كلیه اطلاعات این سایت مربوط به شركت طراحی سایت - شركت نرم افزاری بهپردازان می باشد


موضوع مقاله : کاربرد قابلیت Secure Cache Against Pollution در DNS سرور چیست؟ :

شرح :

قبلا در خصوص يکي از قابليت‌هاي امنيتي DNS سرورهاي مايکروسافت به نام DNS Cache Locking صحبت کرديم اما اکثر دوستان اين قابليت امنيتي را با قابليت Secure Cache Against Pollution اي که در کنسول DNS سرور وجود دارند اشتباه مي‌گيرند و البته حق دارند چون هر دوي اين مکانيزم‌هاي امنيتي براي جلوگيري از بروز حملاتي مثل DNS Cache Poisoning پياده سازي مي‌شود. اما قابليت Secure Cache Against Pollution مکانيزم متفاوتي نسبت به Cache Locking دارد. همان‌طور که مي‌دانيد در DNS سرورهاي قابليتي به نام Recursive وجود دارد که شما با استفاده از اين قابليت است که فرآيند رفت و برگشت و پرسش و پاسخ از ساير DNS سرورهاي مسير را خواهيد داشت. حال تصور کنيد که درخواستي به DNS سرور شما ارسال مي‌شود که براي بدست آوردن آدرس IP مربوط به دامين www.behpardazan.com است و طي فرآيند رفت و برگشت اين اسم به آدرس IP تبديل مي‌شود، اما ممکن است در اين ميان و در بازگشت درون درخواستي که از ساير DNS سرورها بازگشت داده مي‌شود علاوه بر آدرس www.behpardazan.com آدرس ديگري به نام www.google.com يا يک آدرس IP جعلي نيز بازگشت داده شود، ساختار کاري DNS سرور اين‌طور است که آدرس‌هاي برگشتي را به همراه A Record هاي آن‌ها در Cache خود نگهداري مي‌کند و در اين‌جاست که ممکن است آدرس بازگشتي مورد حمله و جعل قرار گرفته باشد و در بازگشت آدرس اشتباهي به DNS معرفي شده باشد.
زماني‌که شما از قابليت Secure Cache Against Pollution استفاده مي‌کنيد. DNS سرور شما تنها آدرس‌هايي را در بازگشت قبول مي‌کند که کاملا با نام دامين درخواستي از سمت کلاينت تطابق داشته باشند، براي مثال فرض کنيد که اگر کلاينت شما درخواست www.behpardazan.com را داده باشد در صورتي‌که قابليت Secure Cache Against Pollution فعال باشد در بازگشت اگر آدرسي به شکل mail.behpardazan.com نيز بازگشت داده شد اين دو آدرس را Cache مي‌کند اما در صورتيکه در پاسخ به کلاينت به جاي بازگشت داده شدن www.behpardazan.com آدرس www.google.com بازگشت داده شود، از پذيرفتن آدرس جديد مغاير با درخواست کلاينت جلوگيري مي‌کند و به اين ترتيب از ايجاد شدن رکوردهاي جعلي جلوگيري مي‌کند. در واقع مکانيزم Secure Cache Against Pollution اينگونه است که مي‌گويد اگر درخواستي به DNS سرور شرکت behpardazan.com فرستاده مي‌شود در پاسخ نيز بايد دامين‌هاي مرتبط با آن مثل www.behpardazan.com يا Mail.behpardazan.com بازگشت داده شوند نه اينکه آدرسي به شکل mail.google.com را از سرور behpardazan.com دريافت کنيد، در چنين حالتي مشخص است که در اين ميان ارتباط از طرف يک مهاجم آلوده شده است و رکوردهاي جعلي به سمت سرور براي Cache شدن ارسال مي‌گردند.