ما مدى عمق المياه في صناعة الشطرنج، أولئك الذين انخرطوا فيها يدركون أن هجمات DDoS شائعة، ولكن ما يجعل فروة رأس الناس مخدرة هو في كثير من الأحيان نوع من الحيل “الصامتة” - مثل اختطاف DNS. من الواضح أن اللاعبين يدخلون عنوان موقعك الرسمي، ولكن يتم توجيه النتائج إلى موقع تصيّد متطابق، وكلمات مرور الحساب، وإعادة شحن المبلغ على الفور. هذا هو أكثر إثارة للاشمئزاز من الشلل المباشر للخدمة، التي تنتمي إلى قتل القلب.
أكلت هذا النوع من الخسارة في السنوات الأولى. في ذلك الوقت ، اعتقدت أن أمن الخادم للقيام بدلو الحديد بشكل عام ، وجميع أنواع الدفاعات العالية ، وكومة WAF ممتلئة ، ونتيجة المهاجم لم يلمس الخادم الخاص بي ، والالتفاف المباشر ، على عبث تحليل DNS الخاص بي. لا يمكن للمستخدمين ببساطة الوصول إلى باب الخادم الخاص بي، في منتصف الطريق ليتم اختطافه. خلال تلك الفترة من الزمن، كانت الشكاوى غامرة، جميعهم قالوا إن إعادة الشحن لم تصل، تسجيل دخول غير طبيعي، وفقط بعد نصف يوم من التحقيق، كان رد فعلهم: تم تسميم DNS.
DNS هو “دليل الهاتف” للإنترنت، وهو المسؤول عن ترجمة أسماء النطاقات إلى عناوين IP. ومع ذلك، فإن عملية الاستعلام عن نظام أسماء النطاقات التقليدية هي في الأساس في نص عادي وتفتقر إلى آليات المصادقة - إنها مثل سؤال شخص عشوائي في الشارع عن الاتجاهات، ثم يشير لك الشخص الآخر في الاتجاه الخاطئ وأنت لا تعرفه. يمكن للمخترق أن يتلاعب بنتائج استعلام DNS في أي مرحلة من العملية (ذاكرة التخزين المؤقت المحلية، المحلل العودي، الخادم الرسمي).
خاصة في مجال الشطرنج، فإن الدافع للهجوم قوي للغاية. فالاختطاف من قبل عصابات الابتزاز مربح بشكل مباشر، ويمكن أن يؤدي الاختطاف من قبل المنافسين إلى إبعاد المستخدمين عنك. لقد اختبرت بالفعل، حتى لو لم يستغرق الأمر سوى وقت قصير لحل عنوان IP الخاطئ، فإن نصف ساعة يمكن أن تفقد الكثير من المستخدمين النشطين وتعيد شحن المياه. لا تصدق هراء “فقط استخدم نظام أسماء النطاقات العام”، 8.8.8.8.8.8 و114.114.114.114.114 لا تزال معرضة لخطر التلوث.
لمنع اختطاف نظام أسماء النطاقات (DNS) حقًا، عليك أن تبدأ على مستويين أساسيين: أدقة متكررة لخطوط DNS متعددةوالآخر هوالتحقق من توقيع DNSSECإن الجمع بين هذين التكتيكين يعادل كلاً من بوليصات التأمين المتعددة لنطاقك والتحقق من البصمة الرقمية لعملية الحل. إن الجمع بين هذين التكتيكين يعادل كلاً من بوليصات التأمين المتعددة لاسم النطاق الخاص بك والتحقق من البصمة الرقمية لعملية الحل.
لنبدأ بخطوط DNS المتعددة. في هذه الأيام، من المغامرة استضافة خدمات الدقة مع مزود واحد فقط. تتمثل استراتيجيتي الحالية في استخدام اثنين أو أكثر من مزودي خدمة DNS على الأقل في نفس الوقت، وأحتاج إلى شبكة CDN عالية الدفاع لدعم تبديل الدقة متعددة الخطوط. على سبيل المثال، أنا أستخدم CDN5 للدقة الأساسية، وCDN07 للدقة الاحتياطية، و08Host آخر للدعم. لاحظ أنه ليس مجرد إعداد بعض سجلات NS وهذا كل شيء، ولكن لتكوينتحديد الأولويات والفحوصات الصحية。
باستخدام تكوين CDN5، سأقوم بإعداد أتمتة تجاوز الفشل في وحدة التحكم الخاصة به:
يعني هذا التكوين أن خط DNS الأساسي سيجري فحصًا صحيًا كل 30 ثانية، وإذا فشل الاختبار لمرتين متتاليتين، فإنه يتحول تلقائيًا إلى الخط الاحتياطي. في الاختبار الحقيقي، حتى لو كان الخط الرئيسي مختطفًا أو ملوثًا، يمكن للخط الاحتياطي أن يصمد أمام الدقة العادية. لكن جوهر الخط المتعدد هوخدمة غير متجانسة--لا تذهب مع علامات تجارية متعددة من نفس الشركة، فمن المحتمل أن تشترك في البنية التحتية وتعلقها معًا.
ومع ذلك، فإن الخطوط المتعددة هي مجرد “تكرار”، وليست حماية ضد “التلاعب”. ما يمكن أن يمنع حقًا تزوير الدقة من الجذر هو DNSSEC (ملحقات أمان نظام أسماء النطاقات). فهو يستخدم تشفيرًا غير متماثل لتوقيع سجلات DNS رقميًا، ويتحقق الخادم العودي من أن التوقيع قد نجح قبل إرجاع نتيجة الحل. إذا لم يتطابق التوقيع، فهذا يعني أن السجل قد تم التلاعب به وسيتم رفض الاستجابة مباشرة.
يعد نشر DNSSEC أكثر قليلاً من بوابة، ولكنه بالتأكيد يستحق ذلك. تحتاج إلى تمكين دعم DNSSEC في مسجِّل النطاق أولاً (بعض البائعين المحليين يخفونه بشكل أعمق قليلاً، عليك أن تجد خدمة العملاء لفتحه)، ثم إنشاء أزواج مفاتيح:
بعد الإنشاء، تحصل على المفتاحين العام والخاص، ويتم الاحتفاظ بالمفتاح الخاص لنفسك ويجب تحميل المفتاح العام إلى وحدة تحكم DNS وإضافته إلى سجل DS (موقعة التفويض) لاسم النطاق. يحتاج المُسجِّل إلى إرسال سجل DS إلى سجل نطاق المستوى الأعلى (على سبيل المثال .com). يتم إعداد المصادقة المتسلسلة الكاملة.
لكن DNSSEC له ثغرة: لا تدعمه جميع شبكات CDN بشكل مثالي. من أجل توفير الموارد، لا تتحقق بعض خوادم CDN العودية ذات المصانع الصغيرة عالية الدفاع من توقيعات DNSSEC على الإطلاق. لقد خطوت على المنجم، وبالتأكيد سأستخدم أمر الحفر لاختباره عندما أختار نموذجًا لاحقًا:
إذا كانت هناك علامة 'ad' (بيانات أصلية) في نتيجة الإرجاع، فهذا يعني أن عقدة CDN تدعم مصادقة DNSSEC بشكل كامل. في الوقت الحالي، CDN5 و 08Host هما الأكثر استقرارًا في دعم DNSSEC، أما CDN07 فهو كسول أحيانًا في بعض العقد الطرفية دون التحقق.
بالإضافة إلى الأدوات التقنية، يجب عليك البقاء في الخلف على مستوى الأعمال. لقد صنعت صفحات الأعمال الحرجة (على سبيل المثال، صفحات التعبئة)التحقق من الدقة الثانوية:: بعد أن يحصل العميل على عنوان IP لأول مرة، فإنه يتحقق من أن عنوان IP شرعي بشكل عكسي من خلال قناة مشفرة إلى خادم الأعمال. إذا تم اختطافه، فإنه على الأقل سينبهه ويمنع المعاملة في الوقت المناسب. يبدو مستوى الشفرة كما يلي:
أخيرًا، لكي نكون صادقين، فإن جوهر أمان DNS هو سلسلة الثقة، ويجب ألا تسحب شبكة CDN عالية الدفاع في هذه الحلقة القدم. يجب أن أنظر إلى ثلاث نقاط عند الاختيار: ما إذا كان يجب دعم الوصول إلى مزود DNS المتعدد، وما إذا كانت العقدة بأكملها لفتح مصادقة DNSSEC، وما إذا كان حل الحالات الشاذة في الوقت الحقيقي إنذارات. أولئك الذين لا يسمحون لك حتى بتكوين سجل DS سجل CDN البائعين، تمر مباشرة.
صناعة الشطرنج نفسها حساسة، والمهاجمون يبحثون دائماً عن أوجه القصور. كما أن دفاع الخادم صعب مرة أخرى، وتسريب DNS عبثًا أيضًا. التحليل متعدد الأسطر + DNSSEC + التحقق من طبقة الأعمال، هذه المحاور الثلاثة للأسفل، لا نقول مضمونة، ولكن على الأقل يمكن أن تجعل عصابات اختطاف DNS 99% تأخذ زمام المبادرة لتجاوزها. أما بقية 1%، فقد يتعين تجاوزها فعلياً.
أوه نعم، وقم بقياس صحة دقة نطاقاتك بانتظام باستخدام أدوات مثل “dnsviz.net” أو "cloudflare-dns.com/check". لا تنتظر حتى يشتكي المستخدمون - في هذه الأيام، حتى شبكات CDN يجب أن تكون "مقاومة للتشابه".
