- بواسطة x32x01 ||
تدري إن الـ DNS ممكن يكون أكبر ثغرة في شبكتك؟
يعني تكتب www bank com، لكن فجأة تدخل على موقع مزيف يشبه البنك؟ هنا يجي دور أمان الـ DNS في حماية شبكتك من الهجمات
ايه المشترك مع الـ DNS؟
لما تكتب اسم موقع (زي www google com)، جهازك ما يفهم الأسماء، يفهم أرقام الـ IP.
هنا يجي دور الـ DNS - يحول اسم الموقع إلى IP Address عشان الجهاز يقدر يوصل له.
مثال:
تكتب www google com
الـ DNS يترجمه لـ 172.217.17.36 الجهاز يفتح الموقع.
يعني الـ DNS هو “الواسطة” بينك وبين الإنترنت.
لكن المشكلة؟ إذا المهاجم قدر يتحكم في الـ DNS أو يعبث فيه، ممكن يوجهك لموقع مزيف ويسرق بياناتك!
المهاجمين عندهم أكثر من طريقة لاستغلال الـ DNS، وأشهرها:
ما راح أطول عليك - هذه أهم الخطوات اللي تضبط لك الوضع:
يضيف توقيع رقمي على ردود الـ DNS.
يخلي الجهاز يتأكد إن الرد جاي من مصدر موثوق.
كيف تفعلها؟
• إذا عندك سيرفر DNS داخلي (مثل Bind أو Windows DNS) فعل DNSSEC من الإعدادات.
• إذا تستخدم خدمة DNS من مزود (مثل Cloudflare أو Google)، تأكد إنهم مفعلين DNSSEC.
امنع أي طلب DNS يروح لـ Public DNS Servers مباشرة (مثل 8.8.8.
.
خلي كل الترافيك يمر عبر سيرفر DNS اللي أنت تتحكم فيه.
كيف تعملها؟
• استخدم الـ Firewall أو الـ Proxy لفلترة الطلبات.
• فعل DNS over HTTPS (DoH) أو DNS over TLS (DoT) عشان الترافيك يكون مشفر.
استخدم خدمات DNS ذكية (مثل Cisco Umbrella أو Quad9).
هذي الأدوات تعرف المواقع الخبيثة وتمنع الترافيك لها تلقائيًا.
كيف تضبطها؟
• غير إعدادات الـ DNS في الراوتر أو السيرفر لاستخدام خدمة مثل Cisco Umbrella.
إذا فيه هجوم، بتعرف من الـ DNS Logs.
أي نشاط غريب على الـ DNS لازم يرفع لك إنذار.
كيف تضبطها؟
• اربط الـ DNS Logs مع SIEM (مثل Splunk أو QRadar).
• فعل تنبيهات لأي طلب DNS يروح لـ IP غريب أو دومين مشبوه.
خل خدماتك الداخلية تشتغل على سيرفر DNS داخلي.
أي طلب لخدمة داخلية لازم يروح لـ Internal DNS فقط.
كيف تضبطها؟
• في إعدادات الـ DNS Server، افصل الـ Internal DNS عن الـ External DNS.
النتيجة؟
الردود من الـ DNS بتكون موثوقة لأنك مفعل DNSSEC.
المواقع الخبيثة بتكون محظورة لأنك رابطها مع Threat Intelligence.
الترافيك بيكون مشفر لأنك مفعل DNS over HTTPS.
النشاط الغريب على الـ DNS بيطلع لك في الـ Logs أول ما يصير
يعني تكتب www bank com، لكن فجأة تدخل على موقع مزيف يشبه البنك؟ هنا يجي دور أمان الـ DNS في حماية شبكتك من الهجمات
ايه المشترك مع الـ DNS؟
لما تكتب اسم موقع (زي www google com)، جهازك ما يفهم الأسماء، يفهم أرقام الـ IP.
هنا يجي دور الـ DNS - يحول اسم الموقع إلى IP Address عشان الجهاز يقدر يوصل له.
مثال:تكتب www google com
الـ DNS يترجمه لـ 172.217.17.36 الجهاز يفتح الموقع.يعني الـ DNS هو “الواسطة” بينك وبين الإنترنت.
لكن المشكلة؟ إذا المهاجم قدر يتحكم في الـ DNS أو يعبث فيه، ممكن يوجهك لموقع مزيف ويسرق بياناتك!
ايه أكثر الهجمات شيوعًا على الـ DNS؟
المهاجمين عندهم أكثر من طريقة لاستغلال الـ DNS، وأشهرها:1.DNS Spoofing/Cache Poisoning
المهاجم يحقن بيانات مزيفة في الكاش، فتدخل على موقع مزيف بدل الحقيقي.2.DNS Tunneling
يستخدم البروتوكولات (مثل HTTP و TCP) لتمرير بيانات خبيثة من خلال استفسارات الـ DNS.3.DNS Hijacking
يسيطر على سيرفر الـ DNS ويوجه الترافيك على كيفه.4.NXDOMAIN Attack
يغرق سيرفر الـ DNS بطلبات على مواقع غير موجودة عشان يعطل الخدمة.
كيف تضبط أمان الـ DNS؟
ما راح أطول عليك - هذه أهم الخطوات اللي تضبط لك الوضع:
1. فعل DNSSEC
يضيف توقيع رقمي على ردود الـ DNS. يخلي الجهاز يتأكد إن الرد جاي من مصدر موثوق. كيف تفعلها؟• إذا عندك سيرفر DNS داخلي (مثل Bind أو Windows DNS) فعل DNSSEC من الإعدادات.
• إذا تستخدم خدمة DNS من مزود (مثل Cloudflare أو Google)، تأكد إنهم مفعلين DNSSEC.
2. فلتر طلبات الـ DNS
امنع أي طلب DNS يروح لـ Public DNS Servers مباشرة (مثل 8.8.8.. خلي كل الترافيك يمر عبر سيرفر DNS اللي أنت تتحكم فيه. كيف تعملها؟• استخدم الـ Firewall أو الـ Proxy لفلترة الطلبات.
• فعل DNS over HTTPS (DoH) أو DNS over TLS (DoT) عشان الترافيك يكون مشفر.
3. اربط DNS مع Threat Intelligence
استخدم خدمات DNS ذكية (مثل Cisco Umbrella أو Quad9). هذي الأدوات تعرف المواقع الخبيثة وتمنع الترافيك لها تلقائيًا. كيف تضبطها؟• غير إعدادات الـ DNS في الراوتر أو السيرفر لاستخدام خدمة مثل Cisco Umbrella.
4. راقب الـ DNS Logs
إذا فيه هجوم، بتعرف من الـ DNS Logs. أي نشاط غريب على الـ DNS لازم يرفع لك إنذار. كيف تضبطها؟• اربط الـ DNS Logs مع SIEM (مثل Splunk أو QRadar).
• فعل تنبيهات لأي طلب DNS يروح لـ IP غريب أو دومين مشبوه.
5. استخدم Split DNS
خل خدماتك الداخلية تشتغل على سيرفر DNS داخلي. أي طلب لخدمة داخلية لازم يروح لـ Internal DNS فقط. كيف تضبطها؟• في إعدادات الـ DNS Server، افصل الـ Internal DNS عن الـ External DNS.
النتيجة؟
الردود من الـ DNS بتكون موثوقة لأنك مفعل DNSSEC. المواقع الخبيثة بتكون محظورة لأنك رابطها مع Threat Intelligence. الترافيك بيكون مشفر لأنك مفعل DNS over HTTPS. النشاط الغريب على الـ DNS بيطلع لك في الـ Logs أول ما يصير