อย่างที่หลายคนทราบดีกันว่าเซิร์ฟเวอร์ DNS เป็นเหมือนฟังก์ชันสำคัญของอินเตอร์เน็ต แต่มักไม่แสดงตัว จนกระทั่งโดนแฮกเกอร์ทำให้ใช้งานไม่ได้เราถึงให้ความสนใจกับมัน และในบทความนี้จะบอกว่าอะไรบ้างที่ทำให้เซิร์ฟเวอร์คู่ทุกข์คู่ยากอย่าง DNS ทำงานผิดปกติ
เซิร์ฟเวอร์ DNS คืออะไร?
DNS มาจากคำว่า “Domain Name System” ซึ่งทำให้เราสามารถแก้ไข IP Address ได้ เพราะผู้ใช้มักไม่ต้องการที่จะจำตัวเลขและตัวอักษรในลักษณะที่ยาวเป็นวา เพราะคนมักสามารถจำคำว่า “www.facebook.com” ได้มากกว่า “31.13.92.36” อยู่แล้ว
เพื่อที่จะทำให้ตัวเลขกลายเป็นตัวอักษรผู้ใช้ต้องพึงสิ่งที่เรียกว่าเซิร์ฟเวอร์ DNS ซึ่งทำให้ที่เรียบเรียงว่าเลขชุดตัวไหนเป็นของชื่ออะไร เพื่อให้ง่ายต่อการจดจำ และสามารถปรับเปลี่ยนได้
นี่เป็นเหตุผลว่าทำไมเซิร์ฟเวอร์ DNS ถึงเป็นที่สนใจของแฮกเกอร์ และทำให้พวกเขาพยายามที่จะออกแบบการโจมตีเพื่อใช้ประโยชน์จากเซิร์ฟเวอร์ตัวนี้
DNS ปลอม กับ Cache ปลอม
ทั้ง 2 อย่างนี้หลายครั้งถูกตีความคล้ายกัน แต่ในเชิงเทคนิคนั้นแตกต่างกัน เราอาจบอกได้ว่า Cache ปลอมเป็นเพียงหนึ่งในหลายวิธีการทำ DNS ปลอมก็ว่าได้
DNS ปลอม (การเปลี่ยน IP Address ให้เป็นไปตามที่แฮกเกอณ์ต้องการ) อาจนับเป็นเป้าหมายของการโจมตี ซึ่งมีกระบวนการที่ต่างกันออกไปตามความถนัดของแฮกเกอร์ การทำ Cache ปลอมก็เป็นหนึ่งในทางเลือกของแฮกเกอร์เช่นเดียวกัน
เราขอยกตัวอย่างการทำ DNS ปลอมที่มีเป้าหมายเป็นผู้ใช้ แฮกเกอร์มักใช้วิธีการแทนที่ Address ของเซิร์ฟเวอร์ DNS ผ่านระบบปฏิบัติการหรือเร้าเตอร์ ซึ่งเป็นช่องทางหลักที่เชื่อมต่อกับเซิร์ฟเวอร์ DNS และผู้ให้บริการอินเตอร์เน็ต อย่างภาพที่เห็นด้านล่าง
ส่วน Cache ปลอมจะเกิดขึ้นในสถานการณ์ที่ผู้ใช้มีไฟล์ Cache ที่เก็บข้อมูล IP เหมือนกัน ในขณะเดียวกันที่แฮกเกอร์สามารถจัดการกับ DNS ได้ และเบนเข็มไปยังเว็บไซต์อื่น
ในกรณีแบบนี้ Cache ปลอมจะไม่พาผู้ใช้ไปยังเว็บไซต์จริง เพราะแฮกเกอร์เปลี่ยนโดเมนปลายทางเรียบร้อยแล้ว แต่อย่างไรก็ตามวิธีนี้ค่อนข้างยากสำหรับแฮกเกอร์เพราะต้องใช้หลายปัจจัย แต่มักจะเกิดขึ้นในที่ๆใช้เครือข่ายร่วมกันอย่างในองค์กร
อะไรคือ DNS hijacking?
มัลแวร์ก็สามารถเปลี่ยนเป้าหมายได้เช่นเดียวกัน หากผู้ใช้ไปเชื่อมต่อกับเซิร์ฟเวอร์ของแฮกเกอร์ อย่างเช่นมัลแวร์ Win32/DNSChanger ที่สามารถเปลี่ยนโดเมนของผู้ใช้หรือผู้ให้บริการอินเตอร์เน็ตได้
รูปภาพแสดงการทำงานของมัลแวร์
ด้วยความสามารถของมัลแวร์ตัวนี้ทำให้แฮกเกอร์สามารถพาผู้ใช้ไปยังเว็บไซต์ต่างๆได้ ไม่ว่าจะเป็นเว็บไซต์หลอกข้อมูลหรือ Phishing ที่สร้างเลียนเว็บไซต์ที่เราคุ้นเคยอย่าง Facebook, Twitter หรือเว็บไซต์ของธนาคาร เพื่อหลอกให้เรากรอกรหัสล็อคอิน
อีกภัยคุกคามหนึ่งที่เป็นการใช้ประโยชน์จาก DNS ก็คือ DDoS Attack ซึ่งเกิดจากการรวบรวม IP Address เพื่อส่งทราฟฟิคจำนวนมาก เข้ารบกวนเว็บไซต์ทำให้เว็บไซต์ไม่สามารถทำงานได้
สรุป
การโจมตีทั้งหมดที่กล่าวมาสามารถหลีกเลี่ยงได้ หากผู้ใช้ไม่หลงกลแฮกเกอร์และใช้เว็บไซต์ถูกกฎหมาย และเพื่อความปลอดภัยสูงสุดถ้าผู้ใช้ติดตั้งโปรแกรมรักษาความปลอดภัย ที่มีความสามารถในการตรวจสอบการทำงานของเร้าเตอร์
สำหรับผู้ดูแลระบบ หรือเร้าเตอร์ต้องมั่นใจได้ว่าเร้าเตอร์ของคุณใช้เฟิร์มแวร์เวอร์ชั่นล่าสุด และไม่ได้ใช้รหัสผ่านเริ่มต้นจากโรงงาน เพราะรหัสผ่านที่ตั้งมาจากโรงงานนั้นสามารถคาดเดาได้ง่าย
Author: Josep Albors
Source: http://www.welivesecurity.com/2017/02/27/dns-attacks-try-direct-fake-pages/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
อย่างที่หลายคนทราบดีกันว่าเซิร์ฟเวอร์ DNS เป็นเหมือนฟังก์ชันสำคัญของอินเตอร์เน็ต แต่มักไม่แสดงตัว จนกระทั่งโดนแฮกเกอร์ทำให้ใช้งานไม่ได้เราถึงให้ความสนใจกับมัน และในบทความนี้จะบอกว่าอะไรบ้างที่ทำให้เซิร์ฟเวอร์คู่ทุกข์คู่ยากอย่าง DNS ทำงานผิดปกติ
เซิร์ฟเวอร์ DNS คืออะไร?
DNS มาจากคำว่า “Domain Name System” ซึ่งทำให้เราสามารถแก้ไข IP Address ได้ เพราะผู้ใช้มักไม่ต้องการที่จะจำตัวเลขและตัวอักษรในลักษณะที่ยาวเป็นวา เพราะคนมักสามารถจำคำว่า “www.facebook.com” ได้มากกว่า “31.13.92.36” อยู่แล้ว
เพื่อที่จะทำให้ตัวเลขกลายเป็นตัวอักษรผู้ใช้ต้องพึงสิ่งที่เรียกว่าเซิร์ฟเวอร์ DNS ซึ่งทำให้ที่เรียบเรียงว่าเลขชุดตัวไหนเป็นของชื่ออะไร เพื่อให้ง่ายต่อการจดจำ และสามารถปรับเปลี่ยนได้
นี่เป็นเหตุผลว่าทำไมเซิร์ฟเวอร์ DNS ถึงเป็นที่สนใจของแฮกเกอร์ และทำให้พวกเขาพยายามที่จะออกแบบการโจมตีเพื่อใช้ประโยชน์จากเซิร์ฟเวอร์ตัวนี้
DNS ปลอม กับ Cache ปลอม
ทั้ง 2 อย่างนี้หลายครั้งถูกตีความคล้ายกัน แต่ในเชิงเทคนิคนั้นแตกต่างกัน เราอาจบอกได้ว่า Cache ปลอมเป็นเพียงหนึ่งในหลายวิธีการทำ DNS ปลอมก็ว่าได้
DNS ปลอม (การเปลี่ยน IP Address ให้เป็นไปตามที่แฮกเกอณ์ต้องการ) อาจนับเป็นเป้าหมายของการโจมตี ซึ่งมีกระบวนการที่ต่างกันออกไปตามความถนัดของแฮกเกอร์ การทำ Cache ปลอมก็เป็นหนึ่งในทางเลือกของแฮกเกอร์เช่นเดียวกัน
เราขอยกตัวอย่างการทำ DNS ปลอมที่มีเป้าหมายเป็นผู้ใช้ แฮกเกอร์มักใช้วิธีการแทนที่ Address ของเซิร์ฟเวอร์ DNS ผ่านระบบปฏิบัติการหรือเร้าเตอร์ ซึ่งเป็นช่องทางหลักที่เชื่อมต่อกับเซิร์ฟเวอร์ DNS และผู้ให้บริการอินเตอร์เน็ต อย่างภาพที่เห็นด้านล่าง
ส่วน Cache ปลอมจะเกิดขึ้นในสถานการณ์ที่ผู้ใช้มีไฟล์ Cache ที่เก็บข้อมูล IP เหมือนกัน ในขณะเดียวกันที่แฮกเกอร์สามารถจัดการกับ DNS ได้ และเบนเข็มไปยังเว็บไซต์อื่น
ในกรณีแบบนี้ Cache ปลอมจะไม่พาผู้ใช้ไปยังเว็บไซต์จริง เพราะแฮกเกอร์เปลี่ยนโดเมนปลายทางเรียบร้อยแล้ว แต่อย่างไรก็ตามวิธีนี้ค่อนข้างยากสำหรับแฮกเกอร์เพราะต้องใช้หลายปัจจัย แต่มักจะเกิดขึ้นในที่ๆใช้เครือข่ายร่วมกันอย่างในองค์กร
อะไรคือ DNS hijacking?
มัลแวร์ก็สามารถเปลี่ยนเป้าหมายได้เช่นเดียวกัน หากผู้ใช้ไปเชื่อมต่อกับเซิร์ฟเวอร์ของแฮกเกอร์ อย่างเช่นมัลแวร์ Win32/DNSChanger ที่สามารถเปลี่ยนโดเมนของผู้ใช้หรือผู้ให้บริการอินเตอร์เน็ตได้
รูปภาพแสดงการทำงานของมัลแวร์
ด้วยความสามารถของมัลแวร์ตัวนี้ทำให้แฮกเกอร์สามารถพาผู้ใช้ไปยังเว็บไซต์ต่างๆได้ ไม่ว่าจะเป็นเว็บไซต์หลอกข้อมูลหรือ Phishing ที่สร้างเลียนเว็บไซต์ที่เราคุ้นเคยอย่าง Facebook, Twitter หรือเว็บไซต์ของธนาคาร เพื่อหลอกให้เรากรอกรหัสล็อคอิน
อีกภัยคุกคามหนึ่งที่เป็นการใช้ประโยชน์จาก DNS ก็คือ DDoS Attack ซึ่งเกิดจากการรวบรวม IP Address เพื่อส่งทราฟฟิคจำนวนมาก เข้ารบกวนเว็บไซต์ทำให้เว็บไซต์ไม่สามารถทำงานได้
สรุป
การโจมตีทั้งหมดที่กล่าวมาสามารถหลีกเลี่ยงได้ หากผู้ใช้ไม่หลงกลแฮกเกอร์และใช้เว็บไซต์ถูกกฎหมาย และเพื่อความปลอดภัยสูงสุดถ้าผู้ใช้ติดตั้งโปรแกรมรักษาความปลอดภัย ที่มีความสามารถในการตรวจสอบการทำงานของเร้าเตอร์
สำหรับผู้ดูแลระบบ หรือเร้าเตอร์ต้องมั่นใจได้ว่าเร้าเตอร์ของคุณใช้เฟิร์มแวร์เวอร์ชั่นล่าสุด และไม่ได้ใช้รหัสผ่านเริ่มต้นจากโรงงาน เพราะรหัสผ่านที่ตั้งมาจากโรงงานนั้นสามารถคาดเดาได้ง่าย
Author: Josep Albors
Source: http://www.welivesecurity.com/2017/02/27/dns-attacks-try-direct-fake-pages/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: