TÌM HIỂU VỀ HỆ THỐNG DNS
DNS là gì ?
DNS, viết tắt của Hệ thống phân giải tên miền (Domain Name Servers), là công nghệ chuyển đổi tên miền Internet và tên máy chủ thành địa chỉ IP, giúp các máy chủ và thiết bị mạng hiểu được thông tin Trên Internet, DNS tự động chuyển đổi các tên miền mà người dùng nhập vào thanh địa chỉ của trình duyệt web thành địa chỉ IP tương ứng.
Khi trình duyệt được "dịch" đúng cách, người dùng có thể dễ dàng đăng nhập vào website mà không cần nhớ địa chỉ IP của hosting, chỉ cần nhập tên miền Điều này giúp trình duyệt tự động nhận diện và truy cập vào trang web một cách thuận tiện hơn.
Mỗi máy tính trên Internet đều có một địa chỉ IP duy nhất Địa chỉ
IP được sử dụng để thiết lập kết nối giữa server và máy khách, khởi đầu cho quá trình giao tiếp Mỗi khi bạn truy cập một website hoặc gửi email, DNS đóng vai trò quan trọng trong việc xử lý và định vị thông tin.
Trong số hàng triệu trang web trên thế giới, việc ghi nhớ từng địa chỉ IP là điều không khả thi Do đó, khái niệm tên miền ra đời, giúp mỗi trang web được nhận diện bằng một tên duy nhất.
Địa chỉ IP đóng vai trò quan trọng trong việc kết nối các thiết bị mạng, nơi mà DNS phân giải tên miền thành địa chỉ IP để các thiết bị có thể giao tiếp Bạn cũng có thể truy cập một website bằng cách nhập trực tiếp địa chỉ IP thay vì sử dụng tên miền.
Kiến trúc của DNS
1.2.1 DNS Zone và DNS File Zone
DNS Zone là một phần của không gian tên DNS, được quản lý bởi một tổ chức hoặc quản trị viên cụ thể Nó cung cấp không gian quản trị cho phép kiểm soát chi tiết hơn các thành phần DNS, bao gồm cả máy chủ định danh có thẩm quyền.
Các miền không gian tên được tổ chức theo dạng cây phân cấp, bắt đầu từ tên miền gốc DNS Mỗi vùng DNS xuất phát từ một miền trong cây và có khả năng mở rộng xuống các miền phụ, cho phép một thực thể quản lý nhiều miền phụ khác nhau.
DNS file zone là tệp văn bản thuần túy lưu trữ trên máy chủ DNS, chứa bản đại diện thực tế của vùng và tất cả các bản ghi cho mọi miền trong vùng Tệp này luôn bắt đầu bằng bản ghi Start of Authority (SOA), cung cấp thông tin quan trọng, bao gồm thông tin liên hệ của người quản trị vùng.
1.2.2 Resource Record (Các bản ghi DNS)
RR, or Resource Record, refers to a type of information used to describe details about DNS These records are stored in zone files located within DNS zones.
Mỗi DNS Zone có một zone file Zone file cũng có thể được xem giống như là cơ sở dữ liệu DNS.
Zone file chứa một hoặc nhiều bản ghi tài nguyên (resource records) và cần được cập nhật định kỳ khi có tên miền mới hoặc thay đổi trong các bản ghi cũ Việc chuyển vùng giữa các máy chủ DNS là rất quan trọng để đảm bảo thông tin luôn chính xác và kịp thời.
Resource Record là một bản ghi đơn trong cơ sở dữ liệu DNS, cung cấp thông tin chi tiết về các tên miền Các bản ghi này được định dạng dưới dạng văn bản đơn giản, giúp dễ dàng quản lý và tra cứu thông tin liên quan đến địa chỉ IP và tên miền.
Owner TTL Class Type RDATA
Mỗi trường này phải được phân tách bằng ít nhất một khoảng trắng
Các loại Resource Record a SOA (Start of Authority)
Mỗi tên miền thường sử dụng một cặp DNS để trỏ về một hoặc nhiều máy chủ DNS, có nhiệm vụ cung cấp thông tin bản ghi DNS cho tên miền đó Bản ghi SOA đóng vai trò như dấu hiệu nhận biết của hệ thống đối với tên miền Cấu trúc của bản ghi SOA thường bao gồm: [tên miền] IN SOA [tên-server-dns] [địa-chỉ-email].
(serial number; refresh number; retry number; experi number; time-to-live number)
@ IN SOA masterdns.hiennt.com admin.hiennt.com (
Hình 1: Cấu trúc bản ghi SOA
Trong bài viết này, chúng ta sẽ tìm hiểu về các giá trị DNS quan trọng của tên miền Đầu tiên, masterdns.hiennt.com là giá trị DNS chính của tên miền hoặc máy chủ Thứ hai, admin.hiennt.com được chuyển đổi từ địa chỉ email admin@hiennt.com, thể hiện chủ thể sở hữu tên miền này.
Số serial trong zone dữ liệu phải có định dạng YYYYMMDDNN, trong đó YYYY là năm, MM là tháng, DD là ngày và NN là số lần sửa đổi trong ngày Mỗi khi sửa đổi dữ liệu zone, số NN cần được tăng lên Khi Slave DNS Server kết nối với Master DNS Server, nó sẽ kiểm tra số serial Nếu số serial của Slave nhỏ hơn của Master, điều này có nghĩa là dữ liệu zone trên Slave đã lỗi thời, và Slave sẽ tiến hành sao chép dữ liệu mới từ Master để cập nhật thông tin.
The refresh interval specifies the duration for which a Slave DNS Server checks the zone data on the Master Server to update it when necessary This value varies based on how frequently the data within the zone changes.
Nếu Slave DNS Server không thể kết nối với Master DNS Server trong thời gian quy định bởi refresh (chẳng hạn như khi Master DNS Server bị tắt), Slave DNS Server sẽ cố gắng kết nối lại theo chu kỳ thời gian được chỉ định trong retry, thường có giá trị nhỏ hơn giá trị refresh.
Expire: Nếu Slave DNS Server không kết nối được với Master DNS Server sau một khoảng thời gian nhất định, dữ liệu zone trên Slave sẽ bị quá hạn Khi dữ liệu này hết hạn, Slave sẽ không phản hồi các truy vấn liên quan đến zone đó Giá trị expire cần phải lớn hơn cả giá trị refresh và retry.
Minimum TTL: Chịu trách nhiệm thiết lập TTL tối thiểu cho 1 zone. b NS (Name Server)
Bản ghi NS là yếu tố quan trọng trong việc khai báo máy chủ tên miền cho một tên miền cụ thể Nó cung cấp thông tin về máy chủ quản lý tên miền đó Mỗi tên miền cần có ít nhất hai máy chủ tên miền để đảm bảo tính ổn định, vì vậy yêu cầu tối thiểu là hai bản ghi NS cho mỗi tên miền.
Cú pháp của bản ghi NS:
IN NS
Ví dụ: thuyhiend.space IN NS ns1.zonedns.vn thuyhiend.space IN NS ns2.zonedns.vn
Tên miền thuyhiend.space sẽ được quản lý bởi máy chủ tên miền ns1.zonedns.vn và ns2.zonedns.vn, điều này có nghĩa là tất cả các bản ghi như A, CNAME, MX của tên miền này và các tên miền cấp dưới sẽ được khai báo trên các máy chủ này.
Record A là một thành phần cơ bản và quan trọng trong hệ thống DNS, dùng để ánh xạ từ một tên miền thành địa chỉ IP, cho phép người dùng truy cập vào website Cấu trúc của Record A được biểu diễn như sau: domain IN A .
Ví dụ về 1 khai báo bản ghi A
Tên miền con (subdomain): sub.thuyhiend.space A 103.101.161.201 d Record AAAA
Có nhiệm vụ tương tự như bản ghi A, nhưng thay vì địa chỉ IPv4 sẽ là địa chỉ IPv6. e PTR(Pointer Records)
Bản ghi PTR (pointer) trỏ một địa chỉ IP đến một bản ghi A trong chế độ ngược (reverse) và được sử dụng trong kiểu tên miền infrastructure TLD.
Ví dụ về dạng thức một bản ghi PTR như sau:
90.163.101.103.in-addr.arpa IN PTR masterdns.thuyhiend.space đối với IPv4, hoặc đối với IPv6:
0.0.0.0.0.0.0.0.0.0.0.0.d.c.b.a.4.3.2.1.3.2.1.0.8.c.d.0.1.0. 0.2.ip6.arpa IN PTR masterdns.thuyhiend.space f SRV(Service)
Cơ chế hoạt động của DNS
DNS hoạt động theo từng bước theo cấu trúc của DNS Bước đầu tiên gọi là DNS query, một truy vấn để lấy thông tin.
Khi tìm kiếm một website bằng cách gõ tên miền vào trình duyệt, DNS server sẽ đầu tiên tra cứu thông tin phân giải trong file hosts, một tệp văn bản trong hệ điều hành giúp chuyển đổi hostname thành địa chỉ IP Nếu không tìm thấy thông tin, nó sẽ kiểm tra bộ nhớ cache, nơi lưu trữ tạm thời thông tin từ phần cứng hoặc phần mềm, chủ yếu là bộ nhớ tạm của trình duyệt và của nhà cung cấp dịch vụ Internet (ISP) Nếu vẫn không có thông tin, người dùng sẽ nhận được mã lỗi hiển thị trên màn hình.
Khi máy chủ tên miền cục bộ không tìm thấy thông tin về tên miền, nó sẽ gửi yêu cầu đến các máy chủ tên miền cấp cao nhất (máy chủ ROOT) Máy chủ ROOT sẽ hướng dẫn máy chủ tên miền cục bộ đến địa chỉ của máy chủ quản lý các tên miền có đuôi vn.
Tiếp đó, máy chủ tên miền cục bộ gửi yêu cầu đến máy chủ quản lý tên miền Việt Nam (.VN) tìm tên miền matbao.vn.
Máy chủ tên miền cục bộ yêu cầu máy chủ quản lý tên miền vnn.vn cung cấp địa chỉ IP cho tên miền qldt.ptit.edu.vn Vì máy chủ vnn.vn lưu trữ thông tin về tên miền này, nên nó sẽ trả lại địa chỉ IP tương ứng cho máy chủ tên miền cục bộ.
Máy chủ tên miền cục bộ sẽ chuyển thông tin tìm được đến máy của người sử dụng, giúp họ sử dụng địa chỉ IP để kết nối đến server chứa trang web qldt.ptit.edu.vn.
Hình 2: Mô hình hoạt động của DNS
Tổng cộng có khoảng 4 loại server tham gia vào trong hệ thống phân giải tên miền
DNS recursor là máy chủ chịu trách nhiệm giao tiếp với các máy chủ khác để phản hồi yêu cầu từ client (trình duyệt người dùng) Nó hoạt động như một nhân viên tận tụy, nhận nhiệm vụ lấy và cung cấp thông tin cần thiết cho client Để hoàn thành nhiệm vụ này, DNS recursor có thể cần gọi đến Root DNS Server để nhận sự hỗ trợ.
Máy chủ DNS gốc, hay còn gọi là nameserver, đóng vai trò quan trọng nhất trong hệ thống phân cấp của DNS Nó không có tên cụ thể và có thể được xem như một thư viện giúp định hướng tìm kiếm thông tin.
In practice, the DNS recursive resolver sends a request to the Root Nameserver, which then responds by indicating the specific top-level domain (TLD) nameservers that need to be queried.
Khi truy cập các trang web như Google hay Facebook, bạn thường sử dụng phần mở rộng com, một trong những loại top-level domain (TLD) Máy chủ cho loại tên miền này được gọi là TLD nameserver, có nhiệm vụ quản lý toàn bộ thông tin liên quan đến các phần mở rộng tên miền chung.
Khi bạn nhập www.google.com vào trình duyệt, phần mở rộng TLD com sẽ gửi yêu cầu đến một DNS resolver để tìm kiếm thông tin từ một máy chủ DNS Authoritative Máy chủ tên Authoritative là nơi lưu trữ dữ liệu chính thức về tên miền đó.
Khi một DNS resolver xác định được một authoritative nameserver, quá trình phân giải tên miền bắt đầu Authoritative nameserver lưu trữ thông tin về tên miền và địa chỉ IP tương ứng, sau đó cung cấp cho recursive resolver địa chỉ IP cần thiết từ danh sách các bản ghi của nó.
CÁC DẠNG TẤN CÔNG VÀO DNS
DNS Spoofing
DNS Cache Poisoning, hay còn gọi là Spoofing, là một hình thức tấn công nhằm chiếm quyền điều khiển DNS Cache và thay đổi thông tin bên trong thành các giá trị giả mạo Kịch bản tấn công này cho phép kẻ xấu can thiệp vào quá trình phân giải tên miền, dẫn đến việc người dùng bị chuyển hướng đến các trang web độc hại.
Hình 3: Mô hình tấn công DNS Spoofing
Khi người dùng nhập địa chỉ www.facebook.com vào thanh địa chỉ của trình duyệt, hệ thống xác nhận địa chỉ IP tương ứng với tên miền này và trả về thông tin, giúp website www.facebook.com hiển thị đầy đủ trên trình duyệt.
Một tên miền có thể chứa nhiều địa chỉ IP, và khi bạn truy cập vào www.facebook.com thường xuyên, hệ thống sẽ ghi nhớ trang web này để rút ngắn thời gian truy cập sau Tuy nhiên, kẻ tấn công có thể lợi dụng điều này bằng cách thay đổi giá trị của DNS cache, khiến www.facebook.com với địa chỉ IP 69.171.250.35 bị chuyển hướng đến một địa chỉ IP khác chứa trang web độc hại của chúng.
DNS Hijacking
a Khái niệm b Kịch bản tấn công c Các bước tấn công
DNS Hijacking là một hình thức chuyển hướng địa chỉ website mà người dùng truy cập Điều này có nghĩa là khi bạn gõ địa chỉ abc.com vào trình duyệt, bạn có thể bị điều hướng sang một địa chỉ khác, chẳng hạn như xyz.com.
Phần lớn tên miền của các trang web được thể hiện dưới dạng văn bản, như ví dụ quantrimang.com Mỗi URL đều có một địa chỉ IP tương ứng, và nhiệm vụ chính của DNS là phân giải, chuyển đổi các ký tự văn bản thành địa chỉ IP.
IP tương ứng (các bạn mở lệnh RUN > gõ "ping" đến domain là sẽ ra địa chỉ IP của website đó) Ví dụ cụ thể:
Hacker thường sử dụng phương pháp lừa đảo người dùng cài đặt phần mềm độc hại, chủ yếu là Malware, nhằm thay đổi DNS của hệ thống máy tính Khi người dùng nhập địa chỉ của bất kỳ website nào, hệ thống sẽ tự động kết nối tới server DNS giả mạo của hacker thay vì DNS thực sự do ICANN cung cấp.
The Internet Corporation for Assigned Names and Numbers) và điều hướng người dùng đến website giả mạo của hacker.
NXDOMAIN Attacks
Cuộc tấn công NXDOMAIN là một dạng tấn công DDoS, trong đó máy chủ DNS bị tấn công bằng cách gửi hàng loạt truy vấn đến các tên miền không tồn tại Hành động này gây ra tình trạng quá tải cho bộ nhớ cache của máy chủ tên có thẩm quyền, dẫn đến việc ngăn chặn hoàn toàn các yêu cầu DNS hợp pháp.
Việc truy cập trang web phụ thuộc vào DNS, chuyển đổi tên miền thành địa chỉ IP Khi bạn nhập asdasdasdasd.com, DNS không tìm thấy địa chỉ IP tương ứng và trả về thông báo lỗi Tuy nhiên, trình giải quyết vẫn cố gắng tìm kiếm kết quả, tiêu tốn thời gian quý giá để duyệt qua bộ nhớ cache và sử dụng sức mạnh xử lý của CPU Trước khi thông báo lỗi được trả về, yêu cầu đã được xử lý cùng với các yêu cầu hợp lệ khác.
Kẻ tấn công có thể sử dụng một mạng botnet với hàng nghìn người dùng để gửi yêu cầu đến một miền không tồn tại, gây tắc nghẽn bộ nhớ cache của máy chủ DNS Hành động này dẫn đến việc từ chối dịch vụ cho những người dùng muốn truy cập vào các trang web hợp pháp.
Gần đây, một số Nhà cung cấp Dịch vụ Internet (ISP) đã lợi dụng tình trạng này để thu lợi Thay vì gửi thông báo lỗi, họ chuyển hướng các yêu cầu không hợp lệ đến các máy chủ chứa quảng cáo, qua đó khai thác những yêu cầu này một cách có hại.
CÁC CƠ CHẾ BẢO MẬT DNS
DNSSEC
DNSSEC là công nghệ an toàn mở rộng cho hệ thống DNS, cung cấp cơ chế xác thực giữa các máy chủ DNS và xác thực từng zone dữ liệu, nhằm đảm bảo tính toàn vẹn của dữ liệu.
Giao thức DNS thông thường không có khả năng xác thực nguồn dữ liệu, dẫn đến nguy cơ dữ liệu DNS bị giả mạo và sai lệch trong các tương tác giữa máy chủ DNS và các máy trạm hoặc máy chủ chuyển tiếp Để đối phó với vấn đề này, công nghệ bảo mật DNSSEC đã được nghiên cứu và triển khai nhằm bảo vệ DNS khỏi các nguy cơ giả mạo DNSSEC cung cấp cơ chế xác thực giữa các máy chủ DNS và xác thực từng zone dữ liệu, đảm bảo toàn vẹn cho thông tin.
DNSSEC là một công nghệ an toàn mở rộng cho DNS, cung cấp các cơ chế chứng thực và đảm bảo toàn vẹn dữ liệu cho hệ thống DNS Công nghệ này giới thiệu bốn loại bản ghi mới để tăng cường bảo mật cho quá trình phân giải tên miền.
Bản ghi khóa công cộng DNS (DNSKEY - DNS Public Key): sử dụng để chứng thực zone dữ liệu.
Bản ghi chữ ký tài nguyên (RRSIG - Resource Record Signature): sử dụng để chứng thực cho các bản ghi tài nguyên trong zone dữ liệu.
Bản ghi bảo mật kế tiếp (NSEC) được sử dụng để xác thực các bản ghi có cùng sở hữu trong tập bản ghi tài nguyên hoặc bản ghi CNAME Nó kết hợp với bản ghi RRSIG để đảm bảo tính xác thực cho zone dữ liệu.
Bản ghi ký ủy quyền (DS - Delegation Signer) là một thành phần quan trọng trong việc thiết lập chứng thực giữa các zone dữ liệu, giúp đảm bảo tính xác thực trong quá trình chuyển giao DNS.
DNSSEC được thiết kế để không làm thay đổi quá trình truyền dữ liệu DNS và chuyển giao giữa các DNS cấp cao và cấp thấp Tuy nhiên, các máy trạm (resolver) cần hỗ trợ các cơ chế mở rộng này Một zone dữ liệu được ký xác thực sẽ bao gồm các bản ghi RRSIG, DNSKEY, NSEC và DS.
DNSSEC đã nâng cao tính bảo mật và độ tin cậy của hệ thống DNS thông qua việc tổ chức các bản ghi mới và chỉnh sửa giao thức, nhằm chứng thực nguồn gốc và tính toàn vẹn của dữ liệu Hệ thống này không chỉ khắc phục những nhược điểm của thiết kế ban đầu mà còn đáp ứng các yêu cầu về thông tin định tuyến tên miền và giao thức làm việc giữa các máy chủ DNS, đồng thời tăng cường khả năng dự phòng cho hệ thống.
3.1.2 Cơ chế bảo mật của DNSSEC a Quá trình kí vùng bằng khóa Zone-Signing Key
Trong DNSSEC, mỗi vùng có một cặp khóa ký vùng (ZSK), bao gồm phần riêng để ký điện tử cho từng RRset và phần công khai để xác minh chữ ký Để kích hoạt DNSSEC, nhà khai thác vùng cần tạo chữ ký số cho từng RRset bằng ZSK riêng và lưu trữ chúng dưới dạng bản ghi RRSIG trên máy chủ định danh.
Các bản ghi RRSIG chỉ có giá trị khi trình phân giải DNS có khả năng xác minh chữ ký Để thực hiện điều này, nhà điều hành vùng cần cung cấp ZSK công khai bằng cách thêm nó vào máy chủ định danh trong bản ghi DNSKEY Quá trình ký khóa được thực hiện thông qua Key-Signing Key.
Máy chủ định danh DNSSEC sử dụng khóa ký khóa (KSK) để xác thực bản ghi DNSKEY, tương tự như cách mà khóa ký vùng (ZSK) bảo đảm các RRsets KSK ký công khai ZSK được lưu trữ trong bản ghi DNSKEY, tạo ra RRSIG cho DNSKEY.
Máy chủ định danh công khai KSK xuất bản thông qua bản ghi DNSKEY, cung cấp DNSKEY RRset cần thiết Cả KSK công khai và ZSK công khai đều được ký bởi KSK tư nhân, cho phép người phân giải sử dụng KSK công khai để xác thực ZSK công khai Quá trình xác thực các bản ghi diễn ra sau đó.
Quá trình xác thực khóa
Máy chủ Resolver yêu cầu các RRset, name server trả về bản ghi RRSIG tương ứng.
Resolver yêu cầu các bản ghi DNSKEY chứa ZSK công khai và KSK công khai, các bản ghi này cũng trả về RRSIG cho DNSKEY RRset.
Xác minh RRSIG của RRset được yêu cầu với ZSK công khai.
Xác minh RRSIG của DNSKEY RRset bằng KSK công khai.
Hình 7: Key-Signing Key Identified
DNSKEY RRset và các bản ghi RRSIG tương ứng có thể được lưu vào bộ nhớ đệm, giúp giảm thiểu sự tấn công liên tục từ các yêu cầu không cần thiết đến các máy chủ định danh DNS.
Quá trình xác thực zone
Khi trình phân giải DNSSEC yêu cầu một loại bản ghi cụ thể, nó có thể lấy bản ghi DNSKEY chứa ZSK công khai từ máy chủ định danh Các thành phần như RRset, RRSIG và ZSK công khai cùng nhau đảm bảo xác nhận tính hợp lệ của các bản ghi.
Chúng ta sử dụng khóa ký vùng riêng biệt (ZSK) và khóa ký chính (KSK) vì việc hoán đổi KSK cũ hoặc bị xâm phạm rất khó khăn Ngược lại, việc thay đổi ZSK dễ dàng hơn, cho phép sử dụng ZSK nhỏ hơn mà không ảnh hưởng đến bảo mật của máy chủ Điều này giúp giảm thiểu lượng dữ liệu mà máy chủ phải gửi trong mỗi phản hồi Bên cạnh đó, việc thiết lập bản ghi DS cũng góp phần quan trọng vào việc xây dựng chuỗi tin cậy.
DNSSEC cung cấp bản ghi ký ủy quyền (DS) để chuyển giao sự tin cậy từ vùng mẹ sang vùng con Nhà điều hành vùng sẽ băm bản ghi DNSKEY chứa KSK công khai và gửi nó cho vùng mẹ để được xuất bản dưới dạng bản ghi DS.
Domain Key Identify Mail
Domain Keys Identified Mail (DKIM) là một phương thức xác thực email nhằm ngăn chặn việc giả mạo địa chỉ người gửi Nó cho phép người nhận kiểm tra xem email có thực sự đến từ tên miền cụ thể và liệu tên miền đó có được ủy quyền hay không DKIM đóng vai trò quan trọng trong việc bảo vệ người dùng khỏi các hình thức lừa đảo qua email, bao gồm thư lừa đảo và email spam chứa mã độc.
Hình 11: Domain Key Identify Mail
DKIM cung cấp hai chức năng chính: chữ ký và xác minh Một trong hai chức năng này có thể được thực hiện bởi một mô-đun trong tác nhân chuyển thư (MTA) Tổ chức ký kết có thể là người gửi thư trực tiếp như tác giả hoặc trang gửi, hoặc là một bên trung gian trong quá trình chuyển tiếp Các mô-đun ký sẽ thêm một hoặc nhiều trường tiêu đề DKIM-Signature, đại diện cho tổ chức tác giả hoặc nhà cung cấp dịch vụ Việc xác minh thường được thực hiện bởi các mô-đun thay mặt cho tổ chức người nhận tại mỗi giai đoạn gửi.
DKIM ra đời từ sự kết hợp giữa "enhanced DomainKeys" của Yahoo và "Identified Internet Mail" của Cisco, tạo nền tảng cho các tiêu chuẩn IETF và tài liệu hỗ trợ dẫn đến STD 76, hiện được quy định trong RFC 6376 "Identified Internet Mail" là tiêu chuẩn xác thực thư dựa trên chữ ký do Cisco đề xuất, trong khi DomainKey do Yahoo thiết kế nhằm xác minh tên miền DNS của người gửi e-mail và tính toàn vẹn của thư.
DomainKeys và các phần của Identified Internet Mail kết hợp để hình thành Thư được xác định tên miền (DKIM) Các nhà cung cấp dịch vụ lớn như Yahoo, Gmail, AOL và FastMail đều triển khai DKIM, yêu cầu mọi thư từ các tổ chức này phải có chữ ký DKIM.
Tùy theo hệ thống Mail server khác nhau sẽ có hướng dẫn khác nhau về cấu hình DKIM ở phía server, nhưng hầu hết đều phải thực hiện các bước:
Xử lý từ bên gửi
Bước 1: Sinh ra cặp khóa private/public, có nhiều phần mềm hỗ trợ việc này (ví dụ: OpenSSL)
Bước 2: Đưa khóa Public lên khai báo bản ghi TXT trên DNS theo đúng domain gửi email.
Bước 3: Cấu hình Mail server sử dụng khóa private để ký vào email trước khi gửi email Khóa này chỉ lưu trên Mail server nên không thể giả mạo.
Bước 1: Nhận được email từ bên gửi và thấy email có thông điệp được mã hóa do cấu hình DKIM.
Bước 2: Thực hiện truy vấn DNS để lấy khóa công khai của miền gửi, nhằm giải mã email Nếu quá trình giải mã thành công, nguồn gửi và email sẽ được xác nhận Ngược lại, bên nhận sẽ dựa vào chính sách của mình để quyết định từ chối hoặc chấp nhận email.
CÀI ĐẶT VÀ QUẢN TRỊ DNS SERVER TRÊN WINDOWS SERVER 2012 R2
Mô hình bài Lab
Các bước thực hiện
Bước 1: Cài đặt dịch vụ DNS trên Windows Server 2012 R2
- Đặt IP tĩnh cho máy chủ Windows
Hình 12: IP config Windows Server 2012
- Quản lí các dịch vụ trong mục Server manager Dashboard
Hình 13: Giao diện Server Manager
- Chọn Add roles and Features Chọn DNS Server
Hình 14: Tạo Role and Feature
- Vào Tools Chọn DNS để mở dịch vụ DNS Server
Bước 2: Tạo zone, thêm các bản ghi vào zone
- Giao diện của DNS Server có dạng như hình dưới Bao gồm các thư mục sau:
+ Forward Lookup Zones: Khai báo các zone truy vấn xuôi trong thư mục này và khai báo các bản ghi trong zone đó
+ Reverse Lookup Zone: Khai báo các zone truy vấn ngược và các bản ghi trong đó
+ Trust Point: Tạo các bản ghi để hình thành cơ chế bảo mật cho dịch vụ DNS
+ Conditional Forwarders: Tạo các điều kiện chuyển tiếp zone dữ liệu
Hình 17: Giao diện DNS Server
- Chuột phải vào Forward Lookup Zones New Zone… Primary Zone
- Khai báo tên cho zone, ở đây ta khai báo abc.com
Hình 19: Nhập tên Forward Zone
- Sau khi khai báo, ta truy cập vào Zone đó Chọn chuột phải và tạo một bản ghi A
Hình 20: Tạo các bản ghi trong Zone
- Nhập địa chỉ IP ứng với tên miền abc.com Add Host
Hình 21: Nhập địa chỉ IP cho bản ghi A
- Tương tự ta tạo một Reverse Zone và một bản ghi PTR trong thư mục Reverse Lookup Zones
Hình 23: Tạo bản ghi PTR
Bước 3: Kiểm tra dịch vụ DNS
- Kết nối máy Windows Server với mạng và máy Windows 7 vào mạng NAT Cấu hình địa chỉ IP của máy Windows 7 nhận IP máyWindows Server làm DNS Server
Hình 24: Đặt địa chỉ DNS Server cho máy client
- Mở CMD, thực hiện câu lệnh: nslookup abc.com và nslookup 192.168.1.100 Ta được kết quả
Hình 25: Kiểm tra dịch vụ trên máy client
CÀI ĐẶT QUẢN TRỊ DNS SERVER SỬ DỤNG BIND9
Các bước cài đặt
Bước 1: Cài đặt dịch vụ Bind9
- Sudo apt-get install bind9
Bước 2: Vào thư mục bind để cấu hình dịch vụ DNS
Hình 26: Cấu trúc file trong Bind9 DNS Server
Bước 3: Chỉnh sửa file named.conf.local để khai báo các zone
Hình 27: Sửa file name.config.local
Bước 4: Chỉnh sửa file name.conf.options Cấu hình forward sang DNS
Hình 28: Chỉnh sửa file name.conf.options
Bước 5: Tạo file forward.abc.com
Hình 29: Tạo Forward Zone và khai báo các bản ghi
Bước 6: Tạo file reverse.abc.com
Hình 30: Tạo reverse zone và khai báo các bản ghi
Bước 7: Khởi động lại dịch vụ và kiểm tra
Hình 31: Kiểm tra dịch vụ Bind9
- Tiến hành kiểm tra trên máy Windows 7 bằng lệnh nslookup
Hình 32: Kiểm tra dịch vụ DNS bằng máy client
DEMO MỘT DẠNG TẤN CÔNG HỆ THỐNG DNS
Mô hình tấn công DNS Spoofing
Hình 33: Mô hình tấn công DNS Spoofing
- Các công cụ sử dụng
+ setoolkit: clone website, capture username/password
+ ettercap: Scan hosts + ARP poisoning (ARP spoofing) + DNS spoofing + Sniff (nghe lén)
Bước 1: Kẻ tấn công cấu hình Ettercap và cấu hình máy Kali Linux để phục vụ tấn công
#echo 1 > /proc/sys/net/ipv4/ip_forward
Bước 2: Kẻ tấn công sử dụng công cụ Setoolkit để tạo fake website giống trang đăng nhập Google
- Khởi động setoolkit bằng câu lệnh setoolkit
- Chọn kiểu tấn công Social-Engineering Attacks
- Chọn Credential Harvester Exploit Menthod
- Tiến hành nhập IP máy Kali Linux
Hình 34: Sử dụng công cụ Setoolkit
Hình 35: Clone site thành công
Bước 3: Kẻ tấn công sử dụng công cụ Ettercap để tiến hành tấn công
- Tiến hành sửa file etter.dns
#vi /etc/ettercap/etter.dns
- Thêm các dòng google.com A 192.168.1.14
*.google.com 192.168.1.14 www.google.com PTR 192.168.1.14
- Add IP của default gateway vào Target 1
- Add IP của máy Victim vào Target 2
- Tiến hành ARP Spoofing để fake MAC
Hình 37: Kích hoạt ARP Spoofing
- Kích hoạt plugin DNS Spoofing bằng cách chọn Plugins Manage
Plugins và chọn kích hoạt dns_spoof
Hình 38: Kích hoạt plugin dns_spoofing
Khi truy cập google.com trên máy Windows 7, người dùng có thể gặp một trang web giả mạo trông giống hệt trang thật Tuy nhiên, nếu chú ý kỹ, ta sẽ nhận ra rằng trang web này không sử dụng giao thức mã hóa https.
- Kiểm tra trên Ettercap thấy thông báo đã giả mạo thành công địa chỉ www.google.com ứng với IP máy Kali Linux là 192.168.1.14
Để bắt đầu, người dùng cần đăng nhập vào công cụ Setoolkit, ngay lập tức công cụ này sẽ hiển thị giá trị của tên đăng nhập và mật khẩu Qua đó, chúng ta đã thu thập được thông tin Usename và Password từ người dùng.
Hình 41: Thu thập thông tin đăng nhập
