در عصر سانسور روزافزون اینترنتی، دور زدن فیلترینگ برای بسیاری به یک ضرورت تبدیل شده است؛ اما همزمان ریسک امنیتی جدی به همراه دارد. در میان تکنیکهای گوناگونی که طی سالهای اخیر ظهور کردهاند، DNS tunneling یکی از مؤثرترین — و خطرناکترین — روشها به شمار میرود. این مقاله به بررسی DNS، نحوه عملکرد DNS tunneling ، دلایل محبوبیت آن برای دور زدن محدودیتها، و چگونگی تبدیل کاربران ناآگاه به ابزارهای ناخواسته مجرمان سایبری میپردازد.
(DNS) یکی از پایههای اساسی زیرساخت مدرن اینترنت است. DNS که اغلب به آن «دفتر تلفن اینترنت» گفته میشود، نامهای دامنه قابل خواندن توسط انسان (مانند example.com) را به آدرسهای IP قابل خواندن توسط ماشین تبدیل میکند تا کامپیوترها بتوانند وبسایتها و سرویسها را پیدا و به آنها متصل شوند. بدون DNS، اینترنت عملاً از کار میافتد. بنابراین قابلیت اطمینان و امنیت آن برای زیرساخت دیجیتال جهانی حیاتی است.
دو نوع اصلی Resolvers DNS وجود دارد که هر کدام نقش متفاوتی ایفا میکنند:
رزولورهای باز (Open Resolvers): این سرورهای DNS عمومی هستند که درخواستهای DNS را از هر منبع اینترنتی پذیرفته و پاسخ میدهند. این رزولورها توسط سازمانها و افراد مختلف در سراسر جهان اداره میشوند. ماهیت غیرمتمرکز آنها به سیستم DNS کمک میکند، اما همزمان فرصتهای سوءاستفاده را نیز فراهم میآورد.
رزولورهای معتبر (Authoritative (or ISP) Resolvers): این رزولورها توسط ارائهدهندگان خدمات اینترنتی (ISP) ارائه میشوند. آنها نه تنها نام دامنهها را تبدیل میکنند، بلکه سیاستهای محتوایی را نیز اعمال مینمایند. اگر ارائهدهنده اینترنت بخواهد دسترسی به یک وبسایت خاص را مسدود کند، میتواند این قانون را در رزولور DNS خود تنظیم کند. برای بسیاری از کاربران در محیطهای محدودکننده، این رزولورها مانع اصلی دسترسی به اینترنت آزاد هستند.
برای افرادی که تحت سانسور شدید اینترنتی هستند،DNS tunneling راهحلی نسبتاً ساده ارائه میدهد. تنها چیزی که معمولاً نیاز است، دسترسی به یک رزولور DNS که مسدود نشده باشد و تنظیمات یا ابزار مناسب است. پس از برقراری تونل، کاربران میتوانند به وبسایتهای مسدودشده، شبکههای اجتماعی و اطلاعاتی که ISP آنها را محدود کرده، دسترسی پیدا کنند. این سادگی استفاده باعث شده تونلینگ DNS در میان فعالان هوزه IT، خبرنگاران و شهروندان عادی که به دنبال آزادی دیجیتال هستند، به سرعت محبوب شود.
با این حال، همان ویژگیهایی که DNS tunneling را برای کاربران جذاب میکند، آن را به ابزاری محبوب برای بازیگران مخرب نیز تبدیل کرده است.
مجرمهای سایبری و گروههای تهدید پیشرفته (APT) از DNS tunneling برای موارد زیر استفاده میکنند:
سرقت داده (Data Exfiltration): دزدیدن مخفیانه اطلاعات حساس از شبکههای نفوذشده.
ارسال بدافزار و کنترل و فرمان (C2): حفظ دسترسی مداوم به سیستمهای آلوده و ارسال دستورات از راه دور.
حرکت جانبی در شبکه: جابهجایی در شبکه بدون آشکار شدن.
دور زدن کنترلهای امنیتی: فرار از فایروال، پروکسی و سیستمهای نظارت.
بسیاری از کاربران متوجه نیستند که وقتی تونلینگ DNS را بدون اقدامات امنیتی مناسب — و اغلب با استفاده از تونلهای عمومی یا ناامن — راهاندازی میکنند، ناخواسته بخشی از زیرساخت مجرمانه بزرگ میشوند. دستگاههای آنها ممکن است به عنوان پروکسی یا رله در باتنتها یا عملیات قاچاق داده عمل کنند، در حالی که به نظر میرسد فقط فعالیت DNS معمولی انجام میدهند. DNS tunneling به این دلیل به شدت خطرناک است که یک پروتکل ضروری و مورد اعتماد را به ابزاری برای فعالیتهای مخرب پنهان تبدیل میکند. برخلاف مسیرهای حمله آشکار، تهدیدهای مبتنی بر DNS بسیار سخت تشخیص داده میشوند و بسیاری از سازمانها و کاربران خانگی تا زمانی که آسیب جدی وارد نشده، متوجه سوءاستفاده از سیستمهای خود نمیشوند.
DNS tunneling شمشیری دولبه است. از یک سو به کاربران کمک میکند تا در محیطهای فیلتر به اطلاعات دسترسی پیدا کنند، از سوی دیگر به مهاجمان بزرگراهی مخفی برای ورود به شبکهها میدهد. با گسترش روزافزون محدودیتهای اینترنتی در سطح جهانی، جامعه امنیتی باید روشهای تشخیص بهتر توسعه دهد و کاربران را نسبت به شیوههای مسئولانه آگاه کند. کاربران نیز باید بدانند که هر ابزار دور زدن فیلتر ریسکهای خود را دارد و راحتترین راهحل لزوماً ایمنترین نیست. آزادی دیجیتال واقعی باید با هوشیاری و احتیاط همراه باشد. در غیر این صورت، در جستجوی دور زدن سانسور، کاربران عادی خطر تبدیل شدن به سربازان ناخواسته در جنگ سایبری دیگران میشوند.
