كيفية منع اختطاف نظام أسماء النطاقات وتأمين دقة أسماء النطاقات باستخدام DNSSEC والدقة متعددة الخطوط في شبكة CDN عالية الدفاع.

في الآونة الأخيرة، ساعدت صديقًا في التعامل مع حادثة اختطاف نظام أسماء النطاقات DNS ووجدت أن الكثير من الأشخاص لا يزالون يستخدمون خدمة حل أسماء النطاقات المجردة. قام المهاجم بتوجيه حركة المرور إلى مواقع التصيّد الاحتيالي، وتطايرت شكاوى المستخدمين مثل رقاقات الثلج. في هذه الأيام، حتى شبكات CDN يجب أن “تمنع زملاء الفريق”، ناهيك عن خوادم أسماء النطاقات العامة.

قد تعتقد أنه مع وجود شبكة CDN عالية الدفاع سيكون كل شيء على ما يرام، ولكن لا تنسى: DNS هو البوابة الأولى لمدخل المرور. إذا تم اختراق البوابة، فلا فائدة من بناء جدار عالٍ خلفها. لقد اختبرت عددًا من الحالات، 90% “شذوذ حركة المرور” ليس هجومًا على CC، ولكن مستوى DNS قد تم اختراقه منذ فترة طويلة.

لطالما كان اختطاف DNS أكثر من مجرد تغيير الدقة.أصبحت “حزمة ”رجل في الوسط" رائجة الآن. الشائع الآن هو "حزمة "رجل في الوسط": أولاً تلويث ذاكرة التخزين المؤقت المحلية لنظام أسماء النطاقات DNS، ثم التلاعب بالاستجابة على مستوى مزود خدمة الإنترنت، وحتى ضد المسجل مباشرة لشن هجمات. في العام الماضي، تم توجيه اسم نطاق شركة تجارة إلكترونية معروفة إلى عنوان IP خبيث، والسبب الجذري هو العامل الاجتماعي لحساب المسجل، ولا علاقة لشبكة CDN بذلك - ولكن لن يشعر المستخدمون إلا بانهيار موقعك.

حان الوقت لإخراج الحصان القديم DNSSEC. لا تخافوا من هذه الكلمة، بصراحة، هي عمل توقيعات رقمية لسجلات DNS. كما لو أنك ذهبت إلى البنك لسحب الأموال، فإن الصراف لا يقوم فقط بفحص بطاقة الهوية (دقة اسم النطاق)، ولكن أيضًا للتحقق من بصمات الأصابع (التوقيع الرقمي). سيتعين على المزور أن يحطم أساس التشفير، وتكلفة السحب المباشر كاملة.

ومع ذلك، يخطو العديد من الأشخاص على حفر أكثر من المشاكل عند تكوين DNSSEC. على سبيل المثال، يستخدمون بعض أمناء السجلات الأجانب ولكنهم ينسون تشغيل مزامنة سجل DS، أو يتم تعيين TTL على طول كبير، مما يؤدي إلى بطء التراجع مثل الحلزون في حالة الفشل. كان الدرس الأكثر إيلامًا الذي تعلمته عندما قمت بنشره على منصة مالية، لأن خادم NS لم يدعم EDNS0، مما أدى مباشرةً إلى مهلة الحل لمستخدمي آسيا والمحيط الهادئ - تاريخ الدم والدموع يخبرنا بذلك:اختبر قبل بدء التشغيل ولا تثق في “التوافق الافتراضي” للبائعين.”

هنا لنشر اختبار حقيقي قابل للاستخدام DNSSEC للتحقق من البرنامج النصي للتحقق من DNSSEC (لا يمكن تشغيله لضربني):

DNSSEC وحده لا يكفي. فبيئة الشبكة المحلية معقدة للغاية، وتأخير خط يونيكوم لمستخدمي الاتصالات الذي يصل إلى 300 مللي ثانية أمر شائع. هذه المرة علينا أن نقدم السلاح السحري المتمثل في دقة الخطوط المتعددة. لكن لا تكن سخيفًا مع التقسيم الجغرافي - الآن المستخدمون معلقون VPN، توجيه الموقع الجغرافي لعنوان IP ليس موثوقًا مثل رمي السهام.

برنامجي الحالي هواستراتيجية التحويل ثلاثية المستوياتتتمثل الخطوة الأولى في تحديد شبكة العمود الفقري للناقل عن طريق ASN (رقم النظام المستقل)، ثم ضبط الوزن ديناميكيًا وفقًا للتأخير في الوقت الفعلي، وأخيرًا استخدام Anycast لضمان القاع. على وجه الخصوص، يمكن لمزودي الخدمة الذين يستخدمون BGP Anycast مثل CDN07، إلى جانب التحليل متعدد الخطوط، أن يصل زمن انتقال التحليل إلى 50 مللي ثانية.

خذ حالة ترحيلنا إلى 08Host العام الماضي: يتم توجيه مستخدمي الاتصالات الأصليين دائمًا إلى عقد يونيكوم، ثم في مستوى DNS للقيام بتحديد ASN + اكتشاف التأخير، والسماح مباشرةً بزيادة معدل إصابة الدقة بمقدار 40%:

ولكن لا تظن أنه يمكنك أن تطمئن مع وجود DNSSEC+Multiline في جعبتك، فتسميم ذاكرة التخزين المؤقت لنظام أسماء النطاقات و DDoS لخادم NS وحتى سجل شفافية الشهادات للتزوير...... المهاجمون يمارسون حيلًا أكثر مما تعتقد. لقد اصطدمت ذات مرة بفريق يزرع حصان طروادة يستهدف تحديدًا تسميم DNS المتكرر على شركات الاتصالات الصغيرة لأن إصدار برنامج DNS الخاص بهم كان لا يزال عالقًا في عام 2014.

تكمن القيمة الحقيقية لشبكة CDN عالية الدفاع في الجيوب. ستقوم عقد مثل CDN5 بالتحقق من نتائج حل DNS مرتين: إذا تم اكتشاف تطابق عنوان IP الذي تم حله مع قاعدة بيانات استخبارات التهديدات، يتم تشغيل عملية التنظيف مباشرة. وهذا يعادل إضافة تأمين مزدوج إلى نظام أسماء النطاقات - حتى إذا تم التلاعب في دقة الواجهة الأمامية، فإن حركة المرور إلى العقدة الطرفية لديها فرصة أخيرة لتصحيح الخطأ.

ألقِ نظرية العاصفة الأخيرة:إن التجرؤ على عدم استخدام فريق DNSSEC في عام 2024 يعادل السير على الطريق السريع في شاحنة نقود بدون خزنة!ولكن لا تبالغ في ذلك. ولكن لا تفرط في ذلك - لقد رأيت شركة لاختبار النطاقات الداخلية أيضًا على مجموعة كاملة من DNSSEC، في كل مرة تقوم فيها بتغيير السجل لانتظار مزامنة التوقيع، يكاد المطورون يضعون التشغيل والصيانة في موضع التضحية.

يجب أن تكون البنية الموثوقة الحقيقية متداخلة مثل البصل: مصادقة أنبوب DNSSEC، وتحسين أداء أنبوب التحليل متعدد الخطوط، وتنظيف حركة مرور أنبوب CDN عالي الدفاع. بالمناسبة، أمواي عملية مثيرة للشغب: تسطيح الاسم المستعار لبائع CDN تسطيح سجلات الاسم المستعار لشبكة CDN، للاستمتاع بالتأثير المتسارع لشبكة CDN، ولكن أيضًا لتجنب أن تكون دقة السلسلة طويلة جدًا مما يؤدي إلى نقاط الفشل.

لوضع الأمر في منظوره الصحيح: لا تزال العديد من المؤسسات تركز استثماراتها الأمنية على جدران الحماية و WAFs، ويُترك أمن DNS للصدفة. ولكن عندما تنظر إلى الحوادث الأمنية الكبرى التي وقعت في السنوات الأخيرة، بدءًا من حادثة اختطاف GitHub إلى حادث البنك البرازيلي، أي منها لم يتم اختراقه على مستوى نظام أسماء النطاقات؟حل أسماء النطاقات هو شريانا الإنترنت، إذا تم قرصها هنا، فإن جميع الدفاعات اللاحقة هي مجرد عرض.

بالمناسبة، إذا كنت بصدد اختيار أحد النماذج، تذكر أن تختبر توافق DNSSEC الخاص بالبائع. بعض البائعين القدامى (لن أذكر أسماءهم) دعم EDNS سيء مثل الغربال، سيكون من الأفضل استخدام 08Host مثل مزودي الخدمات الناشئة - على الأقل منذ اليوم الأول من ولادتها من دعم المكدس الكامل DoH/DoT. البيانات المقاسة هنا: نفس العقدة لفتح DoH، تقلبات زمن انتقال الدقة من 200 مللي ثانية إلى أقل من 30 مللي ثانية! والسبب هو تخطي سلسلة تلوث DNS الخاصة بمزود خدمة الإنترنت المحلي.

هذا الشيء من التكنولوجيا هو الأكثر خوفاً من نصف الحمار. إما مثل فريق وانغ المجاور يكذب تماما مع DNS العام، أو بصراحة DNSSEC + متعدد الخطوط + CDN مجموعة كاملة من ثلاث قطع. الأكثر خوفًا من هذا النوع من إنفاق الملايين لشراء دفاعات عالية، والنتيجة هي توفير بضعة آلاف من DNS نسخة احترافية من الخدمة - نفس الشيء بالنسبة للقبو لتثبيت أقفال قزحية العين، ولكن يتم إدخال المفتاح في الباب.

في المرة القادمة التي تواجهك فيها مشكلة “لا يمكن فتح الموقع ولكن لا يمكن فتحه ولكن يمكن إجراء اختبار الاتصال من خلاله”، أخرج أولاً يد تشخيص DNS من ثلاثة محاور: تحقق من سجلات DS، وتحقق من توقيع RRSIG، وقياس توجيه الخط. من المؤكد أن 80٪ من المشكلة يمكن تحديد موقعها على الفور - الـ 20٪ المتبقية؟ هذه هي شبكة العمود الفقري للمشغل التي تعرضت للقصف، وسارع إلى نقع المعكرونة وإصلاحها.

الأخبار

كيف تختار شبكة CDN عالية الدفاع لمواقع الفيديو؟ 3 نقاط رئيسية للنطاق الترددي والتخزين المؤقت ودعم البروتوكول

2026-2-25 17:00:00

الأخبار

كيف تحمي شبكة CDN عالية الدفاع الاجتماعي من التسجيلات الخبيثة؟ الجمع بين Captcha وبصمة الجهاز للحد من الحسابات الضارة

2026-2-25 18:00:01

0 رد Aالمؤلف Mالمشرف
    لا توجد تعليقات بعد. كن أول من يشارك برأيه!
الملف الشخصي
عربة التسوق
قسائم
تسجيل الدخول اليومي
رسالة جديدة الرسائل المباشرة
بحث