DNS Attacks: ডোমেইন নেম সিস্টেম হ্যাক করে ব্যবহারকারীদের প্রতারণামূলক সাইটে নেওয়া!

DNS একটি বিতরণকৃত হায়ারার্কিক্যাল সিস্টেম যা বিশ্বব্যাপী হাজার হাজার সার্ভারে চলে। যখন কোনো ব্যবহারকারী example.com টাইপ করেন, তখন একটি জটিল প্রক্রিয়া শুরু হয়। প্রথমে স্থানীয় ক্যাশ পরীক্ষা করা হয়, তারপর রিকার্সিভ রিসলভার, রুট সার্ভার, TLD সার্ভার এবং অবশেষে authoritative নেমসার্ভারের সাথে যোগাযোগ করা হয়। এই দীর্ঘ যাত্রার প্রতিটি ধাপে আক্রমণের সম্ভাবনা রয়েছে।

DNS এর মূল প্রোটোকল 1980 এর দশকে ডিজাইন করা হয়েছিল যখন ইন্টারনেট মূলত একটি গবেষণা নেটওয়ার্ক ছিল এবং নিরাপত্তা প্রাথমিক বিবেচ্য বিষয় ছিল না। সাধারণ DNS অনুরোধ UDP পোর্ট 53 ব্যবহার করে এবং প্লেইনটেক্সটে প্রেরিত হয়, যা আক্রমণকারীদের জন্য বহু সুযোগ তৈরি করে। কোনো অন্তর্নিহিত প্রমাণীকরণ ব্যবস্থা না থাকায় একটি DNS রিসলভার সাধারণত প্রথম প্রতিক্রিয়া গ্রহণ করে যা সঠিক প্রশ্ন ID এবং উৎস পোর্ট সহ আসে।

বিভিন্ন স্তরে DNS আক্রমণ সংঘটিত হতে পারে। ব্যবহারকারীর ডিভাইসে স্থানীয় hosts ফাইল পরিবর্তন থেকে শুরু করে ISP এর রিকার্সিভ সার্ভারে cache poisoning, রেজিস্ট্রার পর্যায়ে domain hijacking, এমনকি BGP hijacking এর মাধ্যমে DNS ট্রাফিক পুনর্নির্দেশ পর্যন্ত - প্রতিটি স্তরে ভিন্ন কৌশল ব্যবহৃত হয়। আক্রমণের জটিলতা এবং প্রভাবও সেই অনুযায়ী পরিবর্তিত হয়।

DNS Cache Poisoning বা DNS Spoofing হলো এমন একটি আক্রমণ যেখানে আক্রমণকারী একটি DNS রিসলভারের ক্যাশে ভুল ম্যাপিং ঢুকিয়ে দেন। যখন কোনো বৈধ ব্যবহারকারী সেই ডোমেইনের জন্য অনুরোধ করেন, তারা আক্রমণকারীর নির্দিষ্ট করা IP ঠিকানায় পরিচালিত হন। এই আক্রমণের সবচেয়ে বিখ্যাত রূপ হলো 2008 সালে Dan Kaminsky এর আবিষ্কৃত Kaminsky Attack।

Kaminsky Attack এর মূল ধারণা হলো একই ডোমেইনের জন্য অসংখ্য subdomain অনুরোধ পাঠিয়ে রিসলভারকে বহুল পরিমাণ DNS query তৈরি করতে বাধ্য করা। প্রতিটি query এর জন্য আক্রমণকারী একটি ভুয়া প্রতিক্রিয়া পাঠানোর চেষ্টা করেন সঠিক transaction ID অনুমান করে। যেহেতু DNS অনুরোধ 16-bit transaction ID ব্যবহার করে, কেবল 65,536 টি সম্ভাব্য মান রয়েছে যা সঠিক transaction অনুমান করতে যথেষ্ট সংক্ষিপ্ত সময়ে চেষ্টা করা যায়।

এই আক্রমণের প্রতিকার হিসেবে source port randomization এবং DNSSEC বাস্তবায়ন শুরু হয়েছিল। আধুনিক DNS রিসলভাররা এখন প্রতিটি query এর জন্য একটি র‌্যান্ডম উৎস পোর্ট ব্যবহার করে, যা সম্ভাব্য সঠিক প্রতিক্রিয়া অনুমানের সংখ্যা প্রায় 4 বিলিয়নে বৃদ্ধি করে। তবে সাম্প্রতিক গবেষণায় SAD DNS এবং side-channel আক্রমণের মাধ্যমে এখনও cache poisoning সম্ভব বলে প্রমাণিত হয়েছে।

DNS Hijacking এর মাধ্যমে আক্রমণকারীরা ব্যবহারকারীর DNS অনুসন্ধানের নিয়ন্ত্রণ নিজেদের হাতে নিয়ে নেন। Local DNS Hijacking সবচেয়ে সাধারণ রূপ, যেখানে ম্যালওয়্যার ব্যবহারকারীর ডিভাইসে DNS সেটিংস পরিবর্তন করে দেয়। বিখ্যাত DNSChanger ম্যালওয়্যার 2007 থেকে 2011 সালের মধ্যে কয়েক মিলিয়ন কম্পিউটারে এই কাজ করেছিল এবং ব্যবহারকারীদের ভুয়া বিজ্ঞাপন সার্ভারে পুনঃনির্দেশিত করেছিল।

Router Hijacking এ আক্রমণকারীরা হোম রাউটারের DNS সেটিংস পরিবর্তন করেন, ফলে ঐ নেটওয়ার্কের সমস্ত ডিভাইসই প্রভাবিত হয়। দুর্বল পাসওয়ার্ড, পুরাতন ফার্মওয়্যার এবং ডিফল্ট ক্রেডেনশিয়াল রাউটার আক্রমণকে সহজ করে তোলে। 2019 সালে আবিষ্কৃত GhostDNS অভিযান বিশ্বব্যাপী 100,000 এরও বেশি হোম রাউটার আক্রান্ত করেছিল।

Domain Hijacking আরও পরিশীলিত আক্রমণ যেখানে আক্রমণকারীরা রেজিস্ট্রার অ্যাকাউন্টে অ্যাক্সেস পেয়ে সম্পূর্ণ ডোমেইনের মালিকানা পরিবর্তন করেন বা DNS রেকর্ড পরিবর্তন করেন। 2018-2019 সালে Sea Turtle অভিযানে রাষ্ট্র-সমর্থিত আক্রমণকারীরা মধ্যপ্রাচ্য, উত্তর আফ্রিকা এবং ইউরোপের 40 টিরও বেশি প্রতিষ্ঠানের DNS infrastructure আক্রমণ করেছিল। তারা মূলত রেজিস্ট্রার এবং ccTLD অপারেটরদের লক্ষ্য করে, যা একটি একক আক্রমণে শত শত ডোমেইনের নিয়ন্ত্রণ এনে দেয়।

DNS Tunneling একটি কৌশল যেখানে আক্রমণকারীরা DNS প্রোটোকল ব্যবহার করে গোপন যোগাযোগ চ্যানেল প্রতিষ্ঠা করেন। যেহেতু DNS ট্রাফিক প্রায় সমস্ত নেটওয়ার্কে অনুমোদিত এবং সাধারণত গভীরভাবে পরিদর্শিত হয় না, এটি ম্যালওয়্যার কমান্ড-অ্যান্ড-কন্ট্রোল চ্যানেল এবং ডেটা চুরির জন্য আদর্শ। ক্ষতিকর তথ্য DNS query এর subdomain হিসেবে এনকোড করে প্রেরণ করা হয়, এবং প্রতিক্রিয়া TXT রেকর্ডে এনকোড করা থাকে।

জনপ্রিয় DNS tunneling টুল যেমন Iodine, dnscat2 এবং DNS2TCP নিরাপত্তা গবেষকরা ব্যবহার করেন, কিন্তু একই টুল ক্ষতিকর উদ্দেশ্যেও ব্যবহৃত হয়। FrameworkPOS, MULTIGRAIN এবং BernhardPOS এর মতো point-of-sale ম্যালওয়্যার ক্রেডিট কার্ড ডেটা চুরির জন্য DNS tunneling ব্যবহার করেছে। 2017 সালের DNSpionage অভিযান এবং সাম্প্রতিক সময়ে SUNBURST ব্যাকডোর তাদের C2 যোগাযোগের জন্য DNS এর সুযোগ নিয়েছে।

DNS Tunneling সনাক্ত করা চ্যালেঞ্জিং কারণ বৈধ DNS ট্রাফিক থেকে এটিকে আলাদা করা কঠিন। তবে কিছু সূচক যেমন অস্বাভাবিকভাবে দীর্ঘ DNS query, উচ্চ ফ্রিকোয়েন্সিতে একই ডোমেইনে অনুরোধ, এবং বহিরাগত DNS সার্ভারের সাথে অস্বাভাবিক ট্রাফিক প্যাটার্ন সন্দেহজনক কার্যকলাপ নির্দেশ করতে পারে।

DNS Amplification একটি Distributed Denial of Service আক্রমণ যেখানে আক্রমণকারীরা ছোট DNS query পাঠিয়ে বৃহৎ প্রতিক্রিয়া পান, যা লক্ষ্যের দিকে পরিচালিত হয়। উৎস IP ঠিকানা spoof করে আক্রমণকারীরা amplification factor 50 থেকে 100 পর্যন্ত অর্জন করতে পারেন। 2016 সালে Dyn এর বিরুদ্ধে Mirai botnet আক্রমণ DNS পরিকাঠামোর উপর নির্ভরশীলতার বিপদ প্রদর্শন করেছিল, যা Twitter, Netflix, Reddit এবং অন্যান্য বড় ওয়েবসাইট ঘণ্টার পর ঘণ্টা অফলাইন রেখেছিল।

NXDOMAIN Flood এ আক্রমণকারীরা অস্তিত্বহীন subdomain এর জন্য বিপুল পরিমাণ অনুরোধ পাঠান, যা authoritative সার্ভারে অতিরিক্ত চাপ সৃষ্টি করে। DNS Rebinding একটি সূক্ষ্ম আক্রমণ যেখানে ব্রাউজারের same-origin policy বাইপাস করা হয়। আক্রমণকারীরা প্রথমে তাদের নিয়ন্ত্রিত IP রিটার্ন করেন, তারপর DNS রেকর্ডকে অভ্যন্তরীণ নেটওয়ার্ক IP (যেমন 192.168.1.1) এ পরিবর্তন করে দেন।

Subdomain Takeover একটি ক্রমবর্ধমান সমস্যা যেখানে প্রতিষ্ঠানের পরিত্যক্ত CNAME রেকর্ড ক্লাউড পরিষেবার (যেমন AWS S3, Azure, GitHub Pages) পরিত্যক্ত রিসোর্সের দিকে নির্দেশ করে। আক্রমণকারীরা সেই রিসোর্স দাবি করে নিতে পারেন এবং বৈধ subdomain এর নিয়ন্ত্রণ পেয়ে যান। Typosquatting এবং Homograph attack বিভিন্নভাবে ভুল টাইপ বা একই দেখতে অক্ষর ব্যবহার করে ব্যবহারকারীদের প্রতারণা করে।

DNS আক্রমণ থেকে কার্যকর সুরক্ষার জন্য বহুস্তরীয় পদ্ধতি প্রয়োজন। DNSSEC বা DNS Security Extensions ডিজিটাল স্বাক্ষর ব্যবহার করে DNS ডেটার অখণ্ডতা এবং সত্যতা নিশ্চিত করে। যদিও DNSSEC ব্যাপকভাবে গৃহীত হয়নি, এটি cache poisoning এর বিরুদ্ধে শক্তিশালী সুরক্ষা প্রদান করে। সকল বড় ডোমেইন রেজিস্ট্রার এখন DNSSEC সমর্থন করে এবং প্রতিষ্ঠানগুলোর এটি সক্ষম করা উচিত।

DNS over HTTPS (DoH) এবং DNS over TLS (DoT) DNS query এনক্রিপ্ট করে eavesdropping এবং manipulation প্রতিরোধ করে। Cloudflare এর 1.1.1.1, Google এর 8.8.8.8 এবং Quad9 এর 9.9.9.9 এর মতো পাবলিক DNS পরিষেবা এই প্রোটোকল সমর্থন করে। তবে এন্টারপ্রাইজ পরিবেশে DoH এর গৃহীত নীতি ভিন্ন হতে পারে কারণ এটি নেটওয়ার্ক নিরীক্ষণ জটিল করে তোলে।

Domain Registrar পর্যায়ে সুরক্ষা অত্যন্ত গুরুত্বপূর্ণ। Registry Lock বা Registrar Lock সক্ষম করলে অননুমোদিত ডোমেইন স্থানান্তর বা DNS পরিবর্তন রোধ হয়। মাল্টি-ফ্যাক্টর প্রমাণীকরণ, শক্তিশালী পাসওয়ার্ড এবং রেজিস্ট্রার অ্যাকাউন্টে সীমিত অ্যাক্সেস অপরিহার্য। CAA (Certification Authority Authorization) রেকর্ড সেট করে শুধুমাত্র অনুমোদিত CA গুলোকে আপনার ডোমেইনের জন্য সার্টিফিকেট ইস্যু করার অনুমতি দেওয়া যায়।

কর্পোরেট পরিবেশে DNS Filtering এবং Threat Intelligence সংহতকরণ ক্ষতিকর ডোমেইনে অ্যাক্সেস ব্লক করে। Cisco Umbrella, Cloudflare Gateway এবং Webroot এর মতো সমাধান লক্ষ লক্ষ পরিচিত ক্ষতিকর ডোমেইনের ডেটাবেস বজায় রাখে। নিয়মিত DNS audit, monitoring এবং anomaly detection স্থাপন করতে হবে। শেষ ব্যবহারকারীদের জন্য সচেতনতা প্রশিক্ষণ, সর্বদা HTTPS পরীক্ষা করা এবং সন্দেহজনক ওয়েবসাইট সম্পর্কে সতর্কতা গুরুত্বপূর্ণ। হোম ব্যবহারকারীদের জন্য রাউটার ফার্মওয়্যার আপডেট রাখা, ডিফল্ট ক্রেডেনশিয়াল পরিবর্তন এবং বিশ্বস্ত DNS রিসলভার ব্যবহার অপরিহার্য পদক্ষেপ।