DNS چیست و چرا دیروز اینترنت از کار افتاد؟

[farnaz]

اگر روز گذشته هنگام استفاده از اینترنت با مشکلی مواجه نشده‌اید، احتمالاً جزو معدود افراد خوش شانسی بوده‌اید که باوجود حمله‌ی عظیم DDoS (حمله‌ی منع سرویس؛ تلاشی برای خارج کردن منابع شبکه از دسترس کاربران)، اتصال‌شان به اینترنت همچنان برقرار بوده است. حمله‌ی فلج کننده‌ی روز گذشته به «سامانه‌ی نام دامنه» (DNS) باعث شد بسیاری از نقاط دنیا اتصال خود به اینترنت را از دست بدهند.
با وجود اهمیت بالا، DNS همواره نادیده گرفته می‌شود؛ درست مانند دیگر مکانیزم‌های مهم پشت صحنه، که باعث می‌شوند اینترنت به درستی کار کند. پس بهتر است نگاه مختصری به DNS بیندازیم تا دفعه‌ی بعدی که پیغام خطای مرتبط با آن را در مرورگرتان مشاهده کردید، برای غلبه بر مشکل مودم خود را بیهوده روشن و خاموش نکنید.

اوایل عصر شبکه، برای اتصال به یک کامپیوتر لازم بود تا آدرس IP آن را می‌دانستید؛ رشته‌ای ۱۲ رقمی از اعداد با فرمتی شبیه 192.168.1.1. حتی اوایل دهه‌ی هشتاد میلادی که اینترنت هنوز در قالب پروژه‌ی آرپانت (ARPANET) وجود داشت و تنها از ۳۲۰ کامپیوتر متصل به یکدیگر تشکیل می‌شد، به خاطر سپردن آدرس IP تمام ۳۲۰ کامپیوتر کار بسیار دشواری به شمار می‌رفت.
برای همین بود که معماران اینترنت DNS را توسعه دادند؛ پایگاه داده‌ای عظیم و غیر متمرکز که نام دامنه‌ها را به آدرس IP ترجمه می‌کرد؛ درست مانند اپراتورهای قدیمی تلفن که با گرفتن نام، افراد را به شماره تلفن شخص مورد نظرشان وصل می‌کردند. پس هنگامی که در مرورگر خود آدرسی مانند «Romaak.ir» را تایپ می‌کنید، شرکت DNS ای که آن دامنه را میزبانی می‌کند، نام سایت را به آدرس IP دوازده رقمی تبدیل کرده و شما را به سمت سایت مورد نظرتان هدایت می‌کند. علاوه بر این، DNS به صورت خودکار فهرست خود را به روز می‌کند تا اگر مثلاً روزی روماک هاست خود را تغییر داد و آدرس IP اش تغییر کرد، تایپ Romaak.ir در مرورگر همچنان شما را به سایت روماک برساند.
DNS یک سیستم سلسله مراتبی است. در بالاترین سطح «سرورهای روت» وجود دارند. ۱۳ عدد از این سرورها وجود دارند و وظیفه‌ی مدیریت درخواست ارجاع به سایت‌ها توسط آدرس یا «دامنه‌ی سطح بالا» (TLD) بر عهده‌ی آن‌ها قرار دارد. هنگامی که Romaak.ir را در مرورگر خود تایپ می‌کنید، این سرورها قادر به پیدا کردن آدرس دقیق سایت در فایل‌های خود نیستند و شما را به سطح بعدی سرورها یعنی سرورهای TLD ارجاع می‌دهند. در مورد خاصِ روماک، شما به سرور TLD دات آی آر (ir.) ارجاع داده خواهید شد.
سرور TLD سپس به دنبال آدرس Romaak.ir در فایل‌های منطقه‌ای خود می‌گردد. این بار هم سرور قادر نیست آدرس دقیق روماک را پیدا کند، اما با سوابقی که از Romaak.ir پیدا کرده، شما را به سرور یک سطح پایین‌تر، یعنی «سرور سطح دامنه» ارجاع می‌دهد.
هنگامی که درخواست شما به سرور سطح دامنه برسد، تنها یک قدم تا رسیدن (روت شدن) به وبسایت مقصد خود فاصله دارید. این سرورهای دامنه به دنبال سوابق روماک می‌گردند و تعیین می‌کنند که مثلاً ابتدای آدرس آن www یا ftp قرار دارد یا خیر و سپس آدرس IP سایت را در فایل‌های محلی‌شان پیدا کرده و شما را به سمت سایت هدایت می‌کنند.
در حالت عادی، تمام این فرآیند در محیط بک‌اند و به دور از چشم کاربر عادی اتفاق می‌افتد؛ اما این امکان وجود دارد که هکرها بتوانند (همانطور که دیروز توانستند) به شرکت‌هایی که خدمات DNS می‌دهند حمله کنند. وقتی یک سرویس DNS آفلاین شود، تمامی سایت‌هایی که روی آن DNS میزبانی می‌شدند نیز به همراه آن آفلاین خواهند شد و دیگر نمی‌توانید به آن‌ها دسترسی پیدا کنید؛ مگر اینکه IP سایت مورد نظر خود را دقیقاً بدانید.
بنا به عقیده‌ی مقامات آمریکایی، جمعه‌ی گذشته چنین اتفاقی افتاد. گروهی ناشناس از مهاجمان سایبری یک حمله‌ی بزرگ DDoS را علیه Dyn، یک شرکت بزرگ سرویس دهنده‌ی DNS ترتیب دادند. آن‌ها موفق شدند Dyn را به مدت چندین ساعت از کار بیندازند. این اتفاق باعث شد تا دسترسی به سایت‌هایی مانند توییتر، اسپاتیفای، نیویورک تایمز، پینترست، ردیت و پی پال که روی Dyn میزبانی می‌شدند، غیر ممکن شود.

متاسفانه دفاع در برابر حملات DDoS و بات‌نت‌هایی که از آن‌ها برای حمله استفاده می‌شود کار آسانی نیست. بر اساس گزارش سیسکو، متداول‌ترین راه حل استفاده از فایروال است که مانند دیده‌بان برای شبکه عمل می‌کند و با بررسی بسته‌های داده، منبع آن‌ها را مشخص می‌کند. اگر یک فایروال متوجه فعالیت مشکوک در شبکه شود، به بقیه‌ی سیستم هشدار می‌دهد.
شبکه‌ها همچنین می‌توانند با یکدیگر همکاری کنند و با تقسیم ترافیک بین چند سرور، از حجم بار وارده بر روی یک سرور خاص بکاهند. یک راه حل دیگر استفاده از «سیاهچاله‌های از دور فعال شونده» (RTBH: Remotely triggered blackholes) است. RTBH ترافیک مشکوک و مخرب را قبل از اینکه حتی بتواند به شبکه وارد شوند از آن منحرف می‌کند. در نهایت اگر به اندازه‌ی کافی زرنگ باشید، از چندین سرویس DNS برای میزبانی سایت خود استفاده می‌کنید تا اگر یکی از آن‌ها از کار افتاد، ترافیک به سادگی به سرویس دیگری منتقل شود.
با توجه به آنچه گفته شد، هیچ شبکه‌ی کاملاً امنی وجود ندارد و حملات DDoS مانند آنچه دیروز تجربه کردیم همچنان ادامه خواهند داشت. اما با طراحی و اجرای مناسب شبکه می‌توان اثرات فلج کننده‌ی چنین حملاتی را به حداقل رساند.