تعرف علي الدليل الشامل عن هجمات القرصنة والإختراق عبر DNS وكل ما تحتاج إلى معرفته بالاضافة الي طرق ونصائح للحماية من هجوم DNS
من المعروف والمألوف لدي الجميع أن الأجهزة المختلفة المتصلة بالإنترنت (أجهزة الكمبيوتر ، والخوادم ، والأشياء المتصلة ، وما إلى ذلك) تُستخدم عناوين IP للتواصل مع بعضها البعض وتعتبر هذه هي الطريقة الوحيدة للعثور علي هذه الاجهزة والوصول إليهم على الشبكة. لتسهيل الحياة على مستخدمي الإنترنت ولتمكينهم من الوصول إلى المواقع عن طريق إدخال عنوان مفهوم ، تم إنشاء أسماء المجال. توجد قواعد بيانات تحفظ عنوان IP الذي يتوافق مع اسم المجال. على سبيل المثال ، عند إدخال عنوان موقع الكتروني وليكن موقعنا “ويكي تك” في متصفح الانترنت ، يتصل الكمبيوتر بالخادم على الرقم الأى بي الخاص بموقعنا. قواعد البيانات هذه هي خوادم DNS. يقدم كل مزود خدمة خوادمه الخاصة مع اشتراكات الإنترنت ، يتم استخدامها افتراضيًا بواسطة جميع أجهزة الكمبيوتر المتصلة بها ولكن قد يستغل بعض القراصنة والمتسللين هذا لشن هجمات قرصنة وإختراق عبر DNS ولذلك ندعوكم من خلال هذه المقالة للتعرف بالكامل على هجمات DNS وأنواعها وكيف تحدث وطرق الحماية منها.
لماذا تحدُث هجمات قرصنة وإختراق DNS؟
كخدمة أساسية لشبكة IP وبالتالي للإنترنت ، يعد DNS إلزاميًا في معظم التبادلات. يبدأ أي اتصال بشكل عام بحل DNS ، من FQDN سهل التلاعب به وتذكره إلى عنوان IP يمكن استخدامه مباشرة بواسطة التطبيق. بمجرد أن تصبح خدمة الدقة هذه غير متاحة ، فإن معظم التطبيقات لم تعد تعمل. لذلك ، من المصلحة الحقيقية للمهاجمين محاولة رفض هذه الخدمة من خلال استغلال الأخطاء أو العيوب أو تجاوز وظيفة البروتوكول القياسية ، كما يعد DNS أيضًا ناقلًا جيدًا لبث الأنظمة الموجودة في مكانها حيث يتم قبول هذا البروتوكول من قبل جميع حلول الأمان مع التحقق المحدود من البروتوكول أو الاستخدام. هذا يفتح الأبواب أمام استخراج البيانات والأنفاق وجميع عمليات الاستغلال باستخدام الاتصالات تحت الأرض.
أكدت القرصنة الأخيرة لـ ICANN (شركة الإنترنت للأسماء والأرقام المخصصة) أن المتسللين قادرون على السيطرة على أقوى المنظمات لتعطيل تصفح الإنترنت. في صميم استراتيجيتهم ، يتمثل قرصنة DNS في تحويل العنوان الحقيقي لموقع ويب للإشارة إلى موقع ضار ويستغل بعض المتسللين المتسببين فى هجمات الـ DNS الثغرات لتعديل هذه المطابقة ، وهي تقنية تسمى قرصنة DNS. ثم يعود اسم المجال الشرعي إلى موقع مزيف ، وغالبًا لا توجد طريقة تقنية لاكتشاف الخداع. يمكنهم جمع كل المعرفات وكلمات المرور التي أدخلها المستخدمون الذين يحاولون الاتصال. حتى مدير كلمات المرور ، مثل LastPass أو 1Password ، لن يرى شئ.
لكن كيف يتمكن القراصنة المتسببين فى إحداث هجمات DNS من تغيير هذه المراسلات؟ في البداية ، يجب أن نتذكر أن الشخص أو الشركة التي تشتري اسم نطاق ، تفعل ذلك في المسجل أو المسجل. إنها منظمة معترف بها ومصرح لها بإجراء تغييرات على خوادم DNS. يستغل المتسللون الثغرات الأمنية لاقتحام نظامهم والسيطرة على أسماء نطاقات معينة. ثم يقومون بإعادة توجيههم إلى الخوادم الخاصة بهم حيث قاموا بإنشاء نسخ من المواقع المستهدفة. ينتقل هذا التغيير إلى العالم بأسره ويتم العثور على جميع مستخدمي الإنترنت الذين يزورون هذا الموقع في موقع مزيف.
يمكن أن يأتي اختراق DNS أيضًا من فيروس أو عبر شبكة Wi-Fi
هناك أيضًا هجوم DNS آخر مشابه جدًا. هذه المرة ، بدلاً من مهاجمة المسجل ، يقوم المتسللون بإصابة كمبيوتر الضحايا. تشتمل جميع أنظمة التشغيل ، بما في ذلك الهاتف المحمول ، على ملف “hosts”. هذه قاعدة بيانات محلية تحتوي على بعض التطابقات بين عناوين IP وأسماء المجال. يسمح للمطورين باختبار الأدوات محليًا (أو المواقع) قبل وضعها على الإنترنت ، أو منع الوصول إلى مواقع معينة. يمكن للفيروس أن يضيف مطابقات تُستخدم لإعادة توجيه الضحايا إلى مواقع مزيفة. وبالتالي ، من خلال الاستيلاء على حسابات بنكية أو سرقة الملفات والبيانات الهامة والحساسة على جهاز مصاب ، سيتم توجيه الملاح نحو نسخة من الموقع ، دون أن يتعرض الموقع الحقيقي لأي قرصنة. بالنسبة للضحية ، ستكون النتيجة هي نفسها ، سواء كان جهازه مصابًا أو اسم المجال الذي تم اختراقه.
خوادم DNS المستخدمة بشكل افتراضي هي تلك المتوفرة مع اتصال الإنترنت. لذلك ، يختار بعض القراصنة تقنية سهلة التنفيذ. إنها توفر وصولاً مجانيًا لشبكة Wi-Fi مما يلغي الحاجة إلى وجود خروقات أمنية أو فيروسات. كل ما عليهم فعله هو إنشاء خوادم DNS خاصة بهم لهذا الاتصال والتي تعود إلى مواقعهم المزيفة. هذه المرة ، هناك تفادي ، يغير خوادم DNS الخاصة به لاستخدام تلك الخاصة بخدمة الطرف الثالث ، مثل OpenDNS.
إذا كنت لا تستطيع الاستغناء عن شبكة الواي فاي العامة ، يوصى بشدة بالحصول على VPN. بالمناسبة ، ما هو VPN؟ هذه شبكة افتراضية خاصة (VPN) حيث يشير مصطلح “افتراضية” إلى طريقة الاتصال المستخدمة لحماية حركة مرور الويب الخاصة والبيانات أثناء الاتصال بالإنترنت. هذه الأداة الصغيرة تخفي عنوان IP الخاص بك وتمنع المتسللين من التجسس عليك.
ينصح المتخصصون الأمنيون بانتظام بالتحقق من اسم نطاق الموقع الالكتروني الذى تود زيارته والتأكد من وجود “القفل الأخضر الصغير” للتأكد من أن الاتصال آمن قبل إدخال معرفاته. إنه يعمل ضد التصيد الاحتيالي ولكنه غير مفيد ضد قرصنة DNS. عنوان الموقع جيد لأنه تم الاستيلاء عليه ، ويمكن للمجرمين الذين سيطروا على اسم المجال إعادة إنشاء شهادات الأمان.
باختصار ، يتجنب استخدام خادم DNS بديل القرصنة عبر اتصال واى فاى. يجب أن يؤدي استخدام برنامج مكافحة فيروسات جيد ومحدث إلى منع القرصنة بفيروس. بالنسبة للطريقة الثالثة ، يمكن للعين الحذرة فقط تحديد الخداع. إذا كان عرض موقع الويب يبدو مريبًا ، فتحقق من الشبكات الاجتماعية إذا واجه المستخدمون الآخرون مشكلات. غالبًا ما يُظهر البحث على تويتر المشكلة حتى قبل أن يدركها مالكو الموقع.
قائمة هجمات DNS | مشهد متنوع لتهديدات أمان DNS
للقراصنة أهداف مختلفة محتملة. قد يهدفون إلى مقاطعة الأعمال أو تلف البيانات أو سرقة المعلومات أو كل ذلك في نفس الوقت وكل ذلك بالطبع للوصول إلى أهدافهم ، يبحثون باستمرار عن أي ثغرة أمنية ، وقد طوروا مجموعة كبيرة ومتنوعة من هجمات DNS التي تقع في أربع فئات رئيسية:
- هجمات DoS الحجمية: يستخدم المخترقين من خلالها تكتيك معين يعمل علي محاولة إرباك خادم DNS من خلال إغراقه بعدد كبير جدًا من الطلبات من مصدر واحد أو عدة مصادر ، مما يؤدي إلى تدهور الخدمة أو عدم توفرها.
- الهجمات الانفجارية: وهي هجمات تستغل الأخطاء و / أو العيوب في خدمات DNS أو البروتوكول أو على أنظمة التشغيل التي تشغل خدمات DNS.
- هجمات بطيئة بالتنقيط: ويتم تنفيذها عن طريق انخفاض حجم طلبات DNS المحددة مما يتسبب في استنفاد سعة معالجة الاستعلام الصادر ، مما يؤدي إلى تدهور الخدمة أو عدم توفرها.
- إساءة استخدام البروتوكول: يستخدم المتسللين الهجمات باستخدام DNS بطريقة مختلفة عن النية الأصلية مما يؤدي إلى استخراج البيانات والتصيد الاحتيالي.
هجمات DNS الهدف ذاكرة التخزين المؤقت والوظائف التكرارية والمخولة
من الضروري أن نفهم أن تهديدات DNS غالبًا ما تكون موجهة نحو وظيفة DNS محددة (ذاكرة تخزين مؤقت وتكرار وموثوق) ، مع أهداف تلف دقيقة. يجب دمج هذا الجانب في استراتيجية أمان DNS لتطوير حل دفاعي متعمق ، مما يضمن حماية شاملة للهجوم. لمزيد من المعلومات حول أمان DNS ، ألق نظرة على صفحة حل أمان DNS.
تؤكد القائمة أدناه لأكثر هجمات DNS شيوعًا على تنوع التهديدات وتفاصيل مدى انتشار الهجمات.
- هجوم DNS DoS المباشر: يستخدم تكتيك إغراق خوادم DNS بالطلبات المباشرة مما تسبب في تشبع ذاكرة التخزين المؤقت أو التكرار أو الوظائف الموثوقة. يتم إرسال هذا الهجوم عادةً من عنوان IP مخادع.
- تضخيم DNS (DDoS): استخدام خوادم DNS المفتوحة المتاحة للجمهور لإغراق النظام المستهدف بحركة مرور استجابة DNS. تم انتحال عنوان المصدر لطلب البحث عن اسم DNS المرسل ليكون عنوان الهدف ، وبالتالي يتلقى الاستجابة. لتعظيم تأثير التضخيم ، يتم إرسال طلب للحصول على أكبر قدر ممكن من معلومات المنطقة.
- هجوم انعكاس DNS: إغراق الخوادم الرسمية أو مكونات البنية التحتية مثل جدران الحماية ، بهدف غالبًا استنفاد النطاق الترددي للشبكة المستهدفة. يستخدم الهجوم العديد من خوادم المحلل المفتوحة الموزعة على الإنترنت وعادة ما يتم دمجها مع هجمات التضخيم.
- هجوم المجال الزائف: إغراق خوادم DNS بطلبات مجال غير موجودة مما يدل على تشبع الوظيفة العودية. يستهلك هذا الهجوم موارد على خادم DNS لعملية العودية ويقلل من كفاءته في الإجابة على الاستفسارات المشروعة. يُطلق على هذا الهجوم أحيانًا هجوم NXDOMAIN.
- ثغرة يوم الصفر: تستفيد هجمات Zero-day من ثغرات أمان DNS في البرامج التي لا يتوفر لها حل حاليًا.
- المآثر المستندة إلى DNS: هجمات تستغل الأخطاء و / أو العيوب في خدمات DNS أو البروتوكول أو على نظام التشغيل الذي يقوم بتشغيل خدمات DNS.
- تشوهات البروتوكول: هجمات DNS المستندة إلى استعلامات غير صحيحة تهدف إلى تعطل الخدمة.
- إعادة ربط DNS: مزيج من javascript واكتشاف الشبكة الفرعية IP من أجل مهاجمة أجهزة IP للشبكة المحلية من خلال المتصفح. يستخدم هذا الهجوم بشكل أساسي لاكتشاف الأجهزة غير الآمنة (التي تستهدف إنترنت الأشياء) على الشبكة ، ولتسريب البيانات.
يعد DNS مهمًا للغاية ، حيث يتيح الوصول الديناميكي لأي شخص إلى أي تطبيق على أي شبكة. إذا تعطلت خوادم DNS ، فلن تتمكن من الوصول إلى أي من تطبيقاتك أو خدماتك الحيوية. بسبب هذه الأهمية ، أصبحت خوادم DNS هدفًا رئيسيًا ونقطة دخول للمتسللين واستخراج البيانات. خلاG فترة سابقة ، واجهت 79٪ من الشركات هجمات DNS وتعرضت لأضرار لا يمكن إصلاحها: خسارة الأعمال (29٪) ، وتعطل التطبيقات (82٪) ، وسرقة البيانات (16٪) ، والمزيد.
أثبتت حلول أمان الشبكة التقليدية مثل مكافحة DoS أو جدران الحماية من الجيل التالي أو IPS أنها غير فعالة عندما يتعلق الأمر بحماية DNS. إنها توفر تغطية غير كاملة لمشهد تهديدات DNS ، وخاصة هجمات الإشارات الضعيفة وعمليات الاستغلال ، ولا يمكنها التعامل بفعالية مع هجمات DDoS ذات الحجم الكبير من DNS. لا يتم توفير الكشف عن التهديدات السلوكية ، مما يؤدي إلى عدد كبير غير مقبول من الإيجابيات الخاطئة ، والإجراءات المضادة التي تقدمها الحلول أساسية للغاية ، وغالبًا ما تؤدي إلى تعطل النظام. أخيرًا ، والأهم من ذلك في البيئات عالية التنظيم اليوم ، أنهم غير قادرين على اكتشاف محاولات استخراج البيانات أو حفر نفق DNS في الوقت المناسب.
اكتشف المخاطر المتزايدة لهجمات DNS وطرق الحماية منها
حلول حماية شبكة IP الفعالة تملأ فجوات أمان DNS التي خلفتها أنظمة الأمان التقليدية. يوفر نظام أمان DNS 360 الخاص بنا نهجًا شاملاً لحماية البنى التحتية لنظام أسماء النطاقات العامة والخاصة ، بغض النظر عن نوع الهجوم. فريدة من نوعها في السوق ، وتضمن الابتكارات الحاصلة على براءة اختراع مستوى لا مثيل له من أمان DNS لحماية خدماتك ذات المهام الحرجة.
يتكون حل أمان DNS 360 من خمسة منتجات ، والتي تعمل معًا (أو كعروض مستقلة) لشبكة أكثر موثوقية وأمانًا. انقر لمعرفة المزيد حول SOLIDserver و DNS Blast و DNS Guardian و DNS Firewall و DNS Cloud. بالإضافة إلى ذلك ، يعمل التكامل السهل مع Cisco Umbrella على توسيع محيط الأمان لحماية التطبيقات والبيانات والمستخدمين – سواء داخل الشبكة أو خارجها.
حل أمان DNS مبني لغرض معين لحماية المنظمات ، حيث يوفر حل EfficientIP 360 ° لأمان DNS طبقة متخصصة من الدفاع المتعمق لتأمين عملك من تهديدات DNS الخارجية والداخلية وتساعد علي:
- ضمان استمرارية العمل.
- حماية بيانات العملاء والملكية الفكرية من التسلل.
- حافظ على سمعة علامتك التجارية وثقة العملاء.
- تقليل التكلفة الإجمالية للملكية وتقديم عائد استثمار سريع.
- منع انتشار التهديدات ، من خلال تغذية معلومات التهديد إلى النظام البيئي للشبكة.
انظر كيف يضمن DNS Guardian استمرارية خدمة DNS ، ويكشف عن استخراج البيانات عبر نفق DNS ويحدد المجالات الخبيثة غير المعروفة > تجربة مجانية
للذكاء في مجالات DNS ، تستفيد الشركات المتخصصة من الذكاء الاصطناعي (AI) والتعلم الآلي (ML). عندما يتعلق الأمر بحماية الموارد الداخلية ، يتم وضع DNS بشكل مثالي في قلب الشبكات. لديها وجهة نظر محددة لنشاط الشبكة ، وكذلك معلومات عن المستخدمين. يسمح التحليل الواعي بالسياق لحركة مرور DNS للعثور على العملاء المشتبه بهم وعزلهم بتقديم معلومات قيمة إلى SIEMs وحلول استخبارات التهديدات الخارجية. هذا النهج العالمي حيوي لمساعدة شركات النفط والغاز على اتخاذ الإجراء المثالي للتخفيف.
الفوائد الرئيسية لحلول أمان وحماية DNS
- icn_firewall: الحماية ضد جميع أنواع هجمات DNS. يوفر أمان DNS المبني لغرض معين طبقة دفاع فعالة ضد هجمات DNS: DDoS ، يوم الصفر ، نفق DNS ، اختطاف DNS …
- icn_DEVICE: مدير القدرة الفريدة على اكتشاف الهجوم. يوفر اكتشاف الهجمات السلوكية جنبًا إلى جنب مع استخبارات التهديدات على سمعة المجال إمكانات لا مثيل لها لتحديد هجمات DNS المتقدمة من المصدر إلى وجهة الطلبات.
- icn_measures: الأمان التكيفي لاستمرارية الخدمة. تضمن الابتكارات الحاصلة على براءة اختراع دفاعًا متكيفًا واستمرارية خدمة DNS آمنة ، حتى في حالات مصدر هجوم غير معروف.
- icn_simple_deploy: سهل النشر وفعال من حيث التكلفة. تضمن الواجهة البديهية والنشر المستند إلى السياسة وأمن DNS التكيفي تكوينات سهلة ومباشرة
- icn_Network: سهولة التكامل ضمن نظام أمن الشبكات. الوصول إلى مكتبة المكونات الإضافية وواجهات برمجة التطبيقات المرنة لتبسيط نشر دفاع الشبكة وأتمتة الاستجابة الأمنية
نصائح لمنع هجوم DNS
# حافظ على وحدة الحل الخاصة بك خاصة ومحمية: إذا كنت تقوم بتشغيل وحدة الحل الخاصة بك ، فيجب أن يقتصر استخدامه على المستخدمين الموجودين على شبكتك للمساعدة في منع مخبأه من إفساد المتسللين خارج مؤسستك. يجب ألا يكون مفتوحًا للمستخدمين الخارجيين. قم بتكوينه ليكون آمنًا قدر الإمكان ضد تسمم ذاكرة التخزين المؤقت. تشمل الحماية المضمنة في برنامج DNS للحماية من إفساد ذاكرة التخزين المؤقت إضافة تنوع للطلبات الصادرة ، لجعل من الصعب على المتسلل الحصول على استجابة زائفة مقبولة. تشمل الطرق الممكنة للقيام بذلك:
# استخدام منفذ مصدر عشوائي: (بدلاً من منفذ UDP 53) وعشوائية معرّف الاستعلام ، حيث ان التوزيع العشوائي لحالة أحرف أسماء النطاقات المرسلة ليتم حلها. (هذا لأن خوادم الأسماء ستتعامل مع example.com و ExaMPle.com بنفس الطريقة عندما يتعلق الأمر بحل عنوان IP ، ولكنها سترد باستخدام نفس الحالة مثل الاستعلام الأصلي.)
# إدارة خوادم DNS الخاصة بك بشكل آمن: عندما يتعلق الأمر بخوادمك الموثوقة ، فأنت بحاجة إلى أن تقرر ما إذا كنت ستستضيفها بنفسك أو ستستضيفها لدى مزود خدمة أو مسجل المجال. يقول برينتون: “لا أحد يهتم بأمنك بقدر اهتمامك أنت ، لذلك ننصح باستضافة وإدارة نفسك – إذا كانت لديك المهارات للقيام بذلك”. “إذا لم تكن لديك هذه المهارات ، فمن الأفضل بالطبع أن تجعل شخصًا آخر يقوم بذلك نيابةً عنك. إنها ليست مجرد مسألة خبرة ، ولكن أيضًا على نطاق واسع لأن العديد من المؤسسات تحتاج إلى خوادم DNS في ثلاثة أو أربعة أماكن حول العالم “.
# قلل من مخاطر هجوم DDoS: أينما وضعت خوادم DNS الخاصة بك ، فإنها تكون عرضة لهجوم DDoS الذي من المحتمل أن يطغى عليها. قليل من المؤسسات لديها القدرة على الدفاع عن نفسها ضد هجوم DDoS بنفسها ، لذلك من الضروري التأكد من أنها (وربما بقية الخوادم الخاصة بك) محمية بواسطة خدمة تخفيف DDoS التي يمكن أن تساعد في إزالة بعض حركة المرور غير المرغوب فيها وتوفير النطاق الترددي لضمان استمرار إمكانية الوصول إلى خوادم DNS.
# لا تتورط في نقاط الضعف المعروفة: إذا قمت بتشغيل خوادم الأسماء الخاصة بك (ربما BIND أو Microsoft DNS) ، فمن الضروري الاحتفاظ بها (ونظام التشغيل الذي تعمل عليه) محدثة ومُحدثة لمنع استغلالها من قبل نقاط الضعف المعروفة. يعد نظام إدارة التصحيح أداة أمان مهمة جدًا بشكل عام. سبب آخر لتحديثها باستمرار هو المساعدة في منع استخدام خوادم الأسماء في هجمات الانعكاس على أطراف ثالثة. في هذه الأنواع من الهجمات ، يمكن للمتسلل إرسال طلبات DNS بمصادر مخادعة إلى خوادمك ، مما يؤدي إلى استجابة خوادمك عن طريق إرسال حركة مرور غير مرغوب فيها إلى المصدر المخادع. نظرًا لأن الردود غالبًا ما تكون أكبر بكثير من الطلبات الأصلية ، فإن النتيجة هي أن الهجوم يتم تضخيمه من خلال المرور عبر الخوادم الخاصة بك. تستخدم الإصدارات الأحدث من برنامج DNS تقنية تسمى تحديد معدل الاستجابة (RRL) لمنعها من إرسال ردود عدة مرات إلى نفس المصدر المخادع في فترة زمنية قصيرة.
# افصل الوظيفة الموثوقة عن وظيفة الحل باستخدام خوادم مختلفة: هذا يقلل من احتمالية أن تصبح نطاقاتك غير متصلة بالإنترنت من هجوم رفض الخدمة.
# استخدم خادم الاسم الرئيسي الأساسي المخفي: إذا تم استخدام خادم الاسم الأساسي الخاص بك فقط لخدمة البيانات لخوادم الأسماء التابعة ، فهذا يجعل من السهل جدًا إجراء الصيانة والترقيات عليه دون جعل نطاقك غير قابل للوصول.
# تقييد عمليات النقل في المنطقة: في بعض الحالات ، قد تطلب خوادم أسماء الرقيق نقل المنطقة ، والذي يعد فعليًا نسخة من جزء من قاعدة بيانات DNS للخادم الرئيسي. تحتوي سجلات المنطقة على الكثير من المعلومات التي يمكن أن تساعد المهاجم في فهم هيكل شبكتك ، وهو أمر مفيد إذا كانوا يخططون لهجوم. لهذا السبب ، يجب أن تضمن على الأقل أن خوادم الأسماء الخاصة بك قد تم تكوينها فقط لتنفيذ عمليات نقل المنطقة إلى عناوين IP المحددة لخوادم الرقيق.
# مراقبة خوادم الأسماء الخاصة بك: تأكد من أن لديك رؤية لحالتهم وأي تغييرات تم إجراؤها عليهم أو سلوك غير متوقع. كلما زادت سرعة اكتشافك للنشاط الضار ، قل احتمال تخريب نطاقك.
# استخدم PKI لحماية الخادم الخاص بك: استخدم الشهادات الرقمية لمصادقة جلسة SSH الخاصة بك عند تسجيل الدخول إلى خوادم DNS الخاصة بك لإجراء تغييرات.
# استخدم نظام تشغيل متشدد أو جهاز DNS متخصص: قلل من سطح الهجوم لخوادم DNS الخاصة بك عن طريق إغلاق المنافذ غير الضرورية وإيقاف الخدمات غير المرغوب فيها. تقدم أجهزة DNS عادةً أنظمة تشغيل أكثر صلابة مع تحديثات تلقائية وحماية من هجمات رفض الخدمة – لكن Brenton يحذر من أن البائعين غالبًا ما يكونون بطيئين في توفير التحديثات والتصحيحات لأجهزتهم. فإذا كانت خوادم اسم المجال الخاصة بك تتم إدارتها من قبل جهة تسجيل أو جهة خارجية أخرى ، فمن المهم أن ترضي نفسك بأن عملياتها وإجراءاتها الأمنية على ما يرام.
# توثيق ذو عاملين: إذا كان من الممكن تصميم مسؤول اجتماعيًا أو خداعًا للتخلي عن تفاصيل حساب DNS الخاص بك ، فقد يظل حسابك آمنًا إذا كان الوصول يعتمد على عامل مصادقة ثانٍ مثل دونجل الأمان أو كلمة المرور لمرة واحدة التي يتم تسليمها إلى هاتف محمول.
# قفل تغيير DNS: يقدم بعض المسجلين عمليات أمان محددة يجب تنفيذها قبل إجراء التغييرات على إعدادات DNS. على سبيل المثال ، قد يتعين على موظف المسجل الاتصال برقم محدد للحصول على التحقق من فرد مسمى في مؤسستك قبل إجراء التغييرات.
# تسجيل الدخول المعتمد على IP: يسمح لك بعض المسجلين بتحديد واحد أو نطاق من عناوين IP التي يمكنك من خلالها تسجيل الدخول إلى أنظمتهم. لن يحمي هذا من التهديدات الداخلية ، ولكنه يمكن أن يساعدك في حمايتك من المتسللين الخارجيين. يحذر Brenton من تحديد عنوان IP واحد ، لأن هذا يمكن أن يسبب مشاكل إذا تعطل الجهاز الموجود في هذا العنوان ، ويوصي بدلاً من ذلك بمجموعة من العناوين.
# إستخدام DNSSEC: تسمح تقنية DNSSEC بتوقيع معلومات DNS رقميًا حتى لا يتمكن المتسلل من تزويرها. يقول Brenton: “إذا لم يقم مقدم الخدمة بتنفيذ DNSSEC ، فيجب أن تكون متوترًا”. “إذا لم يكن لديهم DNSSEC ، فعليك أن تسأل نفسك ما هي الإجراءات الأمنية الأخرى التي فاتتهم أيضًا.”