تعرف الى الـ DNS cache snooping
يعتبر DNS هو ذلك النظام الذي يسهل علينا تذكر عناوين الايبي ، مدام ان المنظومة المعلوماتية لاتقبل سالبحث عن ككتبت إسم نطاق فإن سرفر DNS في حالة إذا لم يتوفر على آيبي السرفر المقابل لهذا النطاق في cache سيتحول سرفر الــ DNS بدوره إلى عميل ويبحث لك عن ايبي الموقع في سرفرات DNS مرتبط بها .
رات DNS اخرى مرتبط بوى الارقام فإن نظام الــ DNS يعمل على تحويل اسماء النطاقات التي نكتبها إلى عناوين آيبي فمثلا لو ل إسم نطاق والايبي المرافق له ، وذلك من خلال الإجابة على الطلبات بطريقتين Recursive و non -Recursive .
عند تفعيل Recursive في سرفر DNS فإن هذا الاخير في حالة إذا لم يجد إجابة على طلبك فإنه سيبحث عن الإجابة في سرفعمل على تحويل إسم النطاق إلى عنوان آيبي 108.162.198.187 ، هكذا فإن نظام DNS يعمل على ها ، بطريقة اخرى مثلا لو كتبت موقع pr0programer في المتصفح ، فإن هذا الاخير سي
عند تفعيل Recursive في سرفر DNS فإن هذا الاخير في حالة إذا لم يجد إجابة على طلبك فإنه سيبحث عن الإجابة في سرفعمل على تحويل إسم النطاق إلى عنوان آيبي 108.162.198.187 ، هكذا فإن نظام DNS يعمل على ها ، بطريقة اخرى مثلا لو كتبت موقع pr0programer في المتصفح ، فإن هذا الاخير سي
.tiff "تعرف الى الـ DNS cache snooping")
اما في حالة تفعيل NON -Recurالسرفر بإرسال رابط إحالة فقط. sive فإن السرفر لن يعمل على البحث عن عنوان الايبي الخاص بالنطاق المرافق للدومين الذي كتبته في سرفرات DNS وسيتكفي في حالة لم يجد الإجابة في الـ cache فإن
DNS cache snooping ماهو ؟ وما هو دوره ؟
طبعا بعدما فهمنا اليات عوع هذا الدرche فإن سرفرDNS يبحث عن الإجابة في سرفرات اخرى ، بعد ان يجد الإجابة يقوم بتدوينها في سجلاته الخاصةمل DNS الان السؤال الذي قد تطرحه على نفسك ماهو DNS cache snooping ؟ وهو موض ، لهذا قد يعمل بعض الهاكرز وهو الامر الخطير في الموضوع بإدخال بيانات خاطئة إلى هS يحتوي في ذاكرة تخزينه المؤقتة على الموقع الهدف ، ففي حالة عدم تواجد الموقع فإن الهاجم سيسرل طلب خبيث لسرفر الــ DNS يجعل هذا الاخير يسجل بيانات خاطئة عن الموقع في ذاكرته اي ان المهاجس . طبعا كما اشرت في مقدمة هذا الموضوع فإن الــ DNS يبحث عن ايبي الموقع في ذاكرته الخاصة والتي تدعى DNS cache ، والــ cache يمكنك ان تتخيلها كجدول يحتوي على العديد من المواقع وكل موقع يقابله عنوان آيبي الخاص به ففي حالة عدم تواجد الموقع في الــ caم سيتلاعب بالآيبي المقابل لإسم النطاق فمثلا لو كان موقع المبرمج الم يقابله عنوان الايبي 195.20.45.207 ونفترض ان الموقع غير متواجد في سرفر 8.8.8.8 الخاص بجوجل (google DNS ) ، فإن المهاجم قد يرسل طلب خبيث يه سيضهر له رسالة ان الموقع مخترق .ذه الذاكرة او مايسمى بتسميم الكاش DNS cache poisoning بالتالي فإنه متضمن ان موقع www.Th3professional.com عنوان الايبي الخاص به هو 95.12.34.65 الاخير الذي قد يكون عنوان سرفر المهاجم الذي يتوفر على صفحة إختراق ، الامر الذي سيجعل DNS جوجل يسجل في سجلات ذاكرة التخزين المؤقت معلومات خاطئة وفي هذه الحالة اي شخص كتب موقع في متصفحن الضروري على المهاجم قبل تطبيق بعض الهجمات معرفة ما إذا كان سرفر DN
كيفية عمل DNS cache snooping
لكي نستطيع معرفة ما إذا كان موقع يتواجد على ذاكرة التخزين المؤقت لسرفر DNS فيمكننا تطبيق الامر الات 8.8.8.8
ي من خلال موجه الاوامر الدوس :
Address: 8.8.8.8#53
Non-authoritative answer:
*** Can't find www.elmohtaref.com: No answer
nslookup -norecursive -type=A
Server:
لاحظ معي ان عند كتابة الامر norecursive فإننا اخبرنا سرفر جوجل 8.8.8.8 اننا نود معرفة ما إذا كان موقع يتولموقع في سرفرات اخرى كما ستلاحظ معي من خلال المثال الاتي :
# nslookup -recursive -type=A
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
Name: http://pاجد على ذاكرة التخزين المؤقت للسرفر وكما تلاحظ ان الإجابة كانت ان الموقع غير متواجد في مقابل إذا ارسلنا الطب بإستعمال recursive فإننا سنجبر السرفر على البحث عن عنوان الايبي لr0programer.tk
Address: 19cursive فكيف لنا معرفة إن كان الموقع متواجد في ذاكرة التخزين المؤقت لسرفر الــ DNS ؟ سؤال وجيه والإجابة هي متعددة ولكن ساقتصر في هذا الدرس على شرح طريقة واحدة وهي عن طريق حسالموقع متواجد في ذاكرة التخزين المؤقت سرفر الــ DNS فإن مدة الإجابة ستكون اقل من مدة الإجابة في حالة إذا لم يكن 5.20.45.207
طبعا الخطوة بسيطا كما تضهر للوهلة الاولى ، لكن ماذا إذا كان سرفر DNS غير مفعل لـ NON-reذلك لان السرفر سيبحث عن الإجابة في سرفرات اخرى و من الطبيعي ان يأخد وقت اطول ... لهذا سنستعين باداة dig والتي ستساعدنا في حساب وقت إجابة السرفر من خلال الامر الاتي :
اب مدة إجابة السرفر ، وذلك عن طريق الفرضية الاتية :
إذا كان
; <<>> DiG 9.3.2 <<>> @8.8.8.8 www.; (1 server found)
google.com
;; global options: answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1094
;; flags: qr rd ra; QUERY: 1, ANSWER: 16, AUTHORITY: 0, ADDITIONAL: 0
;; Got ;; QUESTION SECTION:
;www.google.com. IN A
;; Query time: 35 msec
;; SERVER: 8.8.8.8#5 اننا تعمدنا البحث على وقت الإجابة لـموقع جوجل www.google.com لاننا نعلم ان جوجل حتما متواجد في ذاكرة التخزين ال3(8.8.8.8)
;; WHEN: Thu Jul 18 15:42:15 2013
;; MSG SIZE rcvd: 288
لاحظ معيمؤقت لـ جوجمنا بحساب مدة سرعة إستجابة موقع 195.20.45.207 فإننا سنلاحظ ان الموقع يأخد وقت اطول قريب من الضعف وهذا دليل على ان الموقع غير متواجد في ذاكرة التخزين المؤقت لسرفر 8.8.8.8 (google dns)
ل وعليه كما تلاحظ فإن الوقت المستغرق هو 35 msec في مقابل إذا ق
; <<>> DiG 9.3.2 <<>> @8.8.8.8 195.20.45.207
; (1 server fo;; Got answer:
und)
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 460
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;195.20.45.207. IN A
;; global options: printcmd
لا يوجد تعليقات
شاركنا الرائ