DNS (ডিএনএস) সার্ভারের সম্ভাব্য আক্রমণ এবং এর প্রতিকার

DNS (ডোমেইন নেম সিস্টেম) আসলে কি?

আসুন প্রযুক্তির সংক্ষিপ্ত কিছু ব্যাখ্যা দিয়ে শুরু করা যাক। ডোমেন নেম সিস্টেম (ডিএনএস) হল এমন একটা প্রযুক্তি যা ইন্টারনেট ব্যবহারকারীদের বিভিন্ন ওয়েবসাইট এবং ইন্টারনেটের অন্যান্য স্থানে পরিচালিত করে। উদাহরণস্বরূপ আপনার মোবাইলের ফোন বুক এর এন্ট্রিকে ধরা যেতে পারে যেখানে আমরা প্রত্যেকটি নাম্বার এর স্থানে ব্যক্তি বিশেষের নাম দিয়ে শনাক্ত করে থাকি। একইভাবে ডিএনএস এর রেকর্ডগুলি পরীক্ষা করে এবং তারপরে আপনার কম্পিউটারকে ওয়েব সাইটটি কোথায় রয়েছে তা বলে। DNS (ডিএনএস) বিভিন্ন ধরণের অনুবাদক হিসাবেও কাজ করে। এটি মানব-পঠনযোগ্য ডোমেনগুলি নেয় (যেমন, www.example.com) এবং এটি সাইটের আইপি ঠিকানার সাথে মেলানো হয় এবং ডোমেনের অবস্থান সনাক্ত করতে কম্পিউটারগুলিকে সহযোগিতা করে।

DNS (ডোমেইন নেম সিস্টেম) কিভাবে কাজ করে?

ডিএনএস রেজোলিউশনের প্রক্রিয়াটিতে একটি হোস্টনাম (যেমন www.example.com) কম্পিউটার-বান্ধব আইপি ঠিকানায় রূপান্তর করা (যেমন 192.168.1.1)। ইন্টারনেটে প্রতিটি ডিভাইসে একটি আইপি ঠিকানা দেওয়া হয় এবং উপযুক্ত ইন্টারনেট ডিভাইসটি সন্ধানের জন্য সেই ঠিকানাটি প্রয়োজনীয় – যেমন কোন নির্দিষ্ট বাড়ির সন্ধানের জন্য রাস্তার ঠিকানা ব্যবহার করা হয়। যখন কোন ব্যবহারকারী কোন ওয়েবপৃষ্ঠা লোড করতে চান, তখন ডিএনএস হোস্টনাম এর পরিবর্তে একটি আইপি ঠিকানা দেয়া হয়, যার প্রেক্ষিতে ইন্টারনেট বাবহারকারি নির্দিষ্ট সাইটে পৌঁছাতে পারে।

DNS (ডোমেইন নেম সিস্টেম) এর সম্ভাব্য অ্যাটাক সমূহঃ

অ্যাটাক # ১: ডিএনএস পয়সন এবং ক্যাশ ডাটা পরিবর্তনঃ- ডিএনএসের বিষণ শেষ পর্যন্ত ব্যবহারকারীদের ভুল ওয়েবসাইটে নিয়ে যেতে পারে। উদাহরণস্বরূপ, কোন ব্যবহারকারী একটি ওয়েব ব্রাউজারে “msn.com” লিখলো এবং তা আক্রমণকারীর দ্বারা নির্বাচিত একটি পৃষ্ঠা দ্বারা পরিবর্তন করা হল। যেহেতু ব্যবহারকারীরা সঠিক ডোমেন নাম টাইপ করছেন, সেহেতু তার পক্ষে বুঝতে পারা সম্ভব না যে সে ভুল ওয়েবসাইটটিতে ঢুকেছে। এটি আক্রমণকারীদের তথ্য পাচার সম্পর্কিত ফিশিং কৌশলগুলি ব্যবহার করার একটি নিখুঁত সুযোগ তৈরি করে। এছাড়াও ডিএনএসের বিষণ ক্যাশ আপোস এর মাধ্যমেওঁ হয়। উদাহরণস্বরূপ, যদি কোন নেটওয়ার্ক রাউটারের ক্যাশে আপোস করা হয়, তবে যে কেউ এটি ব্যবহার করে প্রতারণামূলক ওয়েবসাইটের ভুল নির্দেশনা দেওয়া যেতে পারে। ভুল ডিএনএস রেকর্ডগুলি তখন প্রতিটি ব্যবহারকারীর মেশিনে ডিএনএস ক্যাশে অন্তর্ভুক্ত হয়। উদাহরণস্বরূপ, একটি বড় ডিএনএস সার্ভার আপোস করা যেতে পারে। এটি ইন্টারনেট সেবা সরবরাহকারীদের দ্বারা পরিচালিত ডিএনএস সার্ভারের ক্যাশেগুলিকে বিষাক্ত করতে পারে। যার প্রেক্ষিতে লক্ষ লক্ষ গ্রাহকের ইন্টারনেট সেবা বিগ্নিত হতে পারে।

অ্যাটাক # ২: ডিএনএস Flood অ্যাটাকঃ– এটি ডিএনএস আক্রমণের অন্যতম প্রাথমিক ধরণ। এই ধরনের আক্রমনের ফলে ডিএনএস এর সেবা দেয়ার কার্যক্ষমতা কমে যায়। এই জাতীয় ডিএনএস বন্যার মূল লক্ষ্য হ’ল যাতে আপনার সার্ভারটি ওভারলোড করা যায় এবং এটি ডিএনএস এর অনুরোধগুলি সরবরাহ করা চালিয়ে যেতে না পারে কারণ সার্ভার এর সমস্ত কার্যক্ষমতা অপ্রয়োজনীয় অনুরোধগুলি সেবা প্রদানে ব্যস্ত থাকে।

অ্যাটাক # ৩: ডিএনএস হাইজ্যাক আক্রমণঃ- যদিও ডিএনএসের স্পোফিং শব্দটি প্রায়শই ডিএনএস হাইজ্যাকের সাথে বিভ্রান্ত হয় কারণ উভয়ই স্থানীয় সিস্টেম স্তরে ঘটে থাকে কিন্তু তারা দুটি ভিন্ন ধরণের ডিএনএস আক্রমণ। বেশিরভাগ সময় ডিএনএসের স্পোফিং বা ক্যাশে বিষক্রিয়ার মধ্যে আপনার স্থানীয় ডিএনএস ক্যাশে মানগুলি ভুয়া তথ্য দিয়ে ওভাররাইটিংয়ের সাথে করে পরিবর্তন করা হয়ে থাকে যাতে আপনাকে দূষিত ওয়েবসাইটে পুনঃনির্দেশ করা যায়। অন্যদিকে, ডিএনএস হাইজ্যাকিং (এটি ডিএনএস পুনঃনির্দেশ হিসাবেও পরিচিত) এই গুরুত্বপূর্ণ সিস্টেম পরিষেবাটি হাইজ্যাক করার জন্য প্রায়শই ম্যালওয়্যার সংক্রমণ জড়িত। এই ক্ষেত্রে, স্থানীয় কম্পিউটারে হোস্ট করা ম্যালওয়্যারগুলি টিসিপি/আইপি কনফিগারেশনগুলিকে পরিবর্তন করতে পারে যাতে তারা কোন দূষিত ডিএনএস সার্ভারের দিকে নির্দেশ করতে পারে, যা শেষ পর্যন্ত ট্র্যাফিকটিকে ফিশিং ওয়েবসাইটে পুনঃনির্দেশিত করবে। এটি যেকোন ডিএনএস আক্রমণ চালানোর অন্যতম সহজ উপায়, কারণ এতে জটিল কৌশল জড়িত না। তদুপরি, এই ধরণের আক্রমণ পরিচালনা করতে প্রচুর স্বয়ংক্রিয় স্ক্রিপ্ট রয়েছে।

Figure 2 – DNS Cache Poisoning

DNS (ডোমেইন নেম সিস্টেম) এর অ্যাটাক থেকে সম্ভাব্য প্রতিকার সমুহঃ

সার্টিফিকেট ভিত্তিক সার্ভারের প্রবেশ বৈধকরনঃ আপনি যখন কোন পরিবর্তন করতে আপনার ডিএনএস সার্ভারগুলিতে লগ ইন করেন তখন আপনার এসএসএইচ সেশনটি বৈধকরণের জন্য ডিজিটাল প্রত্যয়নপত্র ব্যবহার করুন।

DNSSEC সুরক্ষা মডেল ব্যবহার করাঃ DNSSEC এমন একটি অবজেক্ট সুরক্ষা মডেল নিয়োগ করে, যার প্রেক্ষিতে এটা নির্ণয় করা সম্ভব যে আপনি নিরাপদে সঠিক কর্তৃপক্ষ সার্ভারের সাথে সংযুক্ত হয়েছেন। এটি স্তর থেকে স্তরে সুরক্ষা বলয় বা বিশ্বস্ততা লেয়ার তৈরি করে যার প্রেক্ষিতে সঠিক ওয়েবসাইট এর তথ্য পাওয়া সম্ভব হয়।

বিশ্বস্ত ডিএনএস সার্ভার ব্যবহার করার নীতিমালা প্রনয়ন করাঃ ইন্টারনেট সেবা ব্যবহারকারীরা যেন শুধু মাত্র নির্ধারিত সঠিক ডিএনএস সার্ভার ব্যবহার করে, সেক্ষেত্রে কঠিন নিয়ম করে শুধুমাত্র বিশ্বস্ত ডিএনএস সার্ভার ব্যবহার করার নীতিমালা প্রনয়ন করতে হবে।

নিম্নোক্ত বিষয় গুলো অনুসরন করলে ডিএনএস আক্রমণ থেকে অনেকাংশে রক্ষা পাওয়া সম্ভবঃ

• RFC 2182 অনুযায়ী, সকল ডিএনএস সার্ভারের বিকল্প সার্ভার থাকা দরকার এবং স্থান, আইপি এড্রেস, হার্ডওয়্যার বরাদ্দ ভিন্ন ভিন্ন অবস্থানে হওয়া বাঞ্ছনীয়।
• মাস্টার এবং বিকল্প সার্ভারের zone policy synchronization channel encrypted হতে হবে।
• Authoritative এবং Recursive ডিএনএস অনুসন্ধান সার্ভার আলাদা হতে হবে।
• অপ্রয়োজনীয় এবং অব্যবহৃত zone configuration সরিয়ে ফেলতে হবে।
• অভ্যন্তরীণ কাজে ব্যবহৃত ডিএনএস সার্ভারের অনুসন্ধান সীমিত আকারে শুধুমাত্র অভ্যন্তরীণ ব্যবহারকারীদের দেওয়া বাঞ্ছনীয়।

সূত্রঃ

এই Article এ ব্যবহৃত ছবি সমূহ ইন্টারনেট থেকে সংগ্রহীত।

---

Md. Saleh Ahmed

BGD e-GOV CIRT, Cloud Operations Manager