DNS-Spoofing haqida qisqacha
DNS Spoofing – DNS so’rovni qalbakilashtirish, DNS server bazasiga noto’g’ri ma’lumot kiritish orqali klientlarni boshqa soxta manzilga yo’naltirish uchun ishlatiladigan xujum turi.
Xo’sh, DNS o’zi nima? DNS (Domain Name Server) – tarmoqdagi mavjud hostlarni bir-biri bilan nomi orqali murojat qilib bog’lanishiga imkon beradi, chunki tarmoqni asosini tashkil qiluvchi routerlar (o’zbekchasiga allambalo bo’lsa kerak) uchun nom tushunchasi yo’q, routerlar faqat IP manzilni biladi holos va hostlarni shu IP manzillari bo’yicha taniydi. Masalan, siz brauzerda google.com deb tersangiz, brauzer avvalo bu google.com ni haqiqiy “nomi» (aniqrog’i IP manzili)ni bilib, so’ng o’sha IP manzilga bog’lanishi kerak. Buning uchun brauzer DNS serverga “google.com ni manzili qaysi?» deb so’rov beradi. DNS server esa o’z navbatida “google.com xxx.xxx.xxx.xxx manzilda joylashgan» degan javobni beradi. DNS serverlar bazasida qaysi nomga qanday IP manzili mos kelishi haqida ma’lumot mavjud bo’ladi.
Agar DNS server o’z bazasidan kerakli nomga mos keluvchi IP manzilni topa olmasa, unda u bu ma’lumotni o’ziga yaqin boshqa bir DNS serverdan so’raydi (boshlang’ich klient host nomidan), agar u DNS serverda ham bu haqda ma’lumot bo’lmasa, u ham boshqa DNS serverdan bu haqda so’raydi va hokazo. Qaysidir DNS serverdan javob topilgach bu javob DNS serverlardan qaytib oxiri boshlang’ich klientga yetib keladi. DNS server boshqa amallarni, masalan yuqoridagi amalni teskarisini ham bajaradi, ya’ni berilgan IP manzilga qaysi nom mos kelishini topib berishi ham mumkin.
DNS Spoofing yuqorida aytilgan, klient host jo’natadigan DNS so’rovga boshqa o’zgartirilgan javob kelishini ta’minlashdir. DNS serverlar tezlik va trafikni optimallash maqsadida oldingi berilgan so’rov va natijalarini o’z keshi (cache)da saqlab qoladi. DNS Spoofingni bir necha usullari bo’lib, ulardan eng asosiysini ko’rib chiqamiz:
DNS server keshini “zaharlash»
Bizga Yandex DNS server (ns1.nishon.uz) keshidagi www.yaxshijoy.uz saytini IP manzilini www.yomonjoy.uz sayti IP siga “almashtirib» qo’yish kerak bo’lsin. Shunda ushbu DNS serverdan foydalanadigan tarmoq qismi foydalanuvchilari www.yaxshijoy.uz saytiga kirganda www.yomonjoy.uz saytiga yo’naltiriladi. Birinchi bo’lib, ns1.nishon.uz (DNS server)ni www.yaxshijoy.uz IP manzili haqidagi ma’lumotni izlashga “majburlaymiz». Buning uchun ns1.nishon.uz ga kerakli DNS so’rov jo’natiladi. So’ngra ushbu dns ga www.yaxshijoy.uz saytiga ma’sul DNS server (masalan ns.yaxshijoy.uz) nomidan soxta DNS-javob jo’natamiz. Ya’ni ns1.nishon.uz www.yaxshijoy.uz haqidagi ma’lumotni o’z keshidan topa olmaganda uni dns lar zanjiri orqali borib oxirida ns.yaxshijoy.uz dan so’raganda, biz uni nomidan javob yo’llaymiz (haqiqiy javobdan oldin). Soxta javob www.yaxshijoy.uz ga soxta IP manzil (www.yomonjoy.uz ni manzili) mos keladigan qilib jo’natiladi. O’z navbatida ns1.nishon.uz olingan ma’lumotni o’z keshiga yozib qo’yadi va ma’lum vaqt orasida (bu vaqt javobdagi TTL – maydonida ko’rsatilgan bo’ladi) www.yaxshijoy.uz ni so’ragan barchaga www.yomonjoy.uz ning IP manzilini beraveradi.
Soxta javob ns1.nishon.uz tomonidan to’g’ri deb qabul qilinishi uchun bir nechta shartlar bajarilishi kerak:
— Soxta javobni jo’natuvchi IP manzili so’ralgan dns server IP manzili (ns.yaxshijoy.uz) bilan bir hil bo’lishi kerak. Yechimi: IP Spoofing, paketdagi jo’natuvchi IP manzilini almashtirib jo’natish (raw socket);
— Soxta javobdagi UDP port, so’rov jo’natilgan port bilan bir hil bo’lishi kerak (ya’ni ns1.nishon.uz ning DNS so’rov yuborgan portiga). Yechimi: odatda hozirda ishlatiladigan DNS-serverlar (BIND4, MSDNS) doim 53-portdan foydalanadi. Shuning uchun soxta javobni ushbu portga bemalol jo’natib ko’rish mumkin (har doim ham emas, masalan BIND8 chiquvchi port sifatida ihtiyoriy portdan foydalanishi mumkin);
— Soxta javob identifikatori so’rov identifikatori bilan mos kelishi kerak (identifikator paket ichida jo’natiladi);
— Soxta javob so’ralgan ma’lumotni o’z ichiga olishi kerak.
Manba:
Boshqalar
DNS-Spoofing haqida qisqacha