1.2.
DNS Spoofing hujumlari qanday amalga oshiriladi
DNS Spoofing qanday ishlashini to'liq tushunish uchun internet
foydalanuvchilarni veb-saytlarga qanday yo'naltirishini tushunish foydali bo'ladi.
Har bir serverda bir qator raqamlardan tashkil topgan internet protokoli (IP)
manzili deb ataladigan o'ziga xos bosh barmoq izi mavjud. Har bir IP manzil
foydalanuvchilarni veb-saytga to'g'ri yo'naltiradigan mos keladigan domen
nomiga
(www.example.com)
ko'rsatilgan.
DNS-ni
aldash
uchun
kiberhujumchilar trafikni noqonuniy IP-manzilga va soxta veb-saytga yo'naltirish
uchun ushbu jarayonning zaif tomonlarini topadilar va foydalanadilar.
1.2.1-rasm. DNS Spoofing ning ishlash yo‘li.
DNS Spoofing DNS va unga tegishli protokollardagi kamchiliklardan
foydalanish orqali ishlaydi. Hujum bir necha usul bilan amalga oshirilishi
mumkin:
6
1.
Yovuz niyatli shaxs router trafigiga kirish va domen nomini aniqlash
yozuvlarini oʻzgartirish uchun manzilni aniqlash protokolidan (ARP)
foydalanishi mumkin.
2.
Buzg'unchi avtorizatsiya qilingan DNS serverining yozuvlarini o'zgartirishi
mumkin, bu esa trafikni soxta veb-saytga yo'naltirishi mumkin.
3.
Buzg'unchi oraliq nomlar serverini nishonga olishi va uning keshlash
tizimidagi zaif tomonlardan Man-in-the-Middle (MITM) hujumini amalga
oshirish uchun foydalanishi mumkin.
DNS-spoofingning bir nechta turlari mavjud, ammo eng keng tarqalgan
uchtasi:
O‘rtadagi odamni aldash: tajovuzkor mahalliy qurilmangiz va DNS
serveringizni sinxron zaharlash vositasi yordamida ikkalasini ham yuqtirish
uchun brauzeringiz va DNS serveri o‘rtasida bo‘ladi. Bu tajovuzkorning
mahalliy serverida joylashgan zararli saytga yo'naltirishga olib keladi.
DNS keshini spam bilan zaharlash: spam xatlaridagi URL manzillar va
ishonchsiz veb-saytlardagi banner reklamalari virus bilan buzilgan.
Foydalanuvchi URL-ni bosganida, ularning kompyuterlari zararli URL-da
joylashgan virus bilan kasallanadi. Yuqtirilgandan so'ng, foydalanuvchi
qurilmasi haqiqiy narsaga o'xshash soxta veb-saytlarga yo'naltiriladi.
DNS serverini o‘g‘irlash: kiberhujumchi har qanday trafikni soxta
domenga yo‘naltirish uchun serverni qayta sozlaydi.
DNS hujumlari zararli dastur hujumlarining 91% ni tashkil qiladi va har 13
veb-so'rovdan bittasi zararli dasturlarga olib keladi.
Xatarlarga quyidagilar kiradi:
7
•
Ma'lumotlarni o'g'irlash
•
Zararli dastur infektsiyasi
•
Tsenzura
•
Qurilmangizni qo‘shimcha tahdidlarga duchor qilishi mumkin bo‘lgan
to‘xtatilgan xavfsizlik yangilanishlari.
DNS Spoofing va boshqa zararli harakatlar xavfiga qaramay, aksariyat
tashkilotlar o'zlarining DNS faoliyatini umuman kuzatmaydilar. Shunga qaramay,
DNS Spoofing va boshqa DNS bilan bog'liq hujumlarning kuchayishi
tashkilotlarning DNS qatlamida nima sodir bo'layotganini tushunish imkonini
beruvchi monitoring texnologiyasi bilan bir qatorda anti Spoofing echimlarini
qo'llashi kerakligini aniq ko'rsatmoqda.
2.1.2 – rasm. Spoofing hujumini amalga oshirayatgan hacker.
DNS Spoofing tajovuzkorga shubhali foydalanuvchilarning maxfiy
ma'lumotlarini o'g'irlash imkonini beradi. Qurt yoki virus orqali, agar tajovuzkor
foydalanuvchi qurilmasiga kirish huquqiga ega bo'lsa, ular to'lov dasturini o'rnatish
8
uchun undan foydalanishlari mumkin. Trafikni qonuniy veb-saytlardan uzoqroqqa
va ularning firibgar saytlariga yo'naltirish orqali tajovuzkorlar sayt obro'sini va
qidiruv reytingini oshirishi mumkin, bu esa kelajakda soxta domenga ko'proq sayt
trafigini yaratishga yordam beradi.
Quyidagi ssenariy DNS keshini zaharlash hujumini ko'rsatadi. Ushbu
hujumda tajovuzkor (IP 192.168.3.300) mijoz (IP 192.168.1.100) va
www.estores.com (IP 192.168.2.200) veb-saytiga tegishli server kompyuteri
o'rtasidagi aloqa kanalini to'xtatadi. Ushbu hujumni amalga oshirish uchun
tajovuzkor mijozni server IP manzili 192.168.3.300 ekanligiga ishontirish uchun
arpspoof kabi vositadan foydalanadi. Shu bilan birga, server mijozning IP manzili
ham 192.168.3.300 deb o'ylab aldanib qoladi.
Quyida hujumning qanday davom etishi stsenariysi keltirilgan:
1.
Buzg'unchi serverning ARP jadvalidagi MAC manzillarini o'zgartirish uchun
arpspoof dasturidan foydalanadi va bu tajovuzkorning kompyuteri mijozga
tegishli ekanligiga ishontiradi.
2.
Buzg'unchi mijozga tajovuzkorning kompyuteri server ekanligini bildirish
uchun yana arpspoof-dan foydalanadi.
3.
Linuxning "echo 1 > /proc/sys/net/ipv4/ip_forward" buyrug'ini berish orqali
tajovuzkor mijoz va server o'rtasida yuborilgan IP-paketlar tajovuzkorning
kompyuteriga yo'naltirilishini ta'minlaydi.
4.
Buzg'unchi o'zining mahalliy kompyuterida 192.168.3.300 estores.com xost
faylini yaratadi. Ushbu fayl www.estores.com veb-saytini tajovuzkorning
mahalliy IP manziliga moslashtiradi.
5.
Buzg'unchining mahalliy IP-da www.estores.com ga o'xshash soxta veb-
server yaratilgan.
6.
Dnsspoof kabi vosita barcha DNS so'rovlarini tajovuzkorning mahalliy xost
fayliga yo'naltiradi. Natijada, foydalanuvchilarga soxta veb-sayt taqdim
9
etiladi va u bilan muloqot qilish ularning kompyuterlariga zararli
dasturlarning o'rnatilishiga olib keladi.
| 