾ-വിഡ്ത്ത് ഡോട്ടും മറ്റ് ലേബൽ സെപ്പറേറ്ററും.
• കൂടാതെ അത്തരം അത്ഭുതകരമായ കാര്യങ്ങൾ

നിയമാനുസൃത സെർവറുകളിൽ നിന്ന് വ്യാജമായവയിലേക്ക് ട്രാഫിക് റീഡയറക്‌ടുചെയ്യുന്നതിന് ഒരു DNS സെർവറിലെ സിസ്റ്റം കേടുപാടുകൾ ചൂഷണം ചെയ്യുന്ന ഒരു തരം സൈബർ ആക്രമണമാണ് DNS വിഷബാധ അല്ലെങ്കിൽ DNS സ്പൂഫിംഗ്.

DNS വിഷബാധ അല്ലെങ്കിൽ DNS സ്പൂഫിംഗ് എങ്ങനെ പ്രവർത്തിക്കുന്നു

DNS കാഷെ വിഷബാധ കോഡ് പലപ്പോഴും സ്പാം സന്ദേശങ്ങളിൽ അയച്ച URL-കളിൽ കാണപ്പെടുന്നു. ഈ സന്ദേശങ്ങളിൽ, ആക്രമണകാരികൾ ഉപയോക്താക്കളെ ഭയപ്പെടുത്താൻ ശ്രമിക്കുകയും അതുവഴി അറ്റാച്ചുചെയ്ത ലിങ്കിൽ ക്ലിക്ക് ചെയ്യാൻ അവരെ നിർബന്ധിക്കുകയും ചെയ്യുന്നു, അത് അവരുടെ കമ്പ്യൂട്ടറിനെ ബാധിക്കും. ഇമെയിലിലും സംശയാസ്പദമായ വെബ്‌സൈറ്റുകളിലും ഉള്ള ബാനറുകൾക്കും ചിത്രങ്ങൾക്കും ഈ കോഡിലേക്ക് ഉപയോക്താക്കളെ റീഡയറക്‌ടുചെയ്യാനും കഴിയും. ഒരിക്കൽ രോഗം ബാധിച്ചാൽ, കമ്പ്യൂട്ടറുകൾ യഥാർത്ഥ വെബ് പേജുകളെ അനുകരിക്കുന്ന വ്യാജ സൈറ്റുകളിലേക്ക് ഉപയോക്താക്കളെ റീഡയറക്ട് ചെയ്യും, അതുവഴി സ്പൈവെയർ, കീലോഗറുകൾ അല്ലെങ്കിൽ വേമുകൾ പോലുള്ള അപകടസാധ്യതകൾ അവരെ തുറന്നുകാട്ടുന്നു.

അപകടസാധ്യതകൾ

DNS വിഷബാധ ഡാറ്റ മോഷണം മുതൽ വിവിധ അപകടസാധ്യതകൾ ഉണ്ടാക്കുന്നു. ബാങ്കുകളുടെയും ജനപ്രിയ ഓൺലൈൻ സ്റ്റോറുകളുടെയും വെബ്‌സൈറ്റുകൾ എളുപ്പത്തിൽ കബളിപ്പിക്കപ്പെടുന്നു, അതായത് ഏതെങ്കിലും പാസ്‌വേഡ്, ക്രെഡിറ്റ് കാർഡ് അല്ലെങ്കിൽ വ്യക്തിഗത വിവരങ്ങൾ എന്നിവ അപഹരിക്കപ്പെടാം. ഐടി സുരക്ഷാ സേവന ദാതാക്കളുടെ വെബ്‌സൈറ്റുകൾ കബളിപ്പിക്കപ്പെട്ടതാണെങ്കിൽ, സുരക്ഷാ സംവിധാനങ്ങൾക്ക് നിയമാനുസൃതമായ അപ്‌ഡേറ്റുകൾ ലഭിക്കാത്തതിനാൽ, വൈറസുകളോ ട്രോജനുകളോ ഉള്ള അണുബാധ പോലുള്ള അധിക അപകടസാധ്യതകൾക്ക് ഉപയോക്താവിൻ്റെ കമ്പ്യൂട്ടർ വിധേയമായേക്കാം. അവസാനമായി, ഡിഎൻഎസ് കാഷെ വിഷബാധ പരിഹരിക്കുന്നത് വളരെ ബുദ്ധിമുട്ടാണ്, കാരണം രോഗബാധിതമായ സെർവർ വൃത്തിയാക്കുന്നത് പ്രശ്‌നം ഇല്ലാതാക്കില്ല, കൂടാതെ വിട്ടുവീഴ്ച ചെയ്ത സെർവറുമായി ബന്ധിപ്പിക്കുന്ന കമ്പ്യൂട്ടറുകൾ വൃത്തിയാക്കുന്നത് അവ വീണ്ടും ബാധിക്കാൻ ഇടയാക്കും. ആവശ്യമെങ്കിൽ, ഉപയോക്താക്കൾക്ക് അവരുടെ DNS കാഷെ മായ്‌ക്കുന്നതിലൂടെ പ്രശ്നം പരിഹരിക്കാനാകും.

DNS വിഷബാധ തടയാൻ, ഉപയോക്താക്കൾ അജ്ഞാത ലിങ്കുകളിൽ ക്ലിക്ക് ചെയ്യുന്നത് ഒഴിവാക്കുകയും ക്ഷുദ്രവെയറുകൾക്കായി അവരുടെ കമ്പ്യൂട്ടർ പതിവായി സ്കാൻ ചെയ്യുകയും വേണം. നിങ്ങളുടെ കമ്പ്യൂട്ടറിൽ ഇൻസ്‌റ്റാൾ ചെയ്‌തിരിക്കുന്ന പ്രോഗ്രാം ഉപയോഗിച്ച് എല്ലായ്‌പ്പോഴും ഇത് ചെയ്യുക, ഓൺലൈൻ പതിപ്പ് അല്ല, അത് കബളിപ്പിക്കാനും കഴിയും.

യഥാർത്ഥം: സൈബർ ആക്രമണങ്ങൾ വിശദീകരിച്ചു: DNS അധിനിവേശങ്ങൾ
രചയിതാവ്: പ്രശാന്ത് ഫടക്
പ്രസിദ്ധീകരിച്ച തീയതി: ഫെബ്രുവരി 22, 2012
പരിഭാഷ: എ പാനിൻ
വിവർത്തന തീയതി: ഡിസംബർ 8, 2012

അപകീർത്തിപ്പെടുത്തപ്പെട്ട സൈറ്റുകൾ ഞങ്ങൾ പലപ്പോഴും കാണാറുണ്ട്, പ്രധാന പേജുകൾ ആക്രമണകാരികളാൽ മാറ്റിസ്ഥാപിക്കപ്പെട്ടിരിക്കുന്നു. ഹാക്കർമാർ എങ്ങനെയാണ് ഇത്തരം ആക്രമണങ്ങൾ നടത്തുന്നത്, അവരിൽ നിന്ന് നമ്മുടെ നെറ്റ്‌വർക്ക് ഇൻഫ്രാസ്ട്രക്ചറിനെ എങ്ങനെ സംരക്ഷിക്കാം? ആക്രമണകാരികൾക്ക് ഡിഎൻഎസിൽ (ഡൊമെയ്ൻ നെയിം സിസ്റ്റം) എങ്ങനെ ഇടപെടാൻ കഴിയുമെന്ന് ഈ ലേഖനം വിശദീകരിക്കുന്നു. DNS ആക്രമണങ്ങൾ സാങ്കേതികമായി സങ്കീർണ്ണവും നെറ്റ്‌വർക്കിനും വെബ് ഇൻഫ്രാസ്ട്രക്ചറിനും അപകടകരമാണ്. നെറ്റ്‌വർക്ക് അഡ്‌മിനിസ്‌ട്രേറ്റർമാർ ഇത്തരത്തിലുള്ള ആക്രമണത്തെക്കുറിച്ച് ബോധവാന്മാരായിരിക്കണം കൂടാതെ അവർ പരിപാലിക്കുന്ന ഇൻഫ്രാസ്ട്രക്ചറിൻ്റെ സുരക്ഷ ഉറപ്പാക്കാൻ സാധ്യമായ എല്ലാ നടപടികളും സ്വീകരിക്കണം.

നമുക്കറിയാവുന്നതുപോലെ, ഒരു വ്യക്തിക്ക് സൈറ്റുകൾ ആക്‌സസ് ചെയ്യുന്നതിന് നിരവധി ഐപി വിലാസങ്ങൾ ഓർമ്മിക്കാൻ കഴിയില്ല എന്ന വസ്തുതയാണ് ഡിഎൻഎസിൻ്റെ അസ്തിത്വത്തിൻ്റെ കാരണം, എന്നാൽ അക്ഷരങ്ങളും അക്കങ്ങളും അടങ്ങിയ സൈറ്റിൻ്റെ പേരുകൾ അയാൾക്ക് എളുപ്പത്തിൽ ഓർമ്മിക്കാൻ കഴിയും. ആധുനിക കാലത്ത് സിസ്റ്റത്തിൻ്റെ ചില സവിശേഷതകളിലേക്ക് നയിച്ച, സൗഹൃദമുള്ള ആളുകൾ ഇൻ്റർനെറ്റ് ഉപയോഗിച്ചിരുന്ന ഒരു കാലഘട്ടത്തിലാണ് DNS സിസ്റ്റം രൂപകൽപ്പന ചെയ്തത്.

നെറ്റ്‌വർക്ക് നെയിം റെസലൂഷൻ സേവനത്തിൻ്റെ അടിസ്ഥാന തത്വങ്ങൾ ചിത്രം 1 കാണിക്കുന്നു. ഒരു ആപ്ലിക്കേഷൻ (ബ്രൗസർ പോലുള്ളവ) ഒരു വിദൂര സേവനത്തിലേക്ക് ഒരു കണക്ഷൻ സ്ഥാപിക്കാൻ ആഗ്രഹിക്കുമ്പോൾ, അത് ഒരു IP വിലാസത്തിനായി DNS സെർവറിനെ അന്വേഷിക്കുന്നു. ഒരു പാക്കറ്റിൻ്റെ രൂപത്തിലുള്ള ഈ അഭ്യർത്ഥന UDP പോർട്ട് നമ്പർ 53 വഴി അയയ്ക്കുന്നു, അതിനുശേഷം സെർവർ ഒരു പാക്കറ്റിൻ്റെ രൂപത്തിൽ ഒരു പ്രതികരണം നൽകുന്നു. (ഒരു UDP ഡാറ്റാഗ്രാമിൻ്റെ ഡാറ്റാ വലുപ്പം 512 ബൈറ്റുകളായി പരിമിതപ്പെടുത്തിയിരിക്കുന്നതിനാൽ, പ്രോട്ടോക്കോൾ സ്റ്റാക്ക് സ്വയമേവ TCP ഉപയോഗിക്കുകയും അഭ്യർത്ഥനകൾ നടത്തുകയും പ്രതികരണങ്ങൾ സ്വീകരിക്കുകയും ചെയ്യുന്നുവെന്ന് ഓർമ്മിക്കുക.) ക്ലയൻ്റ് പ്രതികരണം സ്വീകരിക്കുമ്പോൾ, അത് അതിൻ്റെ പ്രാദേശിക കാഷെയിലേക്ക് ഡാറ്റ ചേർക്കുന്നു. ഒരേ ഡൊമെയ്‌നിലേക്കുള്ള തുടർന്നുള്ള പ്രതികരണങ്ങൾ വേഗത്തിലാക്കുന്നു. പ്രാദേശിക കാഷെ ഇനങ്ങൾ അവയുടെ ജീവിതകാലം (TTL (Time to Live) പാരാമീറ്റർ) കാലഹരണപ്പെട്ടതിന് ശേഷം സ്വയമേവ നശിപ്പിക്കപ്പെടും.

ചിത്രം 1: ഡൊമെയ്ൻ നാമം മിഴിവ്

DNS സിസ്റ്റം A, CNAME, SOA, MX എന്നിവയും മറ്റുള്ളവയും പോലുള്ള റെക്കോർഡ് തരങ്ങൾ ഉപയോഗിക്കുന്നു. ഇത്തരത്തിലുള്ള റെക്കോർഡുകൾ വിവരിക്കുന്നത് ഈ ലേഖനത്തിൻ്റെ പരിധിക്കപ്പുറമാണെങ്കിലും, അവ എപ്പോൾ, എങ്ങനെ ഉപയോഗിക്കണം എന്നതിനെക്കുറിച്ച് സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർമാർ അറിഞ്ഞിരിക്കേണ്ടത് പ്രധാനമാണ്, കൂടാതെ സിസ്റ്റത്തിൻ്റെ ഭാവി സുരക്ഷയ്ക്കായി അവ ഉപയോഗിക്കുന്നതിന് മുമ്പ് ഗവേഷണം നടത്തുകയും വേണം. ഡിഎൻഎസ് സിസ്റ്റത്തിലെ ആക്രമണങ്ങൾ പരിശോധിക്കുന്നതിന് മുമ്പ്, നമ്മൾ രണ്ട് തരം അന്വേഷണങ്ങൾ നോക്കേണ്ടതുണ്ട് - ആവർത്തനവും ആവർത്തനവും.

• ആവർത്തന ഡിഎൻഎസ് അന്വേഷണങ്ങൾ: ഒരു ക്ലയൻ്റ് ഒരു ഡിഎൻഎസ് സെർവറിനോട് ഒരു ഡൊമെയ്‌നെക്കുറിച്ചുള്ള വിവരങ്ങൾ ആവശ്യപ്പെടുമ്പോൾ, ഡിഎൻഎസ് സെർവറിന് ആ ഡൊമെയ്‌നെക്കുറിച്ചുള്ള വിവരങ്ങൾ ഉണ്ടായിരിക്കാം അല്ലെങ്കിൽ ഇല്ലായിരിക്കാം. ഡിഎൻഎസ് സെർവറിന് ഉത്തരം ഇല്ലെങ്കിൽ, അഭ്യർത്ഥന പൂർത്തിയാക്കുന്നതിനുപകരം, ക്ലയൻ്റിലേക്ക് ആവശ്യമായ വിവരങ്ങൾ ഉണ്ടായിരിക്കാവുന്ന ഏറ്റവും ഉയർന്ന ഡിഎൻഎസ് സെർവറിൻ്റെ പേര് അത് അയയ്ക്കുന്നു. ഈ പ്രക്രിയയെ സാധാരണയായി DNS റഫറൽ എന്ന് വിളിക്കുന്നു. ക്ലയൻ്റ് അടുത്ത (നിർദ്ദിഷ്ട) സെർവറിലേക്ക് ഒരു അഭ്യർത്ഥന അയയ്ക്കുന്നു; ഇതിന് പ്രതികരണമില്ലെങ്കിൽ, അത് ക്ലയൻ്റിലേക്ക് ടോപ്പ് സെർവറിൻ്റെ പേര് അയയ്ക്കുന്നു. ക്ലയൻ്റിന് ഒരു IP വിലാസം അല്ലെങ്കിൽ അഭ്യർത്ഥന പൂർത്തിയാക്കാൻ കഴിയാത്ത ഒരു പിശക് സന്ദേശം ലഭിക്കുന്നതുവരെ ഈ പ്രക്രിയ തുടരും.
• ആവർത്തിച്ചുള്ള ഡിഎൻഎസ് അന്വേഷണങ്ങൾ: ഈ സാഹചര്യത്തിൽ, ക്ലയൻ്റ് ഡിഎൻഎസ് സെർവറിലേക്ക് നേരിട്ട് ഒരു ഡൊമെയ്ൻ നെയിം റെസല്യൂഷൻ അഭ്യർത്ഥന നടത്തുന്നതിലൂടെ പ്രക്രിയ ആരംഭിക്കുന്നു. ഡിഎൻഎസ് സെർവറിന് ഉത്തരമില്ലെങ്കിൽ, ക്ലയൻ്റിനു പേരുകൾ നൽകുന്നതിനുപകരം ഉയർന്ന തലത്തിലുള്ള സെർവറുകളുമായി ആശയവിനിമയം നടത്തുന്ന ജോലിയാണ് അത് ചെയ്യാൻ പ്രതീക്ഷിക്കുന്നത്. വീണ്ടും, അഭ്യർത്ഥനയോട് പ്രതികരിക്കാനുള്ള വിവരങ്ങൾ അപ്‌സ്ട്രീം സെർവറിന് ഇല്ലെങ്കിൽ, അത് അപ്‌സ്ട്രീം സെർവറിലേക്ക് അഭ്യർത്ഥന കൈമാറുന്നു. അഭ്യർത്ഥന റൂട്ട് ഡിഎൻഎസ് സെർവറിൽ എത്തുന്നതുവരെ ഈ പ്രക്രിയ തുടരുന്നു, അതിന് ആവശ്യമായ വിവരങ്ങളും ക്ലയൻ്റിലേക്ക് ഒരു പ്രതികരണവും തിരികെ നൽകണം, അഭ്യർത്ഥിച്ച പേര് നിലവിലില്ലെങ്കിൽ, സെർവറുകളുടെ ശൃംഖലയിൽ ക്ലയൻ്റിലേക്ക് ഒരു പിശക് സന്ദേശം തിരികെ നൽകും. ആവർത്തന രീതി പോലെയല്ല, ഒരു ആവർത്തന അന്വേഷണം ഫലം നേടുന്നതിൽ കൂടുതൽ ആക്രമണാത്മകമായി കണക്കാക്കപ്പെടുന്നു.

ആവർത്തന ചോദ്യങ്ങൾ സാധാരണയായി ഡിഎൻഎസ് സെർവറുകളാണ് ഉണ്ടാക്കുന്നത്, അതേസമയം റിക്കർസീവ് അന്വേഷണങ്ങൾ ക്ലയൻ്റുകളാണ് നടത്തുന്നത്, കാരണം ഇത്തരത്തിലുള്ള അന്വേഷണങ്ങൾ സങ്കീർണ്ണമായ ഡിഎൻഎസ് അന്വേഷണ റീഡയറക്ഷൻ പ്രോസസ്സിംഗിൻ്റെ ആവശ്യകത ഇല്ലാതാക്കുന്നു. ഒരു സിസ്റ്റത്തിൻ്റെ സുരക്ഷാ വീക്ഷണകോണിൽ നിന്ന്, അഡ്മിനിസ്ട്രേറ്റർമാർ DNS സിസ്റ്റങ്ങളുടെ അടിസ്ഥാനകാര്യങ്ങൾ മനസ്സിലാക്കേണ്ടതുണ്ട്, കാരണം ഒരു സ്ഥാപനത്തിന് ഒന്നിലധികം DNS സെർവറുകൾ പ്രവർത്തിക്കുകയും ഡാറ്റാ സ്ഥിരത നിലനിർത്താൻ സോൺ റെക്കോർഡുകൾ സമന്വയിപ്പിക്കുകയും ചെയ്യാം.

സിസ്റ്റം സേവനങ്ങൾ പുനരാരംഭിക്കാതെ തന്നെ DNS ഡാറ്റ കാലാകാലങ്ങളിൽ സമന്വയിപ്പിക്കപ്പെടുന്നു, കൂടാതെ റൂട്ട് സെർവറിൽ മാറ്റങ്ങൾ വരുത്തുമ്പോൾ, അത് സ്വയമേവ ഡൗൺസ്ട്രീം സെർവറുകളിലേക്ക് മാറ്റങ്ങൾ അയയ്ക്കുന്നു. ഡാറ്റ സമന്വയിപ്പിക്കാൻ ആവശ്യമായ സമയം ഓരോ റെക്കോർഡിൻ്റെയും ലൈഫ് ടൈം പാരാമീറ്റർ അനുസരിച്ചാണ് സജ്ജീകരിച്ചിരിക്കുന്നത്. ഭൂമിശാസ്ത്രപരമായി വിതരണം ചെയ്ത DNS സെർവറുകളുടെ കാര്യത്തിൽ, ഡാറ്റാ സമന്വയ കാലയളവ് ദിവസം മുഴുവൻ നീണ്ടുനിൽക്കും, കാരണം ചെയിനിലെ ഓരോ സെർവറുകളും അന്വേഷണ പ്രോസസ്സിംഗ് വേഗത്തിലാക്കാൻ സ്വന്തം കാഷെ ഉപയോഗിക്കുന്നു.

DNS സിസ്റ്റങ്ങളിൽ ആക്രമണം

ആപ്ലിക്കേഷനുകൾക്കും സെർവറുകൾക്കും മറ്റ് ഇൻഫ്രാസ്ട്രക്ചർ ഘടകങ്ങൾക്കുമായി സുരക്ഷാ സംവിധാനങ്ങൾ വികസിപ്പിക്കുന്നതിന് സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർമാർ ധാരാളം സമയം ചെലവഴിക്കുന്നതായി നിരീക്ഷിക്കപ്പെട്ടിട്ടുണ്ട്, എന്നാൽ നിർഭാഗ്യവശാൽ, DNS സെർവറുകളുടെ സുരക്ഷാ സംവിധാനങ്ങളെക്കുറിച്ച് അവർ മറക്കുന്നു. ചിത്രം 2 പരിഗണിക്കുക, ഇത് ഡിഎൻഎസ് സെർവറുകളിൽ സാധ്യമായ ബലഹീനതകൾ കാണിക്കുന്നു, അത് അവരെ ആക്രമണത്തിന് ഇരയാക്കുന്നു. ഡിഎൻഎസ് രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്നതിനാൽ, മിക്ക ആശയവിനിമയങ്ങളും യുഡിപിയിലൂടെ സംഭവിക്കുന്നു, ബിൽറ്റ്-ഇൻ സുരക്ഷയില്ല, ബിൽറ്റ്-ഇൻ പ്രാമാണീകരണ പിന്തുണയില്ല, ഇവയെല്ലാം മറ്റ് നെറ്റ്‌വർക്ക് സേവനങ്ങളെ അപേക്ഷിച്ച് ആക്രമണത്തിന് കൂടുതൽ സാധ്യതയുള്ളതാക്കുന്നു. ഏറ്റവും സാധാരണമായ ചില ഡിഎൻഎസ് ആക്രമണങ്ങൾ നോക്കാം.

ചിത്രം 2: DNS സെർവറുകളുടെ സാധ്യമായ ബലഹീനതകൾ

DNS കാഷെ വിഷബാധ

ഈ ആക്രമണം പേര് റെസലൂഷൻ പ്രക്രിയയെ രണ്ട് തരത്തിൽ ബാധിക്കും. ആദ്യ രീതി ഉപയോഗിച്ച്, ആക്രമണകാരി ക്ഷുദ്ര സോഫ്‌റ്റ്‌വെയർ (ഒരു റൂട്ട്കിറ്റ് അല്ലെങ്കിൽ വൈറസ്) ഇൻസ്റ്റാൾ ചെയ്യുന്നു, അത് ക്ലയൻ്റ് മെഷീനിലെ പ്രാദേശിക DNS കാഷെ നിയന്ത്രിക്കും. പ്രാദേശിക ഡിഎൻഎസ് കാഷെയിലെ എൻട്രികൾ വ്യത്യസ്ത ഐപി വിലാസങ്ങളിലേക്ക് പോയിൻ്റ് ചെയ്യുന്നതിനായി പരിഷ്കരിക്കുന്നു.

ഉദാഹരണത്തിന്, ഒരു ബ്രൗസർ http://www.cnn.com/ എന്ന വിലാസമുള്ള ഒരു സൈറ്റ് ആക്‌സസ് ചെയ്യാൻ ശ്രമിക്കുകയാണെങ്കിൽ, CNN IP വിലാസം ലഭിക്കുന്നതിന് പകരം, ആക്രമണകാരിയുടെ സോഫ്റ്റ്‌വെയർ സജ്ജീകരിച്ച ഒരു വിലാസം അത് സ്വീകരിക്കുന്നു, അത് സാധാരണയായി സ്ഥിതിചെയ്യുന്ന സൈറ്റിലേക്ക് വിരൽ ചൂണ്ടുന്നു. ആക്രമണകാരിയുടെ ഉടമസ്ഥതയിലുള്ള ഒരു സെർവറിൽ, കൂടാതെ ക്ഷുദ്രകരമായ സോഫ്‌റ്റ്‌വെയർ അല്ലെങ്കിൽ ഉപയോക്താവിന് അരോചകമായ ഒരു സന്ദേശം അടങ്ങിയിരിക്കുന്നു.

രണ്ടാമത്തെ, കൂടുതൽ അപകടകരമായ മാർഗം, ആക്രമണകാരി ഡിഎൻഎസ് സെർവറിനെ ആക്രമിക്കുകയും അതിൻ്റെ പ്രാദേശിക കാഷെ പരിഷ്കരിക്കുകയും ചെയ്യുന്നു, അതിനാൽ, ഈ സെർവർ നെയിം റെസല്യൂഷനുപയോഗിക്കുന്ന എല്ലാ സെർവറുകൾക്കും തെറ്റായ IP വിലാസങ്ങൾ ലഭിക്കും, ഇത് ആത്യന്തികമായി അവരുടെ ലംഘന പ്രവർത്തനത്തിലേക്ക് നയിക്കും. വിവരങ്ങളുടെ നഷ്ടം അല്ലെങ്കിൽ മോഷണം.

വളരെ അപൂർവമായ സന്ദർഭങ്ങളിൽ, ആക്രമണകാരികൾക്ക് റൂട്ട് DNS സെർവറിലേക്ക് ആക്സസ് നേടാനായേക്കും, അത് .com, .net, അല്ലെങ്കിൽ രാജ്യ-നിർദ്ദിഷ്ട ഡൊമെയ്ൻ നെയിം സിസ്റ്റം റെക്കോർഡുകൾ പോലുള്ള മാസ്റ്റർ റൂട്ട് ഡൊമെയ്ൻ റെക്കോർഡുകൾ സംഭരിക്കുന്നു. ഹാക്കർമാർക്ക് ഈ സെർവറിലെ റെക്കോർഡുകൾ പരിഷ്‌ക്കരിക്കാൻ കഴിയും, കൂടാതെ മറ്റ് സെർവറുകൾക്ക് പരിഷ്‌ക്കരിച്ച ഡാറ്റ സ്വയമേവ ലഭിക്കും, ഇത് വാണിജ്യ നെറ്റ്‌വർക്ക് സേവനങ്ങളുടെയും സൈറ്റുകളുടെയും ആഗോള തകർച്ചയിലേക്ക് നയിച്ചേക്കാം. അത്തരം സാഹചര്യങ്ങൾ വളരെ അപൂർവമാണെങ്കിലും, അവ സംഭവിക്കുന്നു - വളരെക്കാലം മുമ്പ്, സമാനമായ ആക്രമണം ഒരു വലിയ സോഷ്യൽ നെറ്റ്‌വർക്കിൻ്റെ പ്രവർത്തനത്തെ തടസ്സപ്പെടുത്തി.

DNS സെർവറിൻ്റെ പകരക്കാരൻ (DNS ഹൈജാക്കിംഗ്)

ഡിഎൻഎസ് സിസ്റ്റങ്ങളുടെ പ്രവർത്തനരീതി മാറ്റാനും ഈ ആക്രമണം ഉപയോഗിക്കാറുണ്ട്. ഈ സാഹചര്യത്തിൽ, ക്ലയൻ്റിൻ്റെ DNS കാഷെയിൽ മാറ്റങ്ങളൊന്നും വരുത്തിയിട്ടില്ല, എന്നാൽ ക്രമീകരണങ്ങളിൽ മാറ്റങ്ങൾ വരുത്തി, അതിനുശേഷം എല്ലാ പേര് റെസല്യൂഷൻ അഭ്യർത്ഥനകളും ആക്രമണകാരിയുടെ സ്വകാര്യ DNS സെർവറിലേക്ക് സംബോധന ചെയ്യപ്പെടും. സാധാരണഗതിയിൽ, ഈ ആക്രമണം ലക്ഷ്യം വയ്ക്കുന്നത് ഡാറ്റ മോഷ്ടിക്കുന്നതിലല്ല, മറിച്ച് ക്ലയൻ്റിൻ്റെ കമ്പ്യൂട്ടറിൽ നിന്ന് സ്ഥിതിവിവരക്കണക്ക് വിവരങ്ങൾ ശേഖരിക്കുന്നതിനാണ്. ആക്രമണകാരിയുടെ സെർവറിലേക്ക് അയച്ച എല്ലാ നെയിം റെസല്യൂഷൻ അഭ്യർത്ഥനകളും ശരിയായി പൂർത്തീകരിച്ചു, എന്നാൽ ക്ലയൻ്റ് സന്ദർശിച്ച സൈറ്റുകളെക്കുറിച്ചുള്ള വിവരങ്ങൾ ആക്രമണകാരിക്ക് ലഭിക്കും.

ക്ലയൻ്റിന് സന്ദർഭോചിതമായ പരസ്യങ്ങൾ പ്രദർശിപ്പിക്കുന്നതിന് ഈ വിവരങ്ങൾ പിന്നീട് ഉപയോഗിക്കാനാകും. ചില ഹാക്കർമാർ ഉപയോക്താക്കളെ അവരുടെ വെബ്‌സൈറ്റുകളിലേക്കോ സെർച്ച് എഞ്ചിനുകളിലേക്കോ റീഡയറക്‌ട് ചെയ്യുന്നത് പരസ്യ വരുമാനം ഉണ്ടാക്കുന്നതിനോ ഡാറ്റ മോഷ്ടിക്കാനും സോഷ്യൽ എഞ്ചിനീയറിംഗ് ടെക്‌നിക്കുകൾ ഉപയോഗിക്കാനും ഉപയോഗിക്കുന്നു. DNS-ൻ്റെ ഈ സവിശേഷത വ്യക്തിഗത നേട്ടത്തിനായി ഉപയോഗിക്കാൻ കഴിയാത്ത സന്ദർഭങ്ങളിൽ, ഉപയോക്താവ് സന്ദർശിച്ച വിഭവങ്ങളെക്കുറിച്ചുള്ള സ്ഥിതിവിവരക്കണക്കുകൾ ശേഖരിക്കുന്നതിന് നിരവധി അറിയപ്പെടുന്ന സൈറ്റുകളും ഇൻ്റർനെറ്റ് ദാതാക്കളും ഇത് ഉപയോഗിക്കുന്നു.

DNS സ്പൂഫിംഗ്

ഈ ആക്രമണം ഒരു മനുഷ്യ ഹൈജാക്കിംഗ് ആക്രമണമാണ്, അതിൽ ആക്രമണകാരി DNS സെർവർ പ്രവർത്തിക്കുന്ന നെറ്റ്‌വർക്കിൻ്റെ നിയന്ത്രണം നേടുകയും പാക്കറ്റ് സ്പൂഫിംഗ് ഉപയോഗിച്ച് ARP കാഷെ പരിഷ്‌ക്കരിക്കുകയും ചെയ്യുന്നു. MAC വിലാസ തലത്തിൽ നെറ്റ്‌വർക്കിൻ്റെ നിയന്ത്രണം ലഭിച്ചുകഴിഞ്ഞാൽ, ആക്രമണകാരി DNS സെർവറിൻ്റെ IP വിലാസം കണ്ടെത്തുകയും ആ സെർവറിനായി ഉദ്ദേശിച്ചിട്ടുള്ള അന്വേഷണങ്ങൾ നിരീക്ഷിക്കുകയും പരിഷ്‌ക്കരിക്കുകയും ചെയ്യുന്നു.

നെറ്റ്‌വർക്കിൽ നിന്നുള്ള എല്ലാ അഭ്യർത്ഥനകളും ആക്രമണകാരിയുടെ കമ്പ്യൂട്ടറിലൂടെ കടന്നുപോകുകയും യഥാർത്ഥ DNS സെർവറിലേക്ക് എത്തുകയും ചെയ്യുന്നു. ഈ ആക്രമണം ഗുരുതരമായ പ്രത്യാഘാതങ്ങൾ ഉണ്ടാക്കും, കാരണം നെറ്റ്‌വർക്കിലെ എല്ലാ കമ്പ്യൂട്ടറുകളും ആക്രമണത്തിൻ്റെ വസ്തുത ഒരു തരത്തിലും രജിസ്റ്റർ ചെയ്യില്ല, മാത്രമല്ല ആക്രമണകാരിയുടെ കമ്പ്യൂട്ടറിൻ്റെ വിലാസത്തിലേക്ക് എല്ലാ DNS അഭ്യർത്ഥനകളും അയയ്ക്കുകയും ചെയ്യും.

ഈ ആക്രമണത്തിന് ഡിഎൻഎസ് ഐഡി സ്പൂഫിംഗ് എന്നൊരു ബദൽ മാർഗമുണ്ട്. ഓരോ ഡിഎൻഎസ് അഭ്യർത്ഥനയ്ക്കും പ്രതികരണത്തിനും ഒരേ സമയം ഡിഎൻഎസ് സെർവറിലേക്ക് അയച്ച അഭ്യർത്ഥനകൾ തമ്മിൽ വേർതിരിച്ചറിയാൻ രൂപകൽപ്പന ചെയ്ത തനത് ഐഡൻ്റിഫയറുകൾ ഉണ്ട്. ഈ അദ്വിതീയ ഐഡൻ്റിഫയറുകൾ പലപ്പോഴും MAC വിലാസം, അഭ്യർത്ഥന നടത്തിയ തീയതി, സമയം എന്നിവയിൽ നിന്നാണ് രൂപപ്പെടുന്നത്, അവ പ്രോട്ടോക്കോൾ സ്റ്റാക്ക് വഴി യാന്ത്രികമായി സൃഷ്ടിക്കപ്പെടുന്നു.

ഒന്നോ അതിലധികമോ അഭ്യർത്ഥനകളും പ്രതികരണങ്ങളും അവയുടെ അനുബന്ധ ഐഡൻ്റിഫയറുകൾ ഉപയോഗിച്ച് ക്യാപ്‌ചർ ചെയ്യാൻ ആക്രമണകാരി ഒരു സ്‌നിഫർ ഉപയോഗിക്കുന്നു, തുടർന്ന് അനുബന്ധ ഐഡൻ്റിഫയറും വ്യാജ ഐപി വിലാസവും ഉപയോഗിച്ച് ഒരു അഭ്യർത്ഥന സൃഷ്ടിക്കുന്നു. ഈ പ്രവർത്തനങ്ങളുടെ ഫലമായി, സ്പൂഫ് ചെയ്ത IP വിലാസം ആക്രമിക്കപ്പെട്ട സിസ്റ്റത്തിൻ്റെ പ്രാദേശിക കാഷെയിൽ സംഭരിച്ചിരിക്കുന്നു. ഇതിനുശേഷം, അഭ്യർത്ഥനയിൽ വ്യക്തമാക്കിയ വിലാസമുള്ള സെർവറിൽ ക്ഷുദ്രകരമായ സോഫ്റ്റ്വെയർ സ്ഥാപിക്കുന്നതിലൂടെ ആക്രമിക്കപ്പെട്ട സിസ്റ്റത്തിന് കേടുപാടുകൾ സംഭവിക്കാം.

DNS റീബൈൻഡിംഗ്

ഈ ആക്രമണത്തെ "ഡിഎൻഎസ് പിന്നിംഗ്" എന്നും വിളിക്കുന്നു, ഇത് പ്രത്യേകിച്ച് സങ്കീർണ്ണമായ ആക്രമണമാണ്. ഈ പ്രക്രിയയ്ക്കിടെ, ആക്രമണകാരി ആദ്യം സ്വന്തം ഡൊമെയ്ൻ നാമം രജിസ്റ്റർ ചെയ്യുന്നു, തുടർന്ന് ആ ഡൊമെയ്ൻ നാമത്തെക്കുറിച്ചുള്ള വിവരങ്ങൾ കാഷെ ചെയ്യുന്നതിൽ നിന്ന് തടയുന്ന ഒരു മിനിമം എൻട്രി ലൈഫ് ടൈം മൂല്യം സജ്ജമാക്കുന്നു.

സേവന ആക്രമണങ്ങളുടെ ഡിഎൻഎസ് നിരസിക്കൽ

പരമ്പരയിലെ ആദ്യ ലേഖനത്തിൽ നമ്മൾ പഠിച്ചതുപോലെ, UDP അല്ലെങ്കിൽ TCP അഭ്യർത്ഥന പാക്കറ്റുകളുടെ ഒരു പ്രളയത്തോടെ പോർട്ട് 53 ബോംബെറിയുന്നത് സെർവറിന് ഒരു സേവന നിഷേധം അനുഭവിക്കാൻ ഇടയാക്കും. ഈ ആക്രമണം നടത്തുന്ന മറ്റൊരു രീതി പിംഗ് പാക്കറ്റുകളോ TCP SYN സെഗ്‌മെൻ്റുകളോ ഉപയോഗിച്ച് ആക്രമിക്കുക എന്നതാണ്. ഈ പ്രവർത്തനങ്ങളുടെ പിന്നിലെ പ്രധാന ആശയം സെർവർ ഉറവിടങ്ങളുടെ (സിപിയു, റാം) ഉപയോഗം പരമാവധിയാക്കുക എന്നതാണ്, അങ്ങനെ സെർവർ അഭ്യർത്ഥനകളോട് പ്രതികരിക്കുന്നത് നിർത്തുന്നു. ഡിഎൻഎസ് സെർവറുകൾ ഫയർവാളുകളാൽ സംരക്ഷിക്കപ്പെട്ടിട്ടുണ്ടെങ്കിലും, വിശ്വസനീയമല്ലാത്ത നെറ്റ്‌വർക്കുകളിൽ നിന്നുള്ള ആക്‌സസ്സിൽ നിന്ന് ഡിഎൻഎസ് യുഡിപി പോർട്ടുകൾ തടഞ്ഞിട്ടില്ലെങ്കിൽ, ഡൊമെയ്ൻ നെയിം റെസലൂഷൻ സിസ്റ്റം ഇത്തരത്തിലുള്ള ആക്രമണത്തിന് തുറന്നിരിക്കും.

വർദ്ധിച്ച ലോഡ് എന്നതിനർത്ഥം സെർവറിന് ചെയ്യാൻ കഴിയാത്ത ടാസ്‌ക്കുകൾ ഉപയോഗിച്ച് ഡിഎൻഎസ് സെർവറിൽ ലോഡ് ചെയ്യുക എന്നാണ്. ഒരു സെർവർ ലോഡ് ചെയ്യാനും ആത്യന്തികമായി അത് ഉപയോഗശൂന്യമാക്കാനും നിരവധി മാർഗങ്ങളുണ്ട്. ഒന്നിലധികം ഹോസ്റ്റുകളുടെ പ്രാദേശിക DNS കാഷെ പരിഷ്‌ക്കരിക്കുന്നതിന് ഒരു രീതി ക്ഷുദ്ര സോഫ്റ്റ്‌വെയർ (ട്രോജൻ) ഉപയോഗിക്കുന്നു. ഈ പ്രവർത്തനങ്ങൾക്ക് ശേഷം, പരിഷ്കരിച്ച കാഷെ ഉള്ള എല്ലാ നോഡുകളും ആക്രമണകാരികൾ മുൻകൂട്ടി തിരഞ്ഞെടുത്ത ഒരു നിർദ്ദിഷ്ട നെയിം സെർവറിലേക്ക് അഭ്യർത്ഥനകൾ അയയ്ക്കാൻ തുടങ്ങുന്നു.

ഓരോ സെർവറിനും പരിമിതമായ സമയത്തിനുള്ളിൽ (സിപിയു പ്രകടനവും കോൺഫിഗറേഷനും അനുസരിച്ച്) പരിമിതമായ എണ്ണം അഭ്യർത്ഥനകളോട് മാത്രമേ പ്രതികരിക്കാൻ കഴിയൂ, ഒടുവിൽ ക്യൂവിലേക്ക് അഭ്യർത്ഥനകൾ ചേർക്കാൻ തുടങ്ങുന്നു. കൂടുതൽ ക്ലയൻ്റുകൾ പ്രാദേശിക DNS കാഷെയിലെ പരിഷ്‌ക്കരണങ്ങൾക്ക് വിധേയമാകുമ്പോൾ, കൂടുതൽ അഭ്യർത്ഥനകൾ ക്യൂവിലേക്ക് അയയ്‌ക്കുകയും ആത്യന്തികമായി സെർവർ സ്തംഭിക്കുകയും ചെയ്യും.

ഈ ആക്രമണത്തിൻ്റെ മറ്റൊരു തരത്തിൽ, ആക്രമണകാരി DNS സെർവർ കാഷെ പരിഷ്കരിക്കുന്നു; A അല്ലെങ്കിൽ CNAME രേഖകളുമായി ബന്ധപ്പെട്ട IP വിലാസങ്ങൾ മാറ്റിസ്ഥാപിക്കുന്നതിനുപകരം, ഡൊമെയ്ൻ നാമങ്ങൾ പരിഷ്കരിക്കപ്പെടുന്നു. കാര്യങ്ങൾ സങ്കീർണ്ണമാക്കുന്നതിന്, ഓരോ ഡൊമെയ്ൻ നാമവും നൂറുകണക്കിന് അല്ലെങ്കിൽ ആയിരക്കണക്കിന് പ്രതീകങ്ങൾ നീളമുള്ളതാകാം. മാറ്റങ്ങൾ വരുത്തിയതിന് ശേഷം ആരംഭിക്കുന്ന ഡാറ്റാ സിൻക്രൊണൈസേഷൻ പ്രക്രിയയിൽ മാസ്റ്റർ നെയിം സെർവറിൽ നിന്ന് ഡൗൺസ്ട്രീം സെർവറുകളിലേക്കും ആത്യന്തികമായി ക്ലയൻ്റുകളിലേക്കും നിരവധി കിലോബൈറ്റ് ഡാറ്റ അയയ്ക്കുന്നത് ഉൾപ്പെടുന്നു.

TTL കാലഹരണപ്പെട്ടതിന് ശേഷം, ഡാറ്റ സമന്വയ പ്രക്രിയ വീണ്ടും ആരംഭിക്കുകയും ചെയിനിലെ ഒന്നോ അതിലധികമോ DNS സെർവറുകളുടെ പരാജയത്തിന് കാരണമായേക്കാം. ഈ കാഷെ ആഘാതങ്ങൾ സേവന ആക്രമണത്തിൻ്റെ വിതരണം ചെയ്ത നിഷേധത്തെ അനുകരിക്കുന്നു, അത് അപകടകരവും നിയന്ത്രിക്കാൻ പ്രയാസവുമാണ്.

സ്വതന്ത്ര സോഫ്റ്റ്‌വെയറിനെ അടിസ്ഥാനമാക്കിയുള്ള സിസ്റ്റങ്ങളുടെ സംരക്ഷണം

സ്വതന്ത്ര സംവിധാനങ്ങളുടെ ലോകത്ത്, അനലോഗുകളുമായി താരതമ്യപ്പെടുത്തുമ്പോൾ ഏറ്റവും ഉയർന്ന പ്രവർത്തന വേഗത കാരണം ലോകമെമ്പാടും അറിയപ്പെടുന്ന ഡൊമെയ്ൻ നെയിം റെസല്യൂഷൻ സേവനം നടപ്പിലാക്കുന്നു. ഏറ്റവും വ്യാപകമായി ഉപയോഗിക്കപ്പെടുന്നതും അറിയപ്പെടുന്നതുമായ ഈ പരിഹാരം ബൈൻഡ് സേവനമാണ്. എന്നിരുന്നാലും, DNS സേവനങ്ങളിലെ മിക്ക ആക്രമണങ്ങളും പ്രോട്ടോക്കോൾ പിഴവുകൾ ചൂഷണം ചെയ്യുന്നതിനാൽ, ഡൊമെയ്ൻ നാമം റെസല്യൂഷൻ സേവനങ്ങൾ പ്രവർത്തിപ്പിക്കുന്ന ഓപ്പൺ സിസ്റ്റങ്ങളെ സംരക്ഷിക്കുന്നതിനുള്ള ചുമതല കൂടുതൽ ബുദ്ധിമുട്ടാണ്.

ഒരു സുരക്ഷാ സംവിധാനം വികസിപ്പിക്കുന്നതിനുള്ള ആദ്യ പടി നെറ്റ്‌വർക്ക് തലത്തിൽ തടയണം. സെർവർ അറ്റകുറ്റപ്പണികൾക്കുള്ള പോർട്ടുകൾക്ക് പുറമേ, ഡിഎൻഎസ് അന്വേഷണങ്ങൾക്കുള്ള പോർട്ടുകൾ മാത്രമേ തുറന്നിരിക്കൂ, കൂടാതെ മറ്റെല്ലാ പോർട്ടുകളും ഫയർവാളിലും നേരിട്ട് ഓപ്പറേറ്റിംഗ് സിസ്റ്റം ഉപയോഗിച്ച് സെർവറിലും ബ്ലോക്ക് ചെയ്യണം.

ഡൊമെയ്ൻ നെയിം റെസല്യൂഷൻ സേവനമല്ലാതെ മറ്റൊരു സോഫ്റ്റ്‌വെയറും സെർവറിൽ ഇൻസ്റ്റാൾ ചെയ്തിട്ടില്ലെന്ന് ഉറപ്പാക്കുക എന്നതാണ് അടുത്ത പ്രധാന ഘട്ടം. ലോക്കൽ നെറ്റ്‌വർക്കിനായുള്ള ബാഹ്യ സെർവറുകളിലേക്കുള്ള എല്ലാ ഇൻ്റേണൽ ഡൊമെയ്ൻ നാമങ്ങളുടെയും സേവനങ്ങളുടെയും റെസല്യൂഷൻ പിന്തുണയ്ക്കുന്ന ഒരു കോർപ്പറേറ്റ് റൂട്ട് നെയിം റെസലൂഷൻ സെർവറുമായി പ്രവർത്തിക്കുമ്പോൾ ഈ മുൻകരുതൽ എടുക്കേണ്ടതാണ്.

ഒരു മൂന്നാം കക്ഷി പ്രോഗ്രാമിലെ ഒരു കേടുപാടുകൾ ഒരു നെയിം റെസല്യൂഷൻ സെർവറിൽ തുളച്ചുകയറാൻ അനുവദിക്കുന്നത് പലപ്പോഴും സംഭവിക്കാറുണ്ട്. നെറ്റ്‌വർക്ക് ഇൻഫ്രാസ്ട്രക്ചറിൻ്റെ ഏറ്റവും നിർണായകമായ ഭാഗങ്ങൾ ഫയർവാളുകൾ, യൂണിഫൈഡ് ത്രെറ്റ് മാനേജ്‌മെൻ്റ്, ശക്തമായ ആൻ്റിവൈറസ് പ്രോഗ്രാമുകൾ എന്നിവയാൽ സംരക്ഷിക്കപ്പെട്ടിട്ടുണ്ടെങ്കിലും, ഇൻട്രൂഷൻ ഡിറ്റക്ഷൻ സിസ്റ്റം ഉപയോഗിച്ച് സംരക്ഷണം ശക്തിപ്പെടുത്തേണ്ടത് ആവശ്യമാണ്. ARP സ്പൂഫിംഗ്, IP സ്പൂഫിംഗ്, സ്നിഫർ ആക്രമണങ്ങൾ, മറ്റ് തരത്തിലുള്ള ആക്രമണങ്ങൾ എന്നിവ പോലുള്ള OSI ലെയർ 2, 3 ആക്രമണങ്ങളെ ചെറുക്കാൻ ഇത് നിങ്ങളെ അനുവദിക്കുന്നു.

മുകളിൽ വിവരിച്ച അവശ്യ മുൻകരുതലുകൾക്ക് പുറമേ, പ്രയോഗിക്കേണ്ട നിരവധി നൂതന സാങ്കേതിക വിദ്യകളും ഉണ്ട്. ഞങ്ങൾ നേരത്തെ പഠിച്ചതുപോലെ, ഓരോ അഭ്യർത്ഥനയ്ക്കും അതിൻ്റേതായ തനതായ ഐഡൻ്റിഫയർ ഉണ്ട്, അത് ഒരു UDP പാക്കറ്റിലാണ് അയയ്ക്കുന്നത്. നിർഭാഗ്യവശാൽ, RFC സ്റ്റാൻഡേർഡുകളിൽ വിവരിച്ചിരിക്കുന്ന DNS സ്റ്റാക്കിൻ്റെ രൂപകൽപ്പന കാരണം, ഈ ഐഡൻ്റിഫയറുകൾ എളുപ്പത്തിൽ പ്രവചിക്കാവുന്നവയാണ്, അതിനാൽ ഐഡൻ്റിഫയറുകൾ സൃഷ്ടിക്കുന്നതിന് റാൻഡം നമ്പറുകൾ ഉപയോഗിക്കുന്നത് കബളിപ്പിക്കുന്ന ആക്രമണങ്ങൾ തടയാൻ സഹായിക്കുന്നതിന് നല്ലതാണ്. അതുപോലെ, നെയിം റെസലൂഷൻ സെർവർ അഭ്യർത്ഥനകൾ സ്വീകരിക്കുകയും പ്രതികരിക്കുകയും ചെയ്യുന്ന UDP പോർട്ട് നമ്പറും എളുപ്പത്തിൽ പ്രവചിക്കാവുന്നതും ക്രമരഹിതമായ ഒന്നാക്കി മാറ്റാവുന്നതുമാണ്.

ഈ ആവശ്യങ്ങൾക്കായി ഓപ്പൺ സോഴ്‌സ് പ്രോഗ്രാമുകൾ ഉണ്ട്, എന്നാൽ അവ ഉപയോഗിക്കുമ്പോൾ, അഭ്യർത്ഥന പ്രോസസ്സിംഗ് പ്രക്രിയയിൽ അവർ ഒരു ചെറിയ സമയ കാലതാമസം അവതരിപ്പിക്കുന്നുവെന്ന് ഓർമ്മിക്കുക. താരതമ്യേന പുതിയതും ജനപ്രിയവുമായ സുരക്ഷാ സാങ്കേതികവിദ്യയാണ് DNSSEC (DNS സുരക്ഷാ വിപുലീകരണങ്ങൾ). പബ്ലിക് കീ എൻക്രിപ്ഷൻ ഉപയോഗിച്ച് റെക്കോർഡുകൾ ഒപ്പിട്ട് ഡിഎൻഎസ് കാഷെ പരിഷ്ക്കരിക്കുന്ന ആക്രമണങ്ങളിൽ നിന്ന് ഇത് ക്ലയൻ്റുകളേയും സെർവറുകളേയും സംരക്ഷിക്കുന്നു. SSL-ന് സമാനമായി പ്രവർത്തിക്കുമ്പോൾ, അഭ്യർത്ഥിക്കുന്നയാളും പ്രതികരിക്കുന്നയാളും പരസ്പരം വിശ്വസനീയമായ ഒരു ബന്ധം സ്ഥാപിക്കുന്നു, അത് സ്ഥാപിച്ചുകഴിഞ്ഞാൽ, പേര് റെസലൂഷൻ പ്രക്രിയ ആരംഭിക്കുന്നു.

നെയിം റെസല്യൂഷൻ പ്രക്രിയ പൂർത്തിയായിക്കഴിഞ്ഞാൽ, സെഷൻ പുനഃസജ്ജമാക്കുകയും അതുവഴി ഇരു കക്ഷികളുടെയും സുരക്ഷ നിലനിർത്തുകയും ചെയ്യുന്നു. ലോകത്തിലെ മിക്ക ഇൻ്റർനെറ്റ് സേവന ദാതാക്കളുടെ സെർവറുകളിലും DNSSEC സാങ്കേതികവിദ്യ നടപ്പിലാക്കിയിട്ടുണ്ട്.

DNS ഇടപെടൽ ഒരു സാധാരണ തരത്തിലുള്ള ആക്രമണമാണ്. ഇത് പ്രോട്ടോക്കോൾ പിഴവുകൾ ചൂഷണം ചെയ്യുന്നതിലൂടെ ആരംഭിക്കുകയും ആക്രമണകാരിക്ക് ഐടി ഇൻഫ്രാസ്ട്രക്ചറിലേക്ക് പ്രവേശനം നേടുന്നതിലേക്കോ ഫിഷിംഗ് പോലുള്ള മറ്റ് തരത്തിലുള്ള ആക്രമണങ്ങൾ നടത്താൻ കമ്പ്യൂട്ടറുകൾ ഉപയോഗിക്കുന്നതിലേക്കോ നയിക്കുന്നു. സ്വതന്ത്ര സോഫ്‌റ്റ്‌വെയർ അധിഷ്‌ഠിത സംവിധാനങ്ങളും ഈ ആക്രമണങ്ങൾക്ക് വിധേയമാണ്, അതിനാൽ സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർമാർ അവരുടെ ഇൻഫ്രാസ്ട്രക്ചറിനെ ഡാറ്റാ നഷ്‌ടത്തിൽ നിന്നോ മോഷണത്തിൽ നിന്നോ സംരക്ഷിക്കുന്നതിനുള്ള സാങ്കേതിക വിദ്യകൾ മനസ്സിലാക്കുകയും ഉപയോഗിക്കുകയും വേണം.

ഈ ലേഖനം ഇതേ എഴുത്തുകാരൻ (പ്രശാന്ത് ഫടക്) എഴുതിയ സൈബർ ആക്രമണങ്ങളെക്കുറിച്ചുള്ള ലേഖനങ്ങളുടെ ഭാഗമാണ്. ഈ പരമ്പരയിലെ മറ്റ് ലേഖനങ്ങൾ.

പല സൈബർ സുരക്ഷാ പ്രൊഫഷണലുകളും അവഗണിക്കുന്ന ഒരു രസകരമായ ആക്രമണ രീതിയാണ് സ്പൂഫിംഗ്. എന്നാൽ വ്യർത്ഥം, വളരെ വ്യർത്ഥം. ഈ വൈവിധ്യമാർന്ന ലോകം എത്രമാത്രം വഞ്ചനാപരമാണെന്ന് ഈ ലേഖനത്തിൽ നിന്ന് നിങ്ങൾക്ക് മനസ്സിലാകും. നിങ്ങളുടെ കണ്ണുകളെ വിശ്വസിക്കരുത്!

മുന്നറിയിപ്പ്

എല്ലാ വിവരങ്ങളും വിവര ആവശ്യങ്ങൾക്ക് മാത്രമാണ് നൽകിയിരിക്കുന്നത്. ഈ ലേഖനത്തിൻ്റെ സാമഗ്രികൾ മൂലമുണ്ടായേക്കാവുന്ന എന്തെങ്കിലും ദോഷങ്ങൾക്ക് എഡിറ്റർമാരോ രചയിതാവോ ഉത്തരവാദികളല്ല.

ആമുഖം

ഒരു ആക്രമണ വെക്‌ടറായി കബളിപ്പിക്കുന്നത് പരിഗണിക്കേണ്ടതില്ലെന്ന് എൻ്റെ സഹപ്രവർത്തകരിൽ നിന്ന് ഞാൻ പലപ്പോഴും കേൾക്കാറുണ്ട്. എന്നിരുന്നാലും, സ്പൂഫിംഗ് രീതികൾ ശ്രദ്ധാപൂർവ്വം ചിന്തിക്കുകയാണെങ്കിൽ, അവ പല കാര്യങ്ങൾക്കും ഉപയോഗിക്കാമെന്ന് എനിക്ക് ഉറപ്പ് നൽകാൻ കഴിയും. മാത്രമല്ല, അത്തരം ആക്രമണങ്ങളുടെ അളവും ഫലങ്ങളും ചിലപ്പോൾ വിനാശകരമാണ്. എല്ലാത്തിനുമുപരി, നിങ്ങളുടെ കണ്ണുകളെ ഒരിക്കൽ വഞ്ചിച്ച ഞാൻ നിങ്ങളെ കൂടുതൽ വഞ്ചിക്കും. സ്പൂഫ് ആക്രമണങ്ങൾ ഒരു യഥാർത്ഥ അപകടമുണ്ടാക്കുന്നു എന്ന വസ്തുതയ്ക്ക് അനുകൂലമായ ഏറ്റവും പ്രധാനപ്പെട്ട വാദം പ്രൊഫഷണലുകൾ ഉൾപ്പെടെ ഒരു വ്യക്തി പോലും അവയിൽ നിന്ന് പ്രതിരോധിക്കുന്നില്ല എന്നതാണ്. സ്പൂഫിംഗ് സ്വയം ഒന്നും നേടുന്നില്ല എന്നത് ഇവിടെ ശ്രദ്ധിക്കേണ്ടതാണ്: ഒരു യഥാർത്ഥ ഹാക്കർ ആക്രമണം നടത്താൻ, നിങ്ങൾ പോസ്റ്റ്-ചൂഷണം ഉപയോഗിക്കേണ്ടതുണ്ട്. മിക്ക കേസുകളിലും, ചൂഷണത്തിനു ശേഷമുള്ള ലക്ഷ്യങ്ങൾ, നിയന്ത്രണം പിടിച്ചെടുക്കൽ, പ്രത്യേകാവകാശങ്ങൾ ഉയർത്തൽ, ക്ഷുദ്രവെയറിൻ്റെ വൻതോതിലുള്ള വിതരണം, തൽഫലമായി, കൂടുതൽ കള്ളപ്പണം വെളുപ്പിക്കുന്നതിനൊപ്പം വ്യക്തിഗത ഡാറ്റയും ബാങ്കിംഗ് സംവിധാനങ്ങളുടെ ഇലക്ട്രോണിക് ഡിജിറ്റൽ കീകളും മോഷ്ടിക്കലാണ്. ഈ ലേഖനത്തിൽ, ഒന്നാമതായി, പൊതുവായി നിലനിൽക്കുന്ന സ്പൂഫിംഗ് രീതികളെക്കുറിച്ച് സംസാരിക്കാൻ ഞാൻ ആഗ്രഹിക്കുന്നു, രണ്ടാമതായി, ചില ആധുനിക സമീപനങ്ങളെക്കുറിച്ച് വിശദമായി പറയാം. സ്വാഭാവികമായും, ഇത്തരത്തിലുള്ള ആക്രമണങ്ങളിൽ നിന്ന് സ്വയം പരിരക്ഷിക്കാൻ നിങ്ങളെ സഹായിക്കുന്നതിന് വേണ്ടി മാത്രമാണ് എല്ലാ വിവരങ്ങളും നിങ്ങൾക്ക് നൽകിയിരിക്കുന്നത്.

വഞ്ചനയുടെ ഭൂതകാലവും വർത്തമാനവും

തുടക്കത്തിൽ, "സ്പൂഫിംഗ്" എന്ന പദം ഒരു നെറ്റ്‌വർക്ക് സുരക്ഷാ പദമായി ഉപയോഗിച്ചിരുന്നു, ഇത് ഒരു പ്രത്യേക നെറ്റ്‌വർക്ക് റിസോഴ്‌സിലേക്ക് അനധികൃത ആക്‌സസ് നേടുന്നതിന് ചില ഡാറ്റയുടെ വിജയകരമായ വ്യാജീകരണത്തെ സൂചിപ്പിക്കുന്നു. കാലക്രമേണ, ഈ പദം വിവര സുരക്ഷയുടെ മറ്റ് മേഖലകളിൽ ഉപയോഗിക്കാൻ തുടങ്ങി, എന്നിരുന്നാലും പഴയ സ്കൂൾ സ്പെഷ്യലിസ്റ്റുകൾ എന്ന് വിളിക്കപ്പെടുന്ന മിക്കവരും ഇന്ന് നെറ്റ്‌വർക്ക് ആക്രമണങ്ങളുടെ തരം വ്യക്തമാക്കുന്നതിന് "സ്പൂഫിംഗ്" എന്ന വാക്ക് ഉപയോഗിക്കുന്നത് തുടരുന്നു.

ആദ്യത്തെ IDN ക്ലോണുകൾ

IDN ഹോമോഗ്രാഫ് ഉപയോഗിച്ചുള്ള ആക്രമണം ആദ്യമായി വിവരിച്ചത് 2001-ൽ ഇസ്രായേലിലെ ടെക്‌നിയൻ ഇൻസ്റ്റിറ്റ്യൂട്ട് ഓഫ് ടെക്‌നോളജിയിൽ നിന്നുള്ള എവ്‌ജെനി ഗബ്രിലോവിച്ചും അലക്‌സ് ഗോണ്ട്മാക്കറും ചേർന്നാണ്. ഈ രീതി ഉപയോഗിച്ചുള്ള വിജയകരമായ ആക്രമണത്തിൻ്റെ ആദ്യത്തെ അറിയപ്പെടുന്ന കേസ് 2005-ൽ ShmooCon ഹാക്കർ കോൺഫറൻസിൽ പരസ്യമാക്കി. ഒരു വ്യാജ ഡൊമെയ്ൻ paypal.com (punycode-ൽ xn--pypal-4ve.com) രജിസ്റ്റർ ചെയ്യാൻ ഹാക്കർമാർക്ക് കഴിഞ്ഞു, ഇവിടെ a ആദ്യ അക്ഷരം സിറിലിക് ആണ്. Slashdot.org-ലെ ഒരു പോസ്റ്റ് ഈ പ്രശ്നം പൊതുജനങ്ങളുടെ ശ്രദ്ധയിൽപ്പെടുത്തി, കൂടാതെ നിരവധി ഉയർന്ന തലത്തിലുള്ള ഡൊമെയ്‌നുകളുടെ ബ്രൗസറുകളും അഡ്മിനിസ്ട്രേറ്റർമാരും പ്രതിരോധ നടപടികൾ വികസിപ്പിക്കുകയും നടപ്പിലാക്കുകയും ചെയ്തു.

അതിനാൽ, നെറ്റ്‌വർക്ക് അതിൻ്റെ ശൈശവാവസ്ഥയിൽ ആയിരുന്നപ്പോൾ, പ്രോഗ്രാമർമാരുടെയും ഡവലപ്പർമാരുടെയും മിക്ക ശ്രമങ്ങളും പ്രധാനമായും നെറ്റ്‌വർക്ക് പ്രോട്ടോക്കോളുകളുടെ പ്രവർത്തനത്തിനുള്ള അൽഗോരിതം ഒപ്റ്റിമൈസ് ചെയ്യുന്നതിലായിരുന്നു. ഇന്നത്തെപ്പോലെ സുരക്ഷ നിർണായകമായിരുന്നില്ല, പലപ്പോഴും സംഭവിക്കുന്നതുപോലെ, വളരെ കുറച്ച് ശ്രദ്ധ മാത്രമേ ലഭിച്ചിട്ടുള്ളൂ. തൽഫലമായി, നെറ്റ്‌വർക്ക് പ്രോട്ടോക്കോളുകളിൽ നമുക്ക് നിന്ദ്യവും അടിസ്ഥാനപരവുമായ പിശകുകൾ ലഭിക്കുന്നു, അത് പലതരം പാച്ചുകൾ ഉണ്ടായിരുന്നിട്ടും ഇന്നും നിലനിൽക്കുന്നു (കാരണം ഒരു പാച്ചിനും ഒരു ലോജിക്കൽ പ്രോട്ടോക്കോൾ പിശക് പാച്ച് ചെയ്യാൻ കഴിയില്ല). ഇതിന് മൊത്തം മാറ്റങ്ങൾ ആവശ്യമാണ്, നെറ്റ്‌വർക്കിന് അതിൻ്റെ നിലവിലെ രൂപത്തിൽ നിലനിൽക്കാൻ കഴിയില്ല. ഉദാഹരണത്തിന്, “DNS-ലെ ആക്രമണങ്ങൾ: ഇന്നലെ, ഇന്ന്, നാളെ” എന്ന ലേഖനത്തിൽ (][ #5 2012) DNS സിസ്റ്റങ്ങളിലെ വിനാശകരമായ അടിസ്ഥാനപരമായ കേടുപാടുകളെ കുറിച്ച് ഞാൻ സംസാരിച്ചു - UDP യുടെ ഉപയോഗം (ടിസിപി/ഐപിയിൽ നിന്ന് വ്യത്യസ്തമായി ഇത് സുരക്ഷിതമല്ല, കാരണം ഇതിന് സ്പൂഫിംഗ് തടയാൻ ഒരു ബിൽറ്റ്-ഇൻ മെക്കാനിസം ഇല്ല) കൂടാതെ ലോക്കൽ കാഷെ.

വെക്‌ടറുകൾ

ലക്ഷ്യങ്ങളും ലക്ഷ്യങ്ങളും അനുസരിച്ച്, സ്പൂഫിംഗ് വെക്റ്ററുകളെ ലോക്കൽ, നെറ്റ്‌വർക്ക് ദിശകളായി വിഭജിക്കാം. ഈ ലേഖനത്തിൽ നമ്മൾ നോക്കുന്നത് ഇവയാണ്. പ്രാദേശിക വെക്റ്റർ ആക്രമണങ്ങളുടെ ലക്ഷ്യം മിക്കപ്പോഴും ഇരയുടെ കമ്പ്യൂട്ടറിൽ ഇൻസ്റ്റാൾ ചെയ്തിട്ടുള്ള OS തന്നെയാണ്, കൂടാതെ സാഹചര്യത്തെ ആശ്രയിച്ച് അധിക വിശകലനം ആവശ്യമായി വരുന്ന ചില തരത്തിലുള്ള ആപ്ലിക്കേഷനുകളും. നെറ്റ്‌വർക്ക് വെക്റ്റർ ആക്രമണങ്ങളുടെ ലക്ഷ്യങ്ങൾ, നേരെമറിച്ച്, കൂടുതൽ അമൂർത്തമാണ്. പ്രാദേശികവും ആഗോളവുമായ നെറ്റ്‌വർക്കുകൾ പ്രതിനിധീകരിക്കുന്ന വിവര സംവിധാനങ്ങളുടെ ഘടകങ്ങളാണ് പ്രധാനം. സ്പൂഫിംഗിൻ്റെ പ്രധാന തരങ്ങൾ നോക്കാം.

TCP/IP, UDP എന്നിവ കബളിപ്പിക്കൽ - ഗതാഗത തലത്തിലുള്ള ആക്രമണങ്ങൾ. TCP, UDP ട്രാൻസ്പോർട്ട് പ്രോട്ടോക്കോളുകൾ നടപ്പിലാക്കുന്നതിലെ അടിസ്ഥാന പിശകുകൾ കാരണം, ഇനിപ്പറയുന്ന തരത്തിലുള്ള ആക്രമണങ്ങൾ സാധ്യമാണ്:

• ഐപി സ്പൂഫിംഗ് - ഐപി പാക്കറ്റിൻ്റെ ബോഡിയിലെ സോഴ്സ് ഫീൽഡിൻ്റെ മൂല്യം മാറ്റി ഒരു ഐപി വിലാസം മാറ്റിസ്ഥാപിക്കുക എന്നതാണ് ആശയം. ആക്രമണകാരിയുടെ വിലാസം കബളിപ്പിക്കാൻ ഇത് ഉപയോഗിക്കുന്നു, ഉദാഹരണത്തിന്, ആവശ്യമുള്ള വിലാസത്തിലേക്ക് ഒരു പ്രതികരണ പാക്കറ്റ് ഉണ്ടാക്കുന്നതിന്;
• ഹോസ്റ്റുകൾ തമ്മിലുള്ള ട്രാഫിക് തടസ്സപ്പെടുത്താൻ നിങ്ങളെ അനുവദിക്കുന്ന ഇഥർനെറ്റ് നെറ്റ്‌വർക്കുകളിലെ ഒരു ആക്രമണ സാങ്കേതികതയാണ് ARP സ്പൂഫിംഗ്. ARP പ്രോട്ടോക്കോളിൻ്റെ ഉപയോഗത്തെ അടിസ്ഥാനമാക്കി;
• ഡിഎൻഎസ് കാഷെ വിഷബാധ - സെർവറിൻ്റെ ഡിഎൻഎസ് കാഷെ വിഷം;
• മൈക്രോസോഫ്റ്റ് നെറ്റ്‌വർക്കുകൾക്കുള്ളിൽ പ്രാദേശിക മെഷീൻ പേരുകൾ പരിഹരിക്കുന്നതിൻ്റെ പ്രത്യേകതകളെ അടിസ്ഥാനമാക്കിയുള്ളതാണ് NetBIOS/NBNS സ്പൂഫിംഗ്.

റഫറർ സ്പൂഫിംഗ് - ഒരു റഫററിൻ്റെ പകരക്കാരൻ.

ഫയൽ പങ്കിടൽ നെറ്റ്‌വർക്കുകളുടെ വിഷബാധ - ഫയൽ പങ്കിടൽ നെറ്റ്‌വർക്കുകളിലെ ഫിഷിംഗ്.

കോളർ ഐഡി സ്പൂഫിംഗ് - VoIP നെറ്റ്‌വർക്കുകളിൽ കോളിംഗ് ഫോൺ നമ്പർ മാറ്റിസ്ഥാപിക്കുന്നു

ഇ-മെയിൽ വിലാസം കബളിപ്പിക്കൽ - അയച്ചയാളുടെ ഇമെയിൽ വിലാസത്തിന് പകരം വയ്ക്കൽ.

GPS ഉപകരണത്തെ ആശയക്കുഴപ്പത്തിലാക്കുന്നതിനായി ഒരു ഉപഗ്രഹത്തിൽ നിന്നുള്ള പാക്കറ്റുകൾക്ക് പകരമാണ് GPS സ്പൂഫിംഗ്.

വോയ്‌സ് മെയിൽ സ്പൂഫിംഗ് - ഇരയുടെ പാസ്‌വേഡുകൾ ഫിഷിംഗ് ചെയ്യുന്നതിനായി വോയ്‌സ് മെയിൽ നമ്പറുകൾ മാറ്റിസ്ഥാപിക്കൽ.

എസ്എംഎസ് സ്പൂഫിംഗ് എന്നത് ഒരു എസ്എംഎസ് സന്ദേശത്തിൻ്റെ അയക്കുന്നവരുടെ നമ്പറുകൾ മാറ്റിസ്ഥാപിക്കുന്നതിനെ അടിസ്ഥാനമാക്കിയുള്ള ഒരു സ്പൂഫിംഗ് രീതിയാണ്.

സ്പൂഫിംഗ് മേഖലയിലെ ഏറ്റവും പുതിയ സംഭവവികാസങ്ങൾ

ഏറ്റവും സാധാരണമായ സാങ്കേതിക വിദ്യകൾ ഇതിനകം തന്നെ വളരെ പഴക്കമുള്ളവയാണ്. ആഗോള നെറ്റ്‌വർക്ക് അക്ഷരാർത്ഥത്തിൽ അവയുടെ പ്രവർത്തനത്തിലും അവയിൽ നിന്നുള്ള സംരക്ഷണത്തിലും സാധ്യമായ വ്യതിയാനങ്ങളെക്കുറിച്ചുള്ള വിവരങ്ങളാൽ നിറഞ്ഞിരിക്കുന്നു. പ്രാദേശിക വെക്‌ടറുകൾ മുതൽ നെറ്റ്‌വർക്ക് വരെയുള്ളവയുടെ ഉപയോഗം കൂടുതൽ ഊർജസ്വലമായിക്കൊണ്ടിരിക്കുന്ന ഏറ്റവും പുതിയ നിരവധി സ്പൂഫിംഗ് രീതികൾ ഇന്ന് നമ്മൾ പരിശോധിക്കും. അതിനാൽ, എല്ലാം ക്രമത്തിൽ.

ഫ്ലേമറും മൈക്രോസോഫ്റ്റ് സർട്ടിഫിക്കറ്റുകളുടെ അപകീർത്തികരമായ വഞ്ചനയും

മൈക്രോസോഫ്റ്റ് സെക്യൂരിറ്റി അഡ്വൈസറി (2718704) - അനധികൃത ഡിജിറ്റൽ സർട്ടിഫിക്കറ്റുകൾക്ക് കബളിപ്പിക്കൽ അനുവദിക്കാം. കുപ്രസിദ്ധമായ ഫ്ലേമർ സ്പൈ ബോട്ടിൻ്റെ പകർപ്പുകളിൽ രസകരമായ ഒരു കാര്യം കണ്ടെത്തി: ഈ ക്ഷുദ്രവെയറിൻ്റെ ഘടകങ്ങളുടെ റിവേഴ്സ് എഞ്ചിനീയറിംഗിൻ്റെ ഫലങ്ങളെ അടിസ്ഥാനമാക്കി, ഫിഷിംഗ് പോലുള്ള സ്പൂഫിംഗ് ആക്രമണങ്ങൾ നടത്തുന്നതിന് ഉത്തരവാദിയായ കോഡിൻ്റെ ഒരു വിഭാഗം കണ്ടെത്തി. വൻകിട കമ്പനികളിൽ നിന്നുള്ള ഒറിജിനൽ സർട്ടിഫിക്കറ്റുകളുടെ വ്യവസ്ഥ അനുകരിക്കുന്നതിലൂടെ, ബോട്ട് ഒരു MITM ആക്രമണം നടത്തി, കോർപ്പറേറ്റ് നെറ്റ്‌വർക്കിലെ ഉപയോക്താക്കളുടെ സ്വകാര്യ ഡാറ്റ തടസ്സപ്പെടുത്തുകയും ഡെവലപ്പർമാരുടെ സെർവറിലേക്ക് അയയ്ക്കുകയും ചെയ്യുക എന്നതായിരുന്നു ഇതിൻ്റെ ഉദ്ദേശ്യം. ഈ കബളിപ്പിക്കുന്ന സംഭവത്തിന് ഉയർന്ന തീവ്രത റേറ്റിംഗുള്ള സുരക്ഷാ ഉപദേശം #2718704 ലഭിച്ചു.

OS 1-ലെ സ്പൂഫിംഗ്. എക്സ്റ്റൻഷൻ സ്പൂഫിംഗ് - ഫയൽ എക്സ്റ്റൻഷൻ സ്പൂഫിംഗ്

വിവര സുരക്ഷാ മേഖലയിലെ ഒരു ചൈനീസ് ഗവേഷകൻ Zhitao Zhou-ൻ്റെ വികസനത്തിന് നന്ദി പറഞ്ഞുകൊണ്ട് വെളിച്ചം കണ്ട ഒരു സാങ്കേതികത. വിൻഡോസ് എക്സ്പ്ലോററിൽ (explorer.exe) ഫയൽ നാമം പ്രദർശിപ്പിക്കുമ്പോൾ പ്രതീകങ്ങളുടെ ക്രമം മാറ്റാൻ നിങ്ങളെ അനുവദിക്കുന്ന ഫയൽ നാമത്തിൽ നിയന്ത്രണ പ്രതീകമായ 0x202E (RLO) ഉപയോഗിക്കുക എന്നതാണ് ഈ സാങ്കേതികതയുടെ സാരാംശം. ഈ ലളിതമായ സാങ്കേതികത ഉപയോഗിക്കുന്നതിനുള്ള ഒരു ഉദാഹരണം ഇതാ:

സൂപ്പർ മ്യൂസിക് അപ്‌ലോഡ് ചെയ്തത് 3pm.SCR

3pm.SCR ഫയൽ ചില പ്രവർത്തനങ്ങൾ നടപ്പിലാക്കുന്ന ഒരു എക്സിക്യൂട്ടബിൾ ഫയലല്ലാതെ മറ്റൊന്നുമല്ല (ഒരു ട്രോജൻ പ്രോഗ്രാം - എഡിറ്ററുടെ കുറിപ്പ്). "3pm.SRC" എന്ന ഫയൽ നാമത്തിൻ്റെ തുടക്കത്തിൽ നിങ്ങൾ നിയന്ത്രണ പ്രതീകം 0x202E ചേർക്കുകയാണെങ്കിൽ (ചിത്രം 1 കാണുക), തുടർന്ന് പ്രതീകങ്ങളുടെ ക്രമം വിപരീതമാക്കുകയും ഫയലിൻ്റെ പേര് വിൻഡോസ് എക്സ്പ്ലോററിൽ വ്യത്യസ്തമായി പ്രദർശിപ്പിക്കുകയും ചെയ്യും:

സൂപ്പർ സംഗീതം അപ്‌ലോഡ് ചെയ്തത് RCS.mp3 ആണ്

ഫയൽ ഐക്കൺ മാറ്റാൻ, നിങ്ങൾ ഏതെങ്കിലും റിസോഴ്സ് എഡിറ്റർ (റെസ്റ്റോറേറ്റർ, റിസോഴ്സ് ഹാക്കർ) ഉപയോഗിക്കണം. ഈ ഫയൽ ഒരു പാട്ടായി തെറ്റിദ്ധരിച്ച് ഇരട്ട-ക്ലിക്കുചെയ്‌ത് തുറക്കാനും അതുവഴി ക്ഷുദ്രകരമായ പ്രോഗ്രാം സമാരംഭിക്കാനും കഴിയുന്ന അശ്രദ്ധനായ ഉപയോക്താവിനായി ഈ സാങ്കേതികത രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്നു. നിർഭാഗ്യവശാൽ, യൂണികോഡിനെ പിന്തുണയ്ക്കുന്ന എക്സ്പ്ലോററിന് സമാനമായ പ്രോഗ്രാമുകളിൽ ഈ സാങ്കേതികവിദ്യ പ്രവർത്തിക്കില്ല. നിയന്ത്രണ പ്രതീകമായ 0x202E മുമ്പായി ഫയലിൻ്റെ പേര് മാറ്റുന്ന C# കോഡ് ചുവടെയുണ്ട്:

പബ്ലിക് സബ് U_202E(ഫയൽ സ്‌ട്രിംഗായി, വിപുലീകരണം സ്‌ട്രിംഗായി) ഡിം ഡി ആയി ഇൻ്റിജർ = ഫയൽ. ദൈർഘ്യം - 4 ഡിം യു ആയി ചാർ = ChrW(823) ഡിം ടി ആയി ചാർ() = എക്സ്റ്റൻഷൻ.ToCharArray() Array.Reverse(t) Dim dest As String = file.Substring(0, d) & u & New String(t) & file.Substring(d) System.IO.File.Move(file, dest) End Sub

2. ഫയലിൻ്റെ പേര് സ്പൂഫിംഗ് - ഒരു ഫയലിൻ്റെ പേര് ക്ലോൺ ചെയ്യുന്നു

സെക്യൂരിറ്റി-മോമിജി കോൺഫറൻസിൽ ജാപ്പനീസ് ഗവേഷകനായ യോസുകെ ഹസെഗാവയാണ് ഈ സാങ്കേതികവിദ്യ അവതരിപ്പിച്ചത്. ഇത് സീറോ-ലെങ്ത് പ്രതീകങ്ങളുടെ (ZERO WIDTH പ്രതീകങ്ങൾ) ഉപയോഗത്തെ അടിസ്ഥാനമാക്കിയുള്ളതാണ്, ഇത് ഫയലിൻ്റെ പേരിൻ്റെ പ്രദർശനത്തെ ഒരു തരത്തിലും ബാധിക്കില്ല (ചിത്രം 2 കാണുക). ഈ വിഭാഗത്തിൽ നിന്നുള്ള എല്ലാ പ്രതീകങ്ങളും ചുവടെയുണ്ട്:

U+200B (ZERO WIDTH SPACE) - U+200C (ZERO WIDTH NON-JOINER) - U+200D (ZERO WIDTH JOINER) - U+FEFF (ZERO WIDTH NO-BREAK SPACE) - U+202A (ഇടത്തുനിന്ന് വലത്തേക്ക് ഉൾച്ചേർക്കുന്നു)

കൂടാതെ, നിലവിലുള്ള ഫയലുകളുടെ പേരുകൾ വ്യാജമാക്കാൻ UTF എൻകോഡിംഗ് ഉപയോഗിക്കാൻ കഴിയും. ആധുനിക ക്ഷുദ്രവെയർ ഈ സാങ്കേതികവിദ്യ പലപ്പോഴും ഉപയോഗിക്കുന്നു. ഇത്തരത്തിലുള്ള ആക്രമണം നടത്തിയ ക്ഷുദ്രവെയറിൻ്റെ സാമ്പിളുകൾ ഞാൻ കണ്ടു. ഉദാഹരണത്തിന്, TrojanDropper:Win32/Vundo.L ക്ഷുദ്രവെയർ (vk.com, vkontakte.ru, *odnoklassniki.ru സൈറ്റുകൾ ഫിഷിംഗ് ചെയ്യാൻ ഉപയോഗിക്കുന്നു) കൃത്യമായി ഈ സാങ്കേതികവിദ്യ ഉപയോഗിക്കുന്നു.

%SystemRoot%\system32\drivers\etc\hosts ഫയൽ UTF "o" പ്രതീകം (0x043E) ഉള്ള ഒരു "ക്ലോൺ" ഹോസ്റ്റ് ഫയലിലേക്ക് പകർത്തി, അതിനുശേഷം യഥാർത്ഥ ഹോസ്റ്റ് ഫയലിന് മറഞ്ഞിരിക്കുന്ന ഫയൽ ആട്രിബ്യൂട്ട് നൽകുകയും അതിലെ ഉള്ളടക്കങ്ങൾ തിരുത്തിയെഴുതുകയും ചെയ്തു. ഇനിപ്പറയുന്ന എൻട്രികൾ ചേർത്തു:

92.38.66.111 odnoklassniki.ru 92.38.66.111 vk.com 92.38.66.111 vkontakte.ru

വെബ് ബ്രൗസർ സ്പൂഫിംഗ് 1. സ്റ്റാറ്റസ് ബാർ / ലിങ്ക് സ്പൂഫ്

ഹൈപ്പർടെക്സ്റ്റ് ലിങ്കിൻ്റെ വിലാസം ചലനാത്മകമായി കബളിപ്പിക്കുക എന്നതാണ് ഈ ആക്രമണത്തിൻ്റെ തത്വം ( ). ഉദാഹരണത്തിന്, ഇര ഒരു ലിങ്കിൽ മൗസ് കഴ്‌സർ ഹോവർ ചെയ്യുന്നു, അതിനുശേഷം ബ്രൗസറിൻ്റെ സ്റ്റാറ്റസ് ബാർ ലിങ്ക് നയിക്കുന്ന വിലാസം പ്രദർശിപ്പിക്കുന്നു. ലിങ്കിൽ ക്ലിക്കുചെയ്തതിനുശേഷം, തന്ത്രപരമായ ജാവാസ്ക്രിപ്റ്റ് കോഡ് ഡൈനാമിക്സിലെ സംക്രമണ വിലാസത്തെ മാറ്റിസ്ഥാപിക്കുന്നു. എനിക്കറിയാവുന്ന ഒരു ഗവേഷകൻ, iamjuza എന്ന വിളിപ്പേരിൽ അറിയപ്പെടുന്ന, ഈ സാങ്കേതികവിദ്യ പ്രായോഗികമായി ഉപയോഗിക്കുന്നതിന് ഒരു PoC പഠിക്കുകയും വികസിപ്പിക്കുകയും ചെയ്തു, എന്നാൽ അദ്ദേഹത്തിൻ്റെ സംഭവവികാസങ്ങൾ സാർവത്രികമായിരുന്നില്ല, മാത്രമല്ല നിർദ്ദിഷ്ട ബ്രൗസറുകളിൽ മാത്രം പ്രവർത്തിക്കുകയും ചെയ്തു. സമാനമായ ഒരു പഠനം നടത്തിയതിന് ശേഷം, എല്ലാ ബ്രൗസർ എഞ്ചിനുകൾക്കുമായി ഈ സ്പൂഫർ ടെക്നിക്കിൻ്റെ സാർവത്രിക പ്രവർത്തനം നേടാൻ എനിക്ക് മികച്ച ഫലങ്ങൾ ലഭിച്ചു. 1337day.com-ൽ പ്രസിദ്ധീകരിച്ച ആശയത്തിൻ്റെ തെളിവ്. സാങ്കേതിക നടപ്പാക്കൽ ഇതുപോലെ കാണപ്പെടുന്നു:

രീതി this.href=" :