سامانه فرنام (فروچاله نام‌دامنه)
‫امروزه، مباحث مربوط به شبکه‌های بات و روش‌های کشف و مقابله با آن‌ها، از جمله مسائل مهم در زمینه‌ی امنیت اطلاعات به شمار می‌رود. حملاتی که توسط شبکه‌های بات صورت می‌گیرد ضررهای جبران‌ناپذیری به سازمان‌ها وارد می‌کند. برای مقابله با شبکه‌های بات و جلوگیری از انتشار آن‌ها مکانیزم‌های متعددی ارایه شده‌است.
یکی از روش‌های دفاعی ممکن در مقابل حملات شبکه‌های بات، تکنیک فروچاله نام دامنه است. این تکنیک مانع بات‌هایی می‌شود که از طریق سرویس DNS سعی در اتصال به کارگزار دستور و کنترل را دارند.
این روش،‌ مانع از اتصال بات‌ها به کارگزاران دستور و کنترل می‌شود. به این ترتیب از انجام اعمال مخرب توسط بات‌ها (از قبیل حملات منع خدمت توزیع‌شده، ارسال هرزنامه، دزدی اطلاعات) پیشگیری به عمل می‌آورد و در نهایت حمله‌کننده، کنترل روی بات‌ها را از دست خواهد داد. در واقع، روش فروچاله نام‌دامنه روشی موثر برای مقابله با فعالیت شبکه‌های بات مبتنی بر کارگزار دستور و کنترل است.
یکی از روش‌های دفاعی ممکن در مقابل حملات شبکه‌های بات، تکنیک فروچاله نام دامنه است. این تکنیک مانع بات‌هایی می‌شود که از طریق سرویس DNS سعی در اتصال به کارگزار دستور و کنترل را دارند.
با استفاده از این سامانه از انجام اعمال مخرب توسط بات‌ها از قبیل حملات منع خدمت توزیع‌شده (DDoS)، ارسال هرزنامه و دزدی اطلاعات پیشگیری به عمل می‌آورد و در نهایت حمله‌کننده، کنترل روی بات‌ها را از دست خواهد داد.
سرویس نام‌دامنه یک سرویس مرکزی برای دسترسی به اینترنت به شمار می‌آید. به کمک سرویس نام‌دامنه، یک کارخواه قادر خواهد بود بدون نیاز به دانستن آدرس کارگزار، تنها از طریق نام‌دامنه به خدمت مورد نظرش دسترسی داشته‌باشد. اما همین ویژگی می‌تواند توسط شبکه‌های بات مورد استفاده قرار گیرد. سامانه‌های آلوده (بات‌ها) به جای نگهداری لیستی از آدرس‌های کارگزارهای دستور و کنترل ، کافی است یک نام‌ دامنه را مورد پرس‌وجو قرار دهند.
شبکه‌های بات برای دریافت دستورات تلاش می‌کنند با کارگزارهای دستور و کنترل ارتباط برقرار کنند. اما از آن‌جا که سامانه‌های امنیتی هم‌چون دیواره‌های آتش و سامانه‌های تشخیص نفوذ بر مبنای آدرس‌های آی‌پی کار می‌کنند، لذا بات‌ها نام‌دامنه کارگزار دستور و کنترل را ذخیره می‌کنند. بات با فرستادن یک درخواست DNS به کارگزار DNS آدرس آی‌پی را دریافت کرده و به کارگزار دستور و کنترل متصل می‌شود. بنابراین،‌ اگر بات نتواند آدرس آی‌پی آن را دریافت کند، قادر به اتصال به کارگزار دستور و کنترل و انجام حمله نخواهد بود.
فروچاله نام‌دامنه با جعل کردن پاسخ DNS برای میزبان‌ها و دامنه‌های مخرب، مانع از برقراری ارتباط می‌شود. مدیر شبکه، یک کارگزار DNS را به گونه‌ای پیکربندی می‌کند که برای نام‌دامنه‌های خاصی، آدرس‌های آی‌پی اشتباه را به عنوان خروجی بدهد.
فروچاله نام‌دامنه با جعل کردن پاسخ DNS برای میزبان‌ها و دامنه‌های مخرب، مانع از برقراری ارتباط می‌شود. مدیر شبکه، یک کارگزار DNS را به گونه‌ای پیکربندی می‌کند که برای نام‌دامنه‌های خاصی، آدرس‌های آی‌پی اشتباه را به عنوان خروجی بدهد. وقتی که کارخواه درخواست گرفتن آدرس آی‌پی برای یک میزبان یا نام‌دامنه را می‌دهد، فروچاله، آدرس غیر قابل مسیردهی یا هر آدرسی غیر از آدرس اصلی به عنوان خروجی تولید می‌کند. این‌کار سبب می‌شود ارتباط با میزبان هدف برقرار نشود. این عمل یعنی گرفتن پرس‌وجوی DNS از بات‌ها، هدایت به فروچاله نام دارد. همین ویژگی‌ها، کلید شناسائی حملات نو و روش‌های به‌کار رفته در اجرای آن‌ها خواهد بود.
ویژگی‌ها
سامانه فروچاله نام‌دامنه عملکرد ساده‌ای دارد. به همین دلیل برای تشخیص و بلاک کردن ترافیک مخرب و ناخواسته به صورت کارا عمل می‌کند. این سامانه قادر است با تهدیداتی که از سرویس نام‌دامنه استفاده می‌کنند، مقابله کند.
برای کارایی بیشتر سامانه، لیست نام‌دامنه‌ها و آدرس‌های آی‌پی باید بطور مداوم به‌روزرسانی شود. منابع زیادی موجود است که لیستی از سایت‌های مخرب و شناخته‌شده را فراهم می‌کنند. به کمک این منابع و هم‌چنین از روی خروجی‌های سامانه‌های کشف تهدیدات، می‌توان نام‌دامنه‌های مورد نیاز را به‌دست آورد.
روند کلی به این صورت است که فروچاله نام‌دامنه برای نام‌دامنه‌های شناخته‌شده بدخواه، رکورد DNS ایجاد کرده و در کارگزار نام‌دامنه قرار می‌دهد. هرگاه این نام‌دامنه‌ها مورد پرس‌وجو قرار گیرند، آدرس فروچاله، به جای آدرس واقعی کارگزار بدخواه برگردانده می‌شود. به عنوان مثال در شبکه‌های بات، یک قربانی پس از آلوده شدن، سعی در برقراری ارتباط با کارگزار دستور و کنترل می‌کند. فروچاله DNS مانع اتصال بات‌ها به کارگزار دستور و کنترل می‌شود. در نتیجه، هنگامی که بات برای اولین بار می‌خواهد به کارگزار دستور و کنترل وصل شود، حمله‌کننده نمی‌تواند ماشین آلوده را به لیست بات‌های خود اضافه کند.
به‌علاوه، اگر سامانه‌ای بتواند نقش کارگزار دستور و کنترل ساختگی را ایفا کند،‌ می‌تواند لیست بات‌ها را تهیه کرده و فعالیت‌های امنیتی بیشتری انجام دهد.

تشخیص و بلاک کردن ترافیک مخرب و ناخواسته به صورت کارا

مقابله با تهدیداتی که از سرویس نام‌دامنه استفاده می‌کنند

استفاده از منابع مختلف (مثل سروش) برای به‌روزرسانی نام دامنه‌ها و آدرس‌های آی‌پی

ایجاد رکورد DNS و ثبت در کارگزار نام‌دامنه برای نام‌دامنه‌های شناخته‌شده بدخواه

داشتن درگاه ارتباطی کاربر‌پسند برای ارائه نتایج، گزارش‌ها و آمارهای تحلیلی.

امکان پیکربندی براساس تنظیمات ورودی مدیر پیکربندی صورت می‌گیرد.

مولفه‌ها
همان‌طور که معماری ارائه شده در ابتدای این صفحه نشان داده شده است، سامانه فرنام با دو سامانه دیگر در ارتباط است. این سامانه‌ها در شکل با عناوین
مشخص شده‌اند.
سامانه فرنام آدرس کارگزارهای دستور و کنترل را از سامانه کشف شبکه‌های بات (سامانه سروش) دریافت می‌کند. میزبان‌ها در صورت درخواست این نام‌دامنه‌ها (و سایر نام‌دامنه‌های مشکوک) به سامانه فرنام هدایت می‌شوند. سامانه فرنام با دریافت درخواست‌های بات (که به مقصد کارگزار دستور و کنترل ارسال شده‌اند)، از یک سو ارتباط بات و کارگزار دستور و کنترل را قطع می‌کند و از سوی دیگر از این ترافیک، اطلاعات و گزارش‌های مفیدی استخراج می‌نماید. این اطلاعات در درک و شناسایی نحوه عملکرد و مقاصد شبکه بات مفید خواهند بود. از طرف دیگر، سامانه فرنام به صورت انتخابی درخواست‌های بات را به سامانه جعبه شنی ارسال می‌کند. این درخواست‌ها در جعبه شنی مورد تحلیل دقیق‌تری قرار می‌گیرد و در صورت امکان پاسخ‌های مناسب و بی‌خطری برای این درخواست‌ها تهیه می‌شود. علاوه بر درخواست‌های بات، آدرس‌های فایل‌های دودویی که در ترافیک بات مشاهده می‌شوند، نیز به جعبه شنی ارسال می‌شود. نتایج حاصل از تحلیل این فایل‌های دودویی از سوی جعبه‌ شنی به سامانه فرنام ارسال می‌شود. سامانه فرنام از ترافیک دریافتی بات‌ها امضاهایی تهیه می‌کند؛ این امضاها در سامانه سروش برای فیلتر کردن ترافیک بات‌های شناخته‌شده می‌تواند به‌کار گرفته شود.

سامانه فرنام از سه مولفه‌ی اصلی تشکیل شده است:
  • موتور واسط
  • موتور تحلیل ترافیک
  • درگاه
موتور واسط
  • موتور واسط، وظیفه‌ی برقراری ارتباط میان سامانه‌ی فرنام و سامانه‌های خارجی را بر عهده دارد. در واقع این مولفه، به عنوان واسط دنیای خارج عمل می‌کند.
  • سامانه‌ی فرنام، داده‌هایی را که قصد ارسال به سامانه‌های خارجی (سامانه‌ی سروش و جعبه شنی) دارد، از طریق مولفه‌ی واسط ارسال می‌کند.
  • هم‌چنین، این مولفه داده‌ها و اطلاعات را از سامانه‌های خارجی دریافت و به مولفه‌هایی از فرنام که اطلاعات را نیاز دارند، تحویل می‌دهد.
  • از جمله این داده‌ها می توان نام‌دامنه‌های ارسال‌شده از سامانه‌ی سروش، نتایج تحلیل بات و پاسخ‌های بی‌خطر کارگزارهای دستور و کنترل ارسال‌شده از جعبه شنی را نام برد.
مولفه‌ی تحلیل‌ ترافیک
  • این مولفه‌ وظیفه‌ی پردازش و تحلیل ترافیک میزبان‌های هدایت‌شده به سامانه‌ی فرنام را برعهده دارد.
  • مولفه‌ی تحلیل ترافیک از دو زیر مولفه‌‌ی زیر تشکیل شده‌است.
    • پاسخ‌گوی بات
    • تحلیل‌گر درخواست بات
  • ترافیک هدایت‌شده به سمت سامانه‌ی فرنام، توسط زیرمولفه‌ی پاسخ‌گوی بات دریافت‌شده و بر اساس پروتکل لایه‌ی انتقال، پاسخ مناسب ارسال می‌شود.
  • وظیفه‌ی سامان‌دهی آدرس‌های آی‌پی اختصاص‌یافته به سامانه‌ی فرنام با زیرمولفه‌ی پاسخ‌گوی بات است.
  • یک نمونه از هر درخواست‌ بات به زیرمولفه‌ی تحلیل درخواست بات تحویل داده می‌شود. با تحلیل و تجمیع این درخواست‌ها گزارش‌های مناسب برای نمایش در سمت درگاه آماده می‌شوند
  • به عنوان نمونه، مولفه‌ی تحلیل‌گر ترافیک با تحلیل بسته‌های میزبان‌ها می‌تواند به اطلاعاتی چون نام‌دامنه درخواست‌شده و یا آدرس‌های درخواست‌شده دست پیدا کند.
  • اطلاعات حاصل از تحلیل ترافیک به درگاه ارسال می‌شود تا در تولید گزارش‌ها استفاده شود. این اطلاعات به موتور واسط نیز داده می‌شود تا برای تحلیل به جعبه شنی ارسال شود.
  • تمامی اطلاعات مورد نیاز برای تهیه‌ی گزارش توسط این مولفه تولید شده و به مولفه‌ی درگاه داده می‌شود.
  • از تحلیل ترافیک بات‌ها در این مولفه، امضاهای بات تولید و برای ارسال به سامانه‌ی سروش، به موتور واسط تحویل داده می‌شود.
مولفه‌ی درگاه
  • موتور واسط به عنوان یک مولفه‌ی میانجی، تعامل بین مولفه‌های داخلی و سامانه‌های خارجی را برقرار می‌کند.
  • موتور واسط به صورت مولفه‌ی مرزی سامانه فرنام به تبادل اطلاعات با دو سامانه‌ی جعبه شنی و سامانه‌ی سروش می‌پردازد.
  • ناممکن بودن شناسایی و از کار انداختن ابزارهای پایش‌گر برای مهاجم
سامانه‌ها
sandboxenvironment

جعبه شنی

جعبه شنی موظف است اطلاعات مربوط به درخواست‌های میزبان‌های آلوده به بات را که از سامانه‌ی فرنام دریافت می‌کند تحلیل کرده و نتایج لازم را تولید کند. جعبه شنی آدرس‌ها و فایل‌های درخواستی را تحلیل می‌کند و با اتصال به کارگزار دستور و کنترل پاسخ‌های آن را بررسی کرده و پاسخ‌های بی‌خطر را به سامانه‌ی فرنام ارسال می‌نماید. سامانه‌ی فرنام می‌تواند این پاسخ‌ها را به بات‌ها ارسال کند تا از درخواست‌های مداوم بات‌ها برای دریافت پاسخی از سمت کارگزار دستور و کنترل جلوگیری کند. هم‌چنین، جعبه شنی بخشی از نتایج تحلیل خود را به سامانه‌ی سروش ارسال می‌کند. این اطلاعات عبارت‌اند از نتایج تحلیل بات و نقاط اتصال بات. با استفاده از این اطلاعات سامانه‌ی سروش می‌تواند بات‌ها و کارگزارهای دستور و کنترل را شناسایی کند.
soroush

سامانه سروش

سامانه‌ی سروش وظیفه دارد نام‌دامنه‌های مربوط به کارگزارهای دستور و کنترل را به سامانه‌ی فرنام تحویل دهد. سامانه‌ی سروش آدرس‌ها و نام‌دامنه‌های بات را پس از کشف و شناسایی بات‌ها به‌دست می‌آورد. سامانه‌ی سروش می‌تواند آدرس‌های آی‌پی کارگزارهای دستور و کنترل را از طریق نگاشت معکوس DNS به نام‌دامنه‌های مربوطه نگاشت کند. این نام‌دامنه‌ها به سامانه‌ی فرنام تحویل داده می‌شود. سامانه‌ی فرنام با استفاده از این نام‌دامنه‌ها مانع ارتباط بات‌ها با کارگزارهای دستور و کنترل و دریافت دستورات از آن‌ها می‌شود. در مقابل، سامانه‌ی فرنام امضای بات‌ها را به سامانه‌ی سروش می‌دهد تا سامانه‌ی سروش برای شناسایی زودهنگام بات‌ها از این امضاها استفاده کند.