DNS چیست و چرا دیروز اینترنت از کار افتاد؟
اگر روز گذشته هنگام استفاده از اینترنت با مشکلی مواجه نشدهاید، احتمالاً جزو معدود افراد خوش شانسی بودهاید که باوجود حملهی عظیم DDoS (حملهی منع سرویس؛ تلاشی برای خارج کردن منابع شبکه از دسترس کاربران)، اتصالشان به اینترنت همچنان برقرار بوده است. حملهی فلج کنندهی روز گذشته به «سامانهی نام دامنه» (DNS) باعث شد بسیاری از نقاط دنیا اتصال خود به اینترنت را از دست بدهند.
با وجود اهمیت بالا، DNS همواره نادیده گرفته میشود؛ درست مانند دیگر مکانیزمهای مهم پشت صحنه، که باعث میشوند اینترنت به درستی کار کند. پس بهتر است نگاه مختصری به DNS بیندازیم تا دفعهی بعدی که پیغام خطای مرتبط با آن را در مرورگرتان مشاهده کردید، برای غلبه بر مشکل مودم خود را بیهوده روشن و خاموش نکنید.
اوایل عصر شبکه، برای اتصال به یک کامپیوتر لازم بود تا آدرس IP آن را میدانستید؛ رشتهای ۱۲ رقمی از اعداد با فرمتی شبیه 192.168.1.1. حتی اوایل دههی هشتاد میلادی که اینترنت هنوز در قالب پروژهی آرپانت (ARPANET) وجود داشت و تنها از ۳۲۰ کامپیوتر متصل به یکدیگر تشکیل میشد، به خاطر سپردن آدرس IP تمام ۳۲۰ کامپیوتر کار بسیار دشواری به شمار میرفت.
برای همین بود که معماران اینترنت DNS را توسعه دادند؛ پایگاه دادهای عظیم و غیر متمرکز که نام دامنهها را به آدرس IP ترجمه میکرد؛ درست مانند اپراتورهای قدیمی تلفن که با گرفتن نام، افراد را به شماره تلفن شخص مورد نظرشان وصل میکردند. پس هنگامی که در مرورگر خود آدرسی مانند «zoomit.ir» را تایپ میکنید، شرکت DNS ای که آن دامنه را میزبانی میکند، نام سایت را به آدرس IP دوازده رقمی تبدیل کرده و شما را به سمت سایت مورد نظرتان هدایت میکند. علاوه بر این، DNS به صورت خودکار فهرست خود را به روز میکند تا اگر مثلاً روزی زومیت هاست خود را تغییر داد و آدرس IP اش تغییر کرد، تایپ zoomit.ir در مرورگر همچنان شما را به سایت زومیت برساند.
DNS یک سیستم سلسله مراتبی است. در بالاترین سطح «سرورهای روت» وجود دارند. ۱۳ عدد از این سرورها وجود دارند و وظیفهی مدیریت درخواست ارجاع به سایتها توسط آدرس یا «دامنهی سطح بالا» (TLD) بر عهدهی آنها قرار دارد. هنگامی که www.zoomit.ir را در مرورگر خود تایپ میکنید، این سرورها قادر به پیدا کردن آدرس دقیق سایت در فایلهای خود نیستند و شما را به سطح بعدی سرورها یعنی سرورهای TLD ارجاع میدهند. در مورد خاصِ زومیت، شما به سرور TLD دات آی آر (ir.) ارجاع داده خواهید شد.
سرور TLD سپس به دنبال آدرس zoomit.ir در فایلهای منطقهای خود میگردد. این بار هم سرور قادر نیست آدرس دقیق زومیت را پیدا کند، اما با سوابقی که از zoomit.ir پیدا کرده، شما را به سرور یک سطح پایینتر، یعنی «سرور سطح دامنه» ارجاع میدهد.
هنگامی که درخواست شما به سرور سطح دامنه برسد، تنها یک قدم تا رسیدن (روت شدن) به وبسایت مقصد خود فاصله دارید. این سرورهای دامنه به دنبال سوابق زومیت میگردند و تعیین میکنند که مثلاً ابتدای آدرس آن www یا ftp قرار دارد یا خیر و سپس آدرس IP سایت را در فایلهای محلیشان پیدا کرده و شما را به سمت سایت هدایت میکنند.
در حالت عادی، تمام این فرایند در محیط بکاند و به دور از چشم کاربر عادی اتفاق میافتد؛ اما این امکان وجود دارد که هکرها بتوانند (همانطور که دیروز توانستند) به شرکتهایی که خدمات DNS میدهند حمله کنند. وقتی یک سرویس DNS آفلاین شود، تمامی سایتهایی که روی آن DNS میزبانی میشدند نیز به همراه آن آفلاین خواهند شد و دیگر نمیتوانید به آنها دسترسی پیدا کنید؛ مگر اینکه IP سایت مورد نظر خود را دقیقاً بدانید.
بنا به عقیدهی مقامات آمریکایی، جمعهی گذشته چنین اتفاقی افتاد. گروهی ناشناس از مهاجمان سایبری یک حملهی بزرگ DDoS را علیه Dyn، یک شرکت بزرگ سرویس دهندهی DNS ترتیب دادند. آنها موفق شدند Dyn را به مدت چندین ساعت از کار بیندازند. این اتفاق باعث شد تا دسترسی به سایتهایی مانند توییتر، اسپاتیفای، نیویورک تایمز، پینترست، ردیت و پی پال که روی Dyn میزبانی میشدند، غیر ممکن شود.
متاسفانه دفاع در برابر حملات DDoS و باتنتهایی که از آنها برای حمله استفاده میشود کار آسانی نیست. بر اساس گزارش سیسکو، متداولترین راه حل استفاده از فایروال است که مانند دیدهبان برای شبکه عمل میکند و با بررسی بستههای داده، منبع آنها را مشخص میکند. اگر یک فایروال متوجه فعالیت مشکوک در شبکه شود، به بقیهی سیستم هشدار میدهد.
شبکهها همچنین میتوانند با یکدیگر همکاری کنند و با تقسیم ترافیک بین چند سرور، از حجم بار وارده روی یک سرور خاص بکاهند. یک راه حل دیگر استفاده از «سیاهچالههای از دور فعال شونده» (RTBH: Remotely triggered blackholes) است. RTBH ترافیک مشکوک و مخرب را قبل از اینکه حتی بتواند به شبکه وارد شوند از آن منحرف میکند. در نهایت اگر به اندازهی کافی زرنگ باشید، از چندین سرویس DNS برای میزبانی سایت خود استفاده میکنید تا اگر یکی از آنها از کار افتاد، ترافیک بهسادگی به سرویس دیگری منتقل شود.
با توجه به آنچه گفته شد، هیچ شبکهی کاملاً امنی وجود ندارد و حملات DDoS مانند آنچه دیروز تجربه کردیم همچنان ادامه خواهند داشت. اما با طراحی و اجرای مناسب شبکه میتوان اثرات فلج کنندهی چنین حملاتی را به حداقل رساند.