سنتحدث عن أمن نظام أسماء النطاقات(Domain Name System DNS) وخادمات هذا النظام
والمخاطر الأمنية التي قد تواجه هذا النظام ومستخدميه وكيفية التغلب عليها مع ذكر
بعض الأمثلة باستخدام برنامج البايند (Bind) الذي يعد من أشهر برامج هذا النظام وأكثرها
انتشارا (وهو يعمل على بيئة اليونكس و الوندوز).
إن نظام أسماء
النطاقات يعد من أهم الأنظمة الموجودة على الانترنت والشبكات وأكثرها حساسية
فبدونه لا يمكن الوصول إلى الأجهزة أو المواقع باستخدام أسمائها، و إذا تعرض هذا
النظام للتعطيل أو التخريب من قبل المهاجمين فان ذلك سيؤدي لحدوث أضرار كبيرة
وخطيرة لمستخدمي الانترنت والشبكات، مثل توجيه المستخدمين لمواقع وهمية ومن ثم
سرقة معلوماتهم الشخصية(اسم المستخدم وكلمة المرور ، أرقام البطاقات الائتمانية)،
وقد يؤدي أيضا لتعطيل المواقع و الخدمات المتوفرة على الانترنت والشبكات أو حتى
تعطيل شبكة الانترنت كاملة (فلا يمكن الوصول للمواقع باستخدام أسماء النطاقات).
ما هو نظام أسماء
النطاقات (DNS)؟
إن طريقة التخاطب
بين الأجهزة على الانترنت تعتمد بشكل أساسي على العنوان الرقمي لبرتوكول الإنترنت
(IP address) وهذا العنوان الرقمي مكون من 32 خانة ثنائية يمكن تمثيلها بالشكل
التالي (192.168.1.2). فيتحتم على أي جهاز على شبكة الانترنت معرفة العنوان الرقمي
للطرف الأخر حتى يمكن تبادل المعلومات معه، ولكن مستخدمي الإنترنت غير قادرين على
التعامل مع هذه الأرقام مباشرة لصعوبة حفظها. لذلك تم بناء نظام أسماء النطاقات
(الذي يقوم باستخدام الأسماء عند التخاطب ومن ثم تحويلها إلى ما يقابلها من أرقام)
للتغلب على هذه المشكلة ولإضافة مزايا عديدة تخدم الانترنت ومستخدميها.
ويمكن تعريف نظام
أسماء النطاقات بأنه قاعدة معلومات غير مركزية (موزعة) على شبكة الإنترنت تحتوي
على معلومات النطاقات و أسماء الأجهزة وعناوينها الرقمية تحت كل نطاق. وهذا النظام
يقوم بتجزئه معلومات الشبكة إلى أجزاء يتم إدارتها محليا والوصول إليها عن طريق
الشبكة , ويتم زيادة الاعتمادية و تحسبن سرعة الرد باستخدام التعددية
(replication) و الحفظ المؤقت (caching).
وهذا النظام له جذر
رئيسي تندرج تحته نطاقات علوية (نطاقات مفتوحة ونطاقات دولية ونطاقات ذات
استخدامات خاصة) وتحت كل نطاق علوي يوجد نطاقات فرعية أخرى، الصورة التالية توضح
التفرع للنطاقات:
و نظام أسماء
النطاقات يستخدم نموذج الخادم و العميل (client server model) حيث يحتفظ الخادم
(المسمى خادم أسماء النطاقاتDomain Name server) بجزء بسيط من قاعدة المعلومات على
ملف النطاق (zone file) و يوفرها للعميل ( المسمى المقرر أو المترجمResolver).
فالخادم يستمع إلى استفسارات المقررين على المنفذ رقم (53 UDP) ويقوم بتلقي طلبات
تبادل ملفات النطاقات (zone transfer) مع الخادمات الأخرى على المنفذ رقم (53
TCP).كما يجدر التنبيه إلى أن طبيعة تبادل الرسائل (الاستفسارات و الردود) يتم
بشكل مبسط ومن دون أي تشفير خلال النظام، مما يتيح لأي شخص على الشبكة معرفة
الاستفسارات والرسائل المتبادلة المتعلقة بالنظام ، ولقد تم وضع حلول معينة تحد من
خطورة هذا الأمر.
مكونات النظام
وطريقة عملة:
قبل التحدث عن
المخاطر الأمنية التي قد تواجه النظام يتحتم علينا أولا التعرف على مكوناته مع ذكر
نبذة بسيطة عن عناصر هذا النظام، فهذا النظام يتكون من العناصر التالية:
·اسم النطاق(Domain
Name):هو اسم يستخدم على الانترنت والشبكات لتمثيل جهة معينة الكترونيا، وتستخدمه
الجهة للدلالة على اسمها(domain.com.sa) أو أقسامها أو فروعها (ruh.domain.com.sa)
أو للدلالة على خدماتها أو أسماء أجهزتها (www.domain.com.sa srv1.domain.com.sa)
أو حتى عناوين البريد الالكترونية (user@domain.com.saهذا البريد الإلكتروني محمي
من المتطفلين و برامج التطفل، تحتاج إلى تفعيل جافا سكريبت لتتمكن من مشاهدته).
ويمكن تسجيل ذلك الاسم عن طريق المركز المسئول عن النطاق العلوي التابع له (مثلا:
لتسجيل أي نطاق تحتsaيمكن الاتصال بالمركز السعودي لمعلومات
الشبكةwww.nic.net.sa).
·سجل
المصدر (Resource Record):وهو سجل تعريفي يحدد معلومة معينة داخل النظام وله أنواع
عديدة:
oسجل تعريف العنوان ("A": Address):ويستخدم لربط الأسماء
بالعناوين الرقمية المقابلة لها، ويمكن تمثيل ذلك في ملف النطاق على الشكل التالي:
www.domain.com.sa.A 192.168.1.2
oسجل تعريف خادم البريد ("MX": Mail eXchange):ويستخدم
لتعريف خادم البريد الالكتروني لاسم النطاق الأسماء بالعناوين الرقمية المقابلة لها
، ويمكن تمثيل ذلك في ملف النطاق على الشكل التالي:
domain.com.sa. MX 10 mail.domain.com.sa.
oسجل تعريف خادم اسم النطاق ("NS": Name Server):ويستخدم
لتعريف خادم اسم النطاق المسئول عن النطاق، ويمكن تمثيل ذلك في ملف النطاق على الشكل
التالي:
domain.com.sa. NSns1.domain.com.sa.
oسجل تعريف المترادفات ("CNAME": Canonical Name):ويستخدم
لتعريف مترادفات للأسماء, ويمكن تمثيل ذلك في ملف النطاق على الشكل التالي:
www.domain.com.sa. CNAME ns1.domain.com.sa.
oسجل تعريف معلومات النطاق ("SOA": Start Of
Authority):ويستخدم لتعريف بعض المعلومات الأساسي حول النطاق (مثل من هو خادم الأسماء
الرئيسي، عنوان البريد الكتروني للمسئول الفني، ... الخ) وله صيغة معينة وبعض الأرقام
الأخرى الهامة المستخدمة بين الخادمات الرئيسية والثانوية التي تخدم اسم النطاق، وتمثل
كالتالي:
domain.com.sa. SOA ns1domain.com.sa. hostmaster.domain.com.sa.1558
7200 3600 604800 86400
oسجل التعريف العكسي للرقم ("PTR": Pointer):ويستخدم
لتعريف اسم النطاق المقابل لرقم برتوكول الانترنت فهو معاكس من حيث الوظيفة لسجل تعريف
العنوان، ويستخدم عادة للتأكد من صحة سجل تعريف، ويمكن تمثيل ذلك في ملف النطاق العكسي
على الشكل التالي:
2.1.168.192.in-addr.arpa. PTRwww.domain.com.sa.
oوغيرها من السجلات الأخرى:التي لها استخدامات خاصة وهي أقل استخداما
وانتشارا من السجلات السابقة (مثل:TXT,AAAA,SRV,SIG,RP,LOC…).
·ملف
النطاق (Zone File):وهو الملف الذي يحوي جميع سجلات المصادر(المعلومات) المتعلقة
باسم نطاق معين, ويتم حفظ و إدارة ملف النطاق من خلال خادم أسماء النطاقات.
·خادم
أسماء النطاقات (Domain Name Server):وهو الخادم الذي يقوم بالرد على استفسارات
المستخدمين أو المقررين بناء على ما هو موجود في ملف اسم النطاق المستفسر عنه. ويوجد
خادم رئيسي على الأقل لكل اسم نطاق، ويتم من خلاله إدارة جميع سجلات النطاق و
إجراء التحديثات عليها ويعد هذا الخادم المالك الرئيسي للنسخة الأصلية لملف اسم
النطاق، كما توجد أيضا خادمات فرعية عديدة تأخذ نسخة من ذلك الملف بالتنسيق مع
الخادم الرئيسي.
·المقرر
(Resolver):وهو الجهاز الذي يقوم (نيابة عن المستخدمين) بإرسال الاستفسارات حول أي
معلومة موجودة في النظام إلى خادمات أسماء النطاقات ومن ثم إرسال النتيجة النهائية
إلى المستفسرين ( المستخدمين أو الأجهزة)، وعادة ما يوضع على كل شبكة منفصلة
(خاصة) جهاز مقرر حتى يقوم بترجمة الأسماء إلى العناوين لجميع المستخدمين والأجهزة
الموجودة على تلك الشبكة من خلال نظام أسماء النطاقات، كما يقوم المقرر أيضا
بتخزين جميع نتائج الاستفسارات السابقة في السجلات المؤقتة (DNS Caching) وذلك
لتوفير الجهد و لتحسين الأداء بدلا من البحث عن نتيجة نفس الاستفسار مرة أخرى خلال
مدة معينة (تحدد من قبل الخادم الرئيسي لاسم النطاق).
·المستخدم
(user):وهو المستفيد النهائي من النظام (شخص أو برنامج أو جهاز) بحيث يتعامل مع
النظام من خلال المقرر للحصول على المعلومة المطلوبة، كما يمكن أن يكون هذا
المستخدم هو الشخص الذي يقوم بتسجيل اسم النطاق للاستفادة منه لاحقا.
وطريقة عمل النظام
يمكن تمثيلها بكل بساطة من خلال المثال التالي:
1.المستخدم يطلب من أقرب خادم مقرر (Resolver) العنوان الرقمي لاسم
النطاق (domain.com.sa)، وعادة ما يكون المقرر معرف في إعدادات الشبكة على جهاز المستخدم.
2.المقرر يقوم بالبحث عن الخادم الرئيسي لاسم النطاق المطلوب وذلك
من خلال سؤال الخادمات الرئيسية العامة (Root Server) و من ثم الخادمات المسئولة عن
النطاق العلوي الذي يتبع له النطاق إلى أن يصل إلى أحد الخادمات المسئولة عن ذلك النطاق
ويرسل الاستفسار إليها.
3.خادم أسماء النطاقات المسئول عن النطاق يقوم بالبحث في ملف النطاق
المتوفر لديه عن المعلومة المطلوبة ومن ثم يرد على ذلك الاستفسار بالعنوان الرقمي لذلك
النطاق.
4.المقرر يقوم بالرد على استفسار المستخدم بالنتيجة التي حصل عليها
ويقوم بتخزينها في السجلات المؤقتة لديه (حتى يستخدم عند طلب نفس الاستفسار من قبل
مستخدم آخر خلال مدة معينة).
والصورة التالية
توضح طريقة عمل النظام حسب الخطوات السابقة:
مخاطر تهدد النظام:
الآن وبعد التحدث
عن نظام أسماء النطاقات ومكونات هذا النظام يمكننا التطرق إلى بعض المخاطر الأمنية
التي تهدد هذا النظام الهام، ويمكن تلخيصها في عدد من المخاطر منها:
·إفساد السجلات
المؤقتة (Cache Poisoning):وهذا الخطر عادة ما يواجه المقررين (المترجمين)، بحيث
يتم استغلال فكرة حفظ السجلات المؤقتة التي تساعد على تحسين الأداء وتوفير الجهد
إلىإفساد ما تم تخزينه فيه بحيث يتم استبدال المعلومة الصحيحة بمعلومة خاطئة
لتوجيه الأجهزة و المستخدمين إلى عناوين خاطئة بدلا من الحقيقية ويمكن تبسيطها من
خلال المثال التالي:.
1.المستخدم يقوم بطلب استفسار من المقرر (المترجم) المعرف لديه على
الشبكة عن نطاق معين (hacker.com).
2.المقرر يبحث من خلال نظام أسماء النطاقات عن خادمات الأسماء المسئولة
عن النطاق (hacker.com) ويرسل الاستفسار إليها (في حالة عدم توفره في السجلات المؤقتة).
3.خادمات اسم النطاق تقوم بإعطاء المقرر معلومات عن اسم النطاق
المستفسر عنة (hacker.com) وتضيف معها معلومات أخرى غير حقيقية (مثلا: تخبر أنها مسئولة
عن اسم نطاق آخرvictim.com).
4.المقرر يقوم بتخزين الرد على شكل سجلات مؤقتة بجميع النتائج التي
حصل عليها الخاصة بالنطاق (hacker.com) وأيضا النطاق (victim.com).
5.يقوم المقرر بعد ذلك بإعطاء نتيجة الاستفسار إلى المستخدم.
6.أي مستخدم يسأل المقرر بعد ذلك عن (victim.com) سيتم إعطاءه النتيجة
من السجلات المؤقتة لأنها متوفرة ولا يحتاج لإعادة السؤال مرة أخرى(لأن المهاجم سبق
وأعطي النتيجة على شكل رد إضافي) وهنا يكمن الخطر.
كما يوجد عدة طرق
أخرى لإفساد السجلات المؤقتة ولكنهم أكثر تعقيدا من الطريقة السابقة وجميعها تعطي
نفس النتيجة (تضليل المستخدمين وخداعهم).
·هجمات
تعطيل الخدمة (Denial of Service):خادمات أسماء النطاقات معرضة (كباقي الخادمات
والأجهزة على الانترنت) لهجمات تعطيل الخدمة، بحيث يقوم المهاجم بإرسال رسائل تحوي
كميات كبيرة من البيانات أو رسائل كثيرة جدا بأحجام صغيرة إلى خادم أسماء النطاقات
ليستنفذ مصادر الجهاز مما يؤدي إلى تعطيله عن العمل. وقد يقوم المهاجم بتغيير
عنوان مصدر الرسائل إلى عنوان غير حقيقي وقد يرسل رسائل على شكل ردود لطلبات لم
تطلب (Spoofed, SYN packets) كما يمكن أن يقوم أيضا بعمل هجمات موزعة لتعطيل
الخدمة (Distributed DoS) وقد يصل بعضها إلى أكثر من مليون رسالة في الثانية
الواحدة (وخصوصا بعد انتشار الأدوات والطرق التي تساعد على ذلك). كما تسمى أيضا
هذه الهجمات بهجمات إغراق العميل (Client Flooding).
·تخريب
الذاكرة (Buffer overflow):خادمات أسماء النطاقات تتعامل مع الآخرين من خلال
استقبال الاستفسارات والرد عليها, وقد يستغل المهاجم هذه النقطة بحيث يستغل هذا
التفاعل مع الخادم بحيث يرسل بيانات بشكل معين (على شكل استفسارات) تجعل البرنامج
يقوم بتخطي المساحة المخصصة له بالذاكرة والوصول إلى مساحة أخرى قد تسبب مشاكل
حرجة للخادم أثناء تنفيذه لبرنامج آخر يستخدم تلك المساحة التي تم التعديل عليها.
·هجمة
"الرجل الوسيط" (Man in the middle attack):إذا تمكن المهاجم من إقحام
نفسه بين المستخدم و خادم أسماء النطاقات( أو المقرر) فان ذلك يمكنه من إرسال
رسائل رد غير صحيحة لاستفسارات المستخدمين. ويمكن أن يحصل ذلك من خلال عدة طرق
وعدة أساليب، ولكن الأسلوب الأسهل والأكثر انتشارا يمكن سياقه من خلال الخطوات
التالية:
1.أن يقوم المهاجم بوضع نفسه بين المستخدم/المقرر وخادم أسماء النطاقات
ثم التصنت على الشبكة.
2.المستخدم/المقرر يرسل استفسار معين لخادم أسماء النطاقات وينتظر
الرد.
3.يقوم المهاجم وبسرعة بإرسال رسالة رد وهمية بمعلومات غير صحيحة
للمستخدم قبل أن يقوم بذلك خادم أسماء النطاقات.
4.خادم أسماء النطاقات يرسل رد صحيح إلى المستخدم ولكن للأسف بعد
فوات الأوان (سبقه المهاجم بذلك).
·استغلال
خدمة خادمات أسماء النطاقات المشتركة (DNS Vulnerabilities in Shared Host
Environments):مع انتشار الانترنت وانتشار المواقع ظهرت خدمات جديدة مثل المشاركة
في استضافة المواقع (Shared Hosting) بحيث يتم استضافة أكثر من موقع على جهاز واحد
للمشاركة في المصادر وتقليل سعر الاستضافة، والتي نتج عنها استخدام خادمات أسماء
نطاقات مشتركة (Shared DNS servers) –وغالبا ما تكون على نفس الجهاز- وهي تعمل
كخادمات أسماء النطاقات و مقررات في نفس الوقت. وتقوم هذه الخادمات بتوفير خدمات
عديدة لأصحاب المواقع مثل خدمة إضافة نطاق رئيسي (Main Domain)، وخدمة إضافة نطاق
فرعي (Sub-Domain)، وخدمة تسكين نطاق فوق النطاق الرئيسي (DNS Parking) بحث يصبح
كلا النطاقين يصبان في موقع واحد، وخدمة توجيه نطاق إلى نطاق آخر (DNS forwarding)
وجميعها خدمات جيدة ومطلوبة. ولكن مع كل أسف قد تستغل هذه الخدمات من قبل
المهاجمين وذلك باستغلال خدمة التوجيه مثلا وتوجيه المواقع الهامة إلى مواقع وهمية
بحيث يؤثر على جميع الاستفسارات والمراسلات الواردة إلى ذلك الخادم.
·استغلال
ثغرات في نظام التشغيل أو برنامج خادم أسماء النطاقات (Security Holes/Bugs):كما
يمكن للمهاجم أن يقوم باستغلال الثغرات الأمنية التي يتم الإعلان عنها من قبل
الجهات المختصة عن نظام التشغيل أو برنامج خادم أسماء النطاقات، فيقوم المهاجم
بالبحث عن الأجهزة التي لم تطبق التحديثات الخاصة بتلك الثغرات ويهاجم الجهاز من
خلالها ويستولي علية.
·سرقة/اختطاف
اسم النطاق (Domain Hijacking):كما هو معلوم فان اسم النطاق اسم ثمين جدا لأنه
يمثل الجهة على الانترنت، ويمكن تسجيله مباشرة من خلال المركز المسئول عن إدارة
النطاق العلوي المندرج تحته (سواء كان مفتوح أو دولي)، كما يمكن تسجيل اسم النطاق
من خلال جهات أخرى تقدم خدمات تسجيل النطاقات(مسجلينRegistrar) وعادة ما تكون هذه
الجهات مرخصة للقيام بتلك المهمة من قبل المراكز المسئولة عن النطاقات العلوية
(فمثلا هذه قائمة بالمسجلين المسئولين عن النطاقات العامة المفتوحة
http://www.internic.net/regist.html). وعند تسجيل النطاق يطلب
تحديد المنسق الإداري المسئول عن النطاق ويكون لديه كامل الصلاحيات على النطاق بحيث
يستطيع تغيير معلومات النطاق ونقلة من جهة إلى جهة أخرى (وعادة ما يحصل الشخص الذي
يخاطب جهة التسجيل على هذه الصلاحيات). وتختلف الخدمات المقدمة من قبل مراكز التسجيل
و المسجلين المعتمدين لأصحاب النطاقات، فمنهم من يوفر كامل الخدمات الالكترونية لإدارة
معلومات النطاق من خلال لوحة تحكم يتم الدخول عليها باستخدام اسم مستخدم وكلمة مرور،
وآخر يقدم خدمات بسيطة جدا بحيث تكون جميع المعاملات ورقية فلا يتم التسجيل أو التعديل
إلا بإرسال خطابات معتمدة ومصدقة لكل عملية، ومنهم من وازن بين الطريقتين السابقتين
(فيقدم خدمات الكترونية بسيطة وأخرى يدوية للتحقق من صحة الطلبات)، وتحديد الطريقة
المتبعة في التسجيل يعتمد على السياسة المطبقة للمركز المسئول عن النطاق العلوي المراد
التسجيل تحته أو الجهة المسجلة.
وقد تتعرض الجهة
إلى خطر سرقة اسم النطاق الخاص بها ومن ثم للابتزاز أو التهديد، وعادة ما يحدث ذلك
بسبب أمور عديدة منها:
oاستخدام كلمة سر سهلة يمكن تخمينها أو كسرها ومن ثم الوصول إلى
لوحة التحكم الخاصة بإدارة اسم النطاق.
oسرقة البريد الالكتروني للمنسق الإداري للنطاق أو الشخص صاحب صلاحية
التعديل ومن ثم مراسلة مركز التسجيل أو الجهة المسجلة لنقلة أو تغيير كلمة السر للوحة
التحكم الخاصة بالنطاق.
oالوثوق في أشخاص ليسو أهلا للثقة فيقومون بتغيير كلمة السر أو
تعديل معلومات النطاق بدافع الانتقام أو الابتزاز(وعادة ما تكون في الموظفين الذين
طردوا من أعمالهم).
oالاعتقاد بأن النطاق مسجل للجهة لوجود موقع يعمل على اسم النطاق،
ولكن اسم النطاق لم يسجل أصلا لتلك الجهة.
oقيام بعض شركات الاستضافة بتغيير المنسق الإداري المسئول عن النطاق،
عند رغبة صاحب النطاق بنقل الاستضافة إلى جهة أخرى أو عند وجود أي مشكلة أو خلاف مع
صاحب النطاق.
oعدم تجديد تسجيل اسم النطاق ومن ثم استحواذ جهة أخرى علية ومن
ثم الضغط على صاحب النطاق.
oفقدان معلومات تسجيل النطاق وذلك بسب عدم توثيقها أو حفظها، وعادة
ما يحدث ذلك عدما يكون تسجيل اسم النطاق هو بسبب اجتهاد شخصي يفقد بفقد ذلك الشخص.
·خداع
وتضليل المستخدمين باستخدام أسماء نطاقات مشابهة للأصلية (Domain Fishing):كما
يمكن للمهاجم أن يقوم باستغلال تشابه أسماء النطاقات لتضليل المستخدمين وخداعهم
(يمكن أن نطلق عليها الاصطياد في الماء العكر)، بحيث يقوم المهاجم بتسجيل أسماء
نطاقات وهمية تشبه نطاقات مشهورة وحساسة (وذلك باستبدال حرف برقم مشابه له أو
بتغيير ترتيب حروف النطاق الأصلي)، ومن ثم استخدام البريد الالكتروني لجذب الزوار
وإرسالهم إلى مواقع تلك النطاقات الوهمية (التي تشبه الموقع الأصلي من حيث
التصميم)، ومن ثم أخذ معلوماتهم الزوار الشخصية أو معلومات بطاقاتهم الائتمانية أو
ليقوم المهاجم بتشويه سمعة صاحب الوقع الأصلي. ومثال على ذلك بأن يقوم المهاجم
بتسجيل النطاق التالي (paypa1.com) الذي يشبه إلى حد كبير الموقع (paypal.com)
لاحظ استبدال الحرف "L" بالرقم واحد "1"، أو أن يقوم بتسجيل
النطاق (micros0ft.com) أو(microsaft.com) دلالة عن موقع (microsoft.com) لاحظ
استبدال الحرف "O" بالرقم "0" أو الحرف "a" كخطأ
إملائي شائع لمستخدمي الانترنت.
·وجود
بعض الأخطاء التقنية الشائعة في إعداد ملفات أسماء النطاقات (Common errors in the
Zone files):كما سبق وأن بينا فان ملف اسم النطاق يحتوي على المعلومات والسجلات
اللازمة لعمل النطاق والخدمات القائمة عليه بشكل صحيح، وعند وجود أي خطأ داخل ذلك
الملف أو أحد سجلاته فان ذلك سيؤثر سلبيا على أداء اسم النطاق و/أو الخدمات
القائمة عليه. فقد تسبب بعض الأخطاء إلى تعثر الوصول إلي مواقع أو خدمات نطاق معين
أو حتى إلى توجيه المستخدمين إلى خادمات أخرى غير صحيحة. ولتوفير الأمن اللازم
لمستخدمي نظام أسماء النطاقات فان بعض المراكز المسئولة عن النطاقات العلوية تقوم
بالتحقق من صحة استضافة اسم النطاق على الخادمات المسئولة عنه قبل تسجيل اسم
النطاق(مثل المركز السعودي لمعلومات الشبكة).
·إفساد
أو تغيير إعدادات نظام أسماء النطاقات أو ملفات الترجمة الداخلية للأجهزة:قد يقوم
المهاجم بتغيير إعدادات نظام أسماء النطاقات (في القسم الخاص بإعدادات الشبكة)
داخل الأجهزة وذلك إما بالوصول المباشر للجهاز أو عن طريق برامج أو فيروسات معينة
تقوم بتغيير الإعدادات الافتراضية للنظام، مما يؤدي إلى تعطيل أو تخريب نظام أسماء
النطاقات على ذلك الجهاز. كما يمكن أيضا أن يستخدم المهاجم نفس الطرق السابقة
لتغيير ملفات الترجمة الداخلية التي يستخدمها الجهاز قبل استخدام نظام أسماء
النطاقات، مثل تغيير معلومات ملف "hosts" المتوفر على معظم أنظمة
التشغيل. وهو ملف بسيط يحتوي على أسماء الأجهزة وعناوينها الرقمية (IP Address)
التي يقوم الجهاز باستخدامها قبل سؤال نظام أسماء النطاقات، ويمكن الوصول إلي
الملف في نظام اليونكس أو اللينكس من خلال "/etc/hosts"، بينما في نظام
تشغيل الوندوز يكون عادة موجود في "c:windowssystem32driversetchosts".
ويستطيع المهاجم تعطيل مواقع معينة أو إرسال المستخدم لمواقع وهمية وذلك عند قيامه
بإضافة اسم جهاز مشهور في ذلك الملف وربطه بعنوان رقمي وهمي وهنا يكمن الخطر.