Các k t nạ ế ối như vậy có th ể được kh i tở ạo đầu tiên b ng cách tra c u DNS cằ ứ ủa địa chỉ web đã định cấu hình, địa chỉ web mà nó kết nối với bản tin cập nhật trạng thái, cảnh báo h
TỔNG QUAN V DNS Ề
DNS
Hệ thống tên miền là một cấu trúc phân cấp và phân quyền dành cho các máy tính, dịch vụ và tài nguyên kết nối với Internet hoặc mạng riêng Nó liên kết các thông tin khác nhau với các tên miền được gán cho từng thực thể tham gia.
DNS, hay Hệ thống Tên Miền, là giao thức quan trọng dùng để chuyển đổi tên miền thành địa chỉ IP Khi người dùng truy cập vào http://www.example.com, tên miền www.example.com sẽ được dịch sang địa chỉ IP thực, chẳng hạn như 93.184.216.34.
DNS là một yếu tố quan trọng trong truyền thông IP, cung cấp các phương tiện để cải thiện khả năng sử dụng của các ứng dụng IP Để giao tiếp qua mạng IP, thiết bị IP cần gửi các gói IP tới điểm đến dự định, yêu cầu mỗi tiêu đề gói IP phải có địa chỉ IP nguồn và đích DNS không chỉ hữu ích cho người dùng Internet mà còn cho các quản trị viên mạng, cho phép họ thay đổi địa chỉ IP khi cần thiết mà không ảnh hưởng đến cách người dùng kết nối Điều này cũng rất quan trọng trong việc cấu hình các thiết bị IoT như thiết bị gia dụng, ô tô thông minh và camera giám sát, giúp chúng kết nối với Internet và nhận lệnh từ người dùng Các kết nối này có thể được khởi tạo bằng cách tra cứu DNS của địa chỉ web đã được cấu hình, nơi chúng nhận thông tin cập nhật trạng thái, cảnh báo và thông tin khác.
DNS đã tiến hóa từ một công cụ tra cứu tên miền đơn giản thành một hệ thống phức tạp hỗ trợ nhiều ứng dụng như truyền thông, dữ liệu và bảo mật Nó không chỉ cung cấp địa chỉ IP mà còn mở rộng khả năng tra cứu cho các dịch vụ đa phương tiện Với tính năng mở rộng và độ tin cậy cao, DNS đã chứng minh được vai trò quan trọng trong việc hỗ trợ các chức năng tra cứu hiện đại.
Chúng ta thấy có hai cách để nh n d ng m t tr m ch , b ng tên tr m ch ho c bậ ạ ộ ạ ủ ằ ạ ủ ặ ằng địa ch ỉ
Con người thường thích sử dụng tên miền dễ nhớ thay vì địa chỉ IP phức tạp Để chuyển đổi giữa tên miền và địa chỉ IP, hệ thống tên miền (DNS) của Internet đóng vai trò quan trọng DNS là một cơ sở dữ liệu phân tán, được triển khai trên các máy chủ DNS theo cấu trúc phân cấp Hệ thống này cho phép các máy chủ truy vấn và nhận thông tin từ cơ sở dữ liệu phân tán Thông thường, các máy chủ DNS sử dụng hệ điều hành UNIX và chạy phần mềm BIND (Berkeley Internet Name Domain) Giao thức DNS hoạt động trên UDP và sử dụng cổng 53.
DNS là hệ thống quan trọng được sử dụng bởi nhiều giao thức ứng dụng như HTTP, SMTP và FTP để chuyển đổi tên miền mà người dùng nhập thành địa chỉ IP Ngoài chức năng phiên dịch tên miền, DNS còn cung cấp nhiều dịch vụ thiết yếu khác.
Host aliasing, hay còn gọi là bí danh trạm chủ, cho phép một trạm chủ với tên phức tạp có thể có một hoặc nhiều bí danh Hệ thống DNS có khả năng ánh xạ tên trạm chính tới các bí danh được chỉ định, đồng thời cung cấp địa chỉ IP tương ứng của trạm chủ đó.
Mail server aliasing giúp tạo địa chỉ thư điện tử dễ nhớ hơn DNS có thể được sử dụng để liên kết tên miền chính với một tên miền bí danh, đồng thời cung cấp địa chỉ IP của máy chủ thư tương ứng.
DNS được sử dụng để phân bổ tải giữa các máy chủ nhân rộng, như các máy chủ web Điều này giúp tối ưu hóa hiệu suất và đảm bảo rằng người dùng nhận được dịch vụ nhanh chóng và ổn định.
DNS là hệ thống máy chủ phân giải tên miền, hoạt động như một cơ sở dữ liệu phân tán toàn cầu lưu trữ thông tin về tên miền Thông tin DNS được lưu trữ trong các máy chủ DNS phân tán và có thể được truy cập bất kỳ lúc nào theo yêu cầu của người dùng.
Cấu trúc DNS phân cấp bắt đầu từ miền gốc (Root), tiếp theo là miền cấp cao nhất (TLD) như com, và miền cấp hai (SLD) như google Cuối cùng, miền phụ thuộc như www là một dịch vụ web thuộc về google.com.
Máy chủ gốc của DNS, được gọi là root, là một mạng lưới toàn cầu gồm 13 máy chủ dự phòng đặt tại các quốc gia khác nhau, quản lý tất cả các TLD TLD bao gồm hai loại: tên miền cấp cao nhất mã quốc gia (ccTLD) và tên miền cấp cao nhất chung (gTLD) ccTLD đại diện cho tên miền của các quốc gia, như kr (Hàn Quốc), trong khi gTLD là các tên miền chung, chẳng hạn như com (Công ty) hoặc org (Tổ chức) Khi số lượng miền tăng lên, số lượng TLD có sẵn trở nên không đủ, dẫn đến việc ICANN công bố một bộ TLD mới vào năm 2014 Hiện tại, số lượng máy chủ TLD trên toàn thế giới đã tăng lên đáng kể.
Cấu trúc cây DNS do IANA duy trì cho phép quản lý thông tin tên miền một cách hiệu quả, đồng thời phân phối nhiều yêu cầu DNS một cách đồng bộ và nhanh chóng.
Quá trình chuyển đổi địa chỉ IP thành tên miền tương ứng thông qua DNS được gọi là phân giải tên Phân giải DNS bắt đầu khi có yêu cầu từ khách hàng.
Hình 1.2 minh h a cách m t máy khách lọ ộ ấy địa ch IP cho máy ch web thông qua phân ỉ ủ giải DNS, cho phép nó nh n các dậ ịch vụ web
(1) Một ứng d ng khách yêu cụ ầu địa chỉ IP www.google.com t trình phân gi i DNS ừ ả đệ quy cục bộ
(2) Trình phân giải DNS đệ quy trước tiên s ẽ kiểm tra b n dả ịch địa chỉ trong b nh ộ ớ cache c c bụ ộ của nó.
(3) N u không có thông tin trong b nh cache, trình phân giế ộ ớ ải DNS đệ quy yêu c u ầ địa ch IP của máy chủ tên TLD từ máy chủ tên gốc ỉ
(4) Máy ch nh danh g c g i lủ đị ố ử ại địa ch IP c a máy ch ỉ ủ ủ định danh com dưới d ng ạ phản hồi.
(5) Sử dụng địa ch IP này, Trình phân giỉ ải DNS đệ quy yêu cầu địa ch IP c a máy ỉ ủ chủ định danh SLD từ máy chủ định danh com
(6) Máy chủ định danh com g i lử ại địa ch IP c a máy chỉ ủ ủ định danh google.com dưới dạng phản hồi
(7) Với địa ch IP, Trình phân giỉ ải DNS đệ quy yêu cầu địa ch IP cho ỉ www.google.com từ máy chủ định danh google.com
(8) Máy ch ủ định danh google.com g i lử ại địa ch IP c a www.google.com cho trình ỉ ủ phân giải DNS đệ quy
Trình phân giải DNS đệ quy tìm địa chỉ IP của www.google.com cho máy khách thông qua phần mềm Cuối cùng, với địa chỉ IP 172.217.7.197, máy khách kết nối với máy chủ www.google.com.
Khung DNS bao gồm ba ph n sau: ầ
DNSSEC
DNSSEC là một công nghệ tiêu chuẩn của Internet, nhằm mục đích bảo vệ hệ thống tên miền (DNS) khỏi các cuộc tấn công Công nghệ này được chuẩn hóa lần đầu vào năm 2005 thông qua các tài liệu IETF RFCs 4033 đến 4035.
DNSSEC, hay Bảo mật Hệ thống Tên Miền, sử dụng khóa ký vùng và khóa ký chính (KSK) để đảm bảo tính toàn vẹn và xác thực cho dữ liệu DNS Mục đích chính của DNSSEC là bảo vệ thông tin DNS khỏi các tấn công và đảm bảo rằng người dùng nhận được dữ liệu chính xác và đáng tin cậy.
DNSSEC nâng cao bảo mật cho hệ thống DNS bằng cách tích hợp mã hóa khóa công khai, giúp bảo vệ khỏi các cuộc tấn công như tấn công cache DNS Điều này ngăn chặn việc các trình phân giải DNS của ISP và bộ đệm cache của họ bị lợi dụng để chuyển hướng tên miền đến các địa chỉ IP độc hại Như một giải pháp cho những vấn đề an ninh tiềm ẩn của DNS, DNSSEC cung cấp xác thực thông tin bằng cách sử dụng chữ ký số, dựa trên mã hóa khóa công khai.
Chữ ký số cho phép xác thực dữ liệu bằng cách sử dụng khóa cá nhân của người gửi và khóa công khai của người nhận DNSSEC sử dụng thuật toán mã hóa không đối xứng, trong đó cặp khóa riêng tư và công khai có mối liên hệ toán học Dữ liệu được ký bằng khóa cá nhân có thể được xác thực thông qua việc giải mã với khóa công khai tương ứng, đảm bảo rằng dữ liệu đã được ký là chính xác và không bị thay đổi Chữ ký số cũng giúp xác minh rằng dữ liệu nhận được khớp với dữ liệu đã gửi và không bị can thiệp trong quá trình truyền tải.
Bước đầu tiên trong quá trình ký dữ liệu là tạo ra một hash, hay còn gọi là thông báo Hàm hash chuyển đổi dữ liệu thành một chuỗi có độ dài cố định, giúp thao tác dễ dàng và thể hiện "dấu vân tay" của dữ liệu Điều này có nghĩa là rất khó để một đầu vào dữ liệu khác tạo ra cùng một giá trị hash.
Dữ liệu và chữ ký liên quan được truyền đến người nhận theo cách khác nhau Lưu ý rằng dữ liệu không được mã hóa, chỉ được ký Người nhận cần có quyền truy cập vào khóa công khai tương ứng với khóa cá nhân dùng để ký dữ liệu Trong nhiều trường hợp, hệ thống phân phối khóa công khai an toàn, như cơ sở hạ tầng khóa công khai (PKI), được sử dụng để cung cấp khóa công khai Đối với DNSSEC, khóa công khai được xuất bản trong DNS và chữ ký được bao gồm trong câu trả lời truy vấn, tức là dữ liệu đã ký.
Người nhận tính toán một hàm hash của dữ liệu bản ghi tài nguyên đã nhận và áp dụng thuật toán mã hóa cho chữ ký đã nhận với khóa công khai của người khởi tạo Thao tác này đảo ngược quy trình tạo chữ ký, cho ra dữ liệu gốc hash Kết quả giải mã, hash dữ liệu gốc, được so sánh với hash tính toán của dữ liệu người nhận Nếu chúng khớp, dữ liệu chưa bị sửa đổi và chủ sở hữu khóa cá nhân đã ký dữ liệu Nếu người giữ khóa cá nhân có thể được tin cậy, dữ liệu sẽ được coi là bảo đảm Hình 1.7 minh họa ví dụ về xác thực dữ liệu bằng cách sử dụng một mã khóa công khai.
Hình 1.7 Ví dụ xác th c mự ật mã khóa công khai
(1) Alice tạo một cặp khóa không đối xứng, bao gồm khóa Công khai và Khóa riêng tư.
(2) Alice phân phối khóa Công khai lên Internet
(3) Alice tạo “chữ ký” bằng cách ký văn bản thuần túy bằng Khóa riêng của cô ấy
(4) Alice truyền “chữ ký” cùng với “dữ liệu gốc” cho Bob
(5) Bob nhận được “dữ liệu gốc” với “chữ ký” từAlice
(6) Bob tra cứu Khóa công khai của Alice
(7) Bob th c hi n xác th c ch ký cự ệ ự ữ ủa “dữ liệu gốc” bằng “chữ ký”, sử ụ d ng Khóa công khai c a Alice ủ
(8) N u chế ữ ký được xác minh thành công, thì Bob được đảm b o r ng dả ằ ữ liệu ban đầu có chủ đích từ Alice là chính xác
DNSSEC đã bổ sung bốn loại bản ghi mới vào hệ thống DNS hiện tại, bao gồm RRSIG (Chữ ký Bản ghi nguồn), DNSKEY (Khóa Công khai DNS), NSEC/NSEC3 và DS Những loại bản ghi này nhằm hỗ trợ việc tạo chữ ký số và quy trình xác minh chữ ký, giúp tăng cường bảo mật cho dữ liệu DNS.
(1) RRSIG: RR này có ch ký cho t p h p bữ ậ ợ ản ghi được bảo m t DNSSEC ậ
(2) DNSKEY: RR này chứa khóa công khai để xác minh ch ký trong các b n ghi RRSIG ữ ả
(3) NSEC / NSEC3: RR này dành cho s t ự ừ chối rõ ràng v s t n t i c a m t b n ghi DNS ề ự ồ ạ ủ ộ ả
DS (người ký ủy quyền) là một bản ghi quan trọng trong khu vực ủy quyền, được đặt trong vùng mẹ Bản ghi DS này phối hợp với các bản ghi NS để đảm bảo chuỗi xác thực giữa vùng mẹ và vùng con.
Tiêu chuẩn chữ ký điện tử yêu cầu một cơ chế không xác minh chữ ký, nhưng vẫn đảm bảo rằng các chữ ký phù hợp với mục đích của người ký.
DNSSEC không bao gồm hệ thống phân phối khóa an toàn, do đó, một hoặc nhiều khóa đáng tin cậy cần được cấu hình chính xác trên trình phân giải DNS đệ quy Khóa tin cậy là khóa công khai được ủy quyền và phân phối bởi quản trị viên miền cho vùng DNS cụ thể Đối với các câu trả lời truy vấn đã ký, trình phân giải không chỉ phải xác thực chữ ký mà còn cần xác nhận rõ ràng khóa công khai được sử dụng để xác thực tương ứng với một khóa đáng tin cậy cho vùng đó.
DNSSEC triển khai một chuỗi tin cậy theo cấu trúc cây tên miền DNS tiêu chuẩn, nhằm xác thực các khóa trên cây cho vùng dữ liệu Mỗi miền gốc trong chuỗi tin cậy phải được liên kết với chữ ký vùng để đảm bảo xác nhận thành công bên ký Một sự phá vỡ trong chuỗi tin cậy có thể làm giảm độ tin cậy của khóa riêng khi khu vực được liên kết, hoặc khóa công khai của vùng khởi tạo không được cấu hình đúng cách làm khóa tin cậy.
Các khóa đáng tin cậy, bao gồm neo tin cậy và khóa vùng gốc, đóng vai trò quan trọng trong việc xác định cấu hình cho các vùng đã ký mà không có vùng mẹ được ký Những khóa này giúp đảm bảo tính toàn vẹn và an toàn cho hệ thống, cho phép người dùng xác minh nguồn gốc và độ tin cậy của các thành phần trong môi trường học tập.
DNSSEC hoạt động như một chuỗi tin cậy, cho phép xác minh thông tin trong hệ thống DNS So với yêu cầu địa chỉ IP của DNS, DNSSEC bổ sung quy trình xác minh để đảm bảo tính chính xác của dữ liệu Các máy chủ DNS thực hiện việc xác minh lẫn nhau thông qua chữ ký số, tạo ra một lớp bảo mật bổ sung cho hệ thống.
Các máy chủ DNS đáng tin cậy duy trì một chuỗi bảo mật mạnh mẽ nhằm đảm bảo tính toàn vẹn và xác thực của dữ liệu DNS.
Hình 1.8 Ki n trúc ế chuỗi tin cậy DNSSEC
(1) Trình phân giải DNS trước tiên đặt một “Neo tin cậy” (Trust Anchor) tương ứng với khóa công khai t vùng mi n gừ ề ốc, như bản ghi KSK qua DNSKEY
DNS đa hướng
Giao thức DNS đa hướng (mDNS), được mô tả trong RFC 6762, là một dịch vụ mạng để phân giải tên máy chủ thành địa chỉ IP trong các mạng nhúng không có máy chủ DNS chính Khác với DNS đơn hướng, mDNS sử dụng gói IP đa hướng qua giao thức UDP, cho phép mọi nút trên mạng nhận yêu cầu phân giải tên máy chủ Khi một nút gửi yêu cầu, máy chủ sở hữu tên miền sẽ phản hồi bằng cách sử dụng đa hướng, cung cấp địa chỉ IP của nó Tất cả các nút đăng ký địa chỉ đa hướng sẽ cập nhật bộ đệm DNS của chúng bằng phản hồi nhận được.
Với sự phát triển của IPv6 và sự gia tăng sử dụng các thiết bị nhúng như IoT, cơ sở hạ tầng DNS truyền thống trở nên phức tạp và gây khó khăn trong việc cấu hình dịch vụ cục bộ Để giải quyết vấn đề này, mDNS đã được triển khai thông qua Apple Bonjour, mang lại giải pháp hiệu quả cho việc quản lý tên miền trong môi trường mạng.
Microsoft Link-local Multicast Name Resolution (mDNS) ban đầu được phát triển nhằm tìm kiếm các thiết bị máy in trong mạng Tuy nhiên, sau đó, nó đã được mở rộng để hỗ trợ khả năng phân giải tên máy cục bộ, giúp cải thiện khả năng kết nối và truy cập các thiết bị trong mạng nội bộ.
mDNS mang lại nhiều lợi ích như không cần cấu hình phức tạp và không yêu cầu máy chủ DNS Người dùng có thể dễ dàng kết nối và sử dụng các thiết bị trong mạng một cách thuận tiện nhờ vào việc truy cập trực quan Tuy nhiên, mDNS cũng có những điểm yếu, đặc biệt là khi tiếp xúc với Internet, có thể dẫn đến việc thu thập thông tin về các thiết bị và dịch vụ trên mạng Do mDNS hoạt động trên giao thức UDP, nó có thể bị tấn công thông qua việc sử dụng các truy vấn mDNS, làm cho khả năng bảo mật của nó trở nên hạn chế.
LỖ HỔNG BẢO MẬT
C ác lỗ ổ h ng DNSSEC
DNSSEC đã nâng cao bảo mật cho xác thực và tính toàn vẹn của DNS bằng cách sử dụng chữ ký số với khóa công khai và riêng tư, nhằm khắc phục các lỗ hổng đã biết Tuy nhiên, hệ thống này vẫn phải đối mặt với nhiều cuộc tấn công khác nhau thông qua các lỗ hổng và hạn chế trong cấu trúc.
DNSSEC bổ sung nhiều loại bản ghi vào DNS, bao gồm RRSIG, DNSKEY, DS (Người ký ủy quyền) và NSEC (Bảo mật Tiếp theo) Những bản ghi này yêu cầu một mức độ bảo mật cao hơn so với DNS truyền thống, đồng thời làm tăng thời gian xử lý và kích thước gói tin Kích thước của gói DNSSEC có thể lên đến 2000 byte, trong khi kích thước tối đa của gói UDP theo RFC chỉ định là 512 byte.
Các gói trong DNSSEC có thể bị phân mảnh, dẫn đến việc dự phòng DNS Nếu các gói DNSSEC bị phân mảnh không được phân phối đúng cách và khóa công khai đã được xác minh trước đó vẫn được lưu trong bộ đệm, việc xác minh các gói mới sẽ thất bại và bị bỏ qua Điều này khiến người dùng không nhận được dịch vụ DNS cũng như xác thực cần thiết.
Triển khai DNSSEC có thể gặp phải nhiều vấn đề, chủ yếu do cấu hình sai Sự phức tạp gia tăng của hệ thống DNS hiện tại khiến cho việc định cấu hình trở nên khó khăn hơn, dẫn đến khả năng cao xuất hiện các bản ghi DNSSEC không chính xác Điều này có thể gây ra các vấn đề xác thực, khiến dữ liệu chính xác bị coi là giả mạo khi việc phân giải tên miền không thành công.
2.2.3 Trình phân giải không đáng tin cậy
Một hệ thống DNSSEC đáng tin cậy có thể đảm bảo rằng tất cả các phản hồi DNS đều an toàn Tuy nhiên, nếu có các trình phân giải không đáng tin cậy cung cấp phản hồi DNS, người dùng vẫn có thể gặp rủi ro từ các mối đe dọa DNS, ngay cả khi sử dụng DNSSEC Thực tế, nhiều người không xem xét độ tin cậy của trình phân giải DNS cục bộ mà họ đang sử dụng, thường là trình phân giải mặc định từ mạng Ví dụ, khi người dùng kết nối Internet qua Wi-Fi công cộng, trình phân giải DNS tự động được cấu hình là mặc định Kẻ tấn công có thể lợi dụng tình huống này để chặn yêu cầu và cấu hình trình phân giải DNS độc hại, cung cấp dữ liệu sai cho nạn nhân Để bảo vệ chống lại điều này, chuỗi tin cậy cần được thiết lập từ trình phân giải DNS đến người dùng Sử dụng giao thức cấu hình máy chủ động (DHCP) với vé ủy quyền là một cách để xác định các trình phân giải DNS đáng tin cậy Tuy nhiên, nếu máy chủ DHCP bị vô hiệu hóa hoặc không đáng tin cậy, tất cả người dùng trong mạng có thể bị ảnh hưởng.
Cơ sở dữ liệu DNS được tổ chức thành các vùng bản ghi, mỗi vùng bao gồm các bản ghi c a mi n và th ủ ề ể chứa tên mi n ph và các b n ghi liên quan DNSSEC có chức năng bảo m t và chứng minh tính toàn vẹn của các bản ghi mi n và tài nguyên Tuy nhiên, việc sử dụng kiểu bản ghi NSEC có thể cho phép người ngoài tìm kiếm tên trong toàn bộ khu vực, dẫn đến quá trình điều tra khu vực Để giải quyết vấn đề này, tiêu chuẩn hóa NSEC3 RR đã được hoàn thành nhằm tăng cường bảo mật.
29 có th bể ị ảnh hưởng nghiêm tr ng b i các máy chọ ở ủ DNS và NSEC3 độc h i không tri n ạ ể khai tiêu chu n ẩ
Chuyển vùng được sử dụng để đồng bộ hóa các tệp vùng giữa các máy chủ DNS chính và phụ, thường thông qua NFS hoặc một chức năng chuyển vùng chuyên biệt Mặc dù việc truyền tệp vùng là cần thiết, nhưng cấu hình sai có thể dẫn đến những rủi ro nghiêm trọng, bao gồm việc rò rỉ thông tin.
2.2.5 Khả năng triển khai DNSSEC th p ấ
DNSSEC cung cấp khả năng bảo mật mạnh mẽ hơn cho DNS, nhưng hiện đang gặp khó khăn trong việc triển khai do độ phức tạp cao Theo báo cáo của Hiệp hội Internet năm 2016, khoảng 90% các vùng TLD sử dụng DNSSEC, trong khi chỉ có 65% các vùng SLD hỗ trợ công nghệ này Hơn nữa, tỷ lệ sử dụng các trình phân giải xác thực DNSSEC chỉ đạt 26%, cho thấy tỷ lệ triển khai thực tế còn thấp Báo cáo cũng chỉ ra rằng việc triển khai DANE, nhằm tăng cường khả năng bảo mật của DNSSEC, cũng đang ở mức thấp.
DNSSEC là một phương thức bảo mật cho hệ thống tên miền, giúp tăng cường tính toàn vẹn và xác thực của dữ liệu DNS Tuy nhiên, do kích thước lớn của thông tin bổ sung từ chữ ký số, bản ghi của DNSSEC lớn hơn đáng kể so với phản hồi DNS thông thường Trung bình, kích thước của phản hồi "Bản K" trong DNSSEC lớn hơn 28 lần so với bản ghi tương ứng trong DNS thông thường, làm cho các cuộc tấn công DDoS trở nên nghiêm trọng hơn.
Chương này trình bày các kỹ thuật tấn công DNS hiện nay, phân loại và đánh giá chúng Cuộc tấn công DNS nhằm vào nhiều máy chủ DNS trên Internet, khai thác các lỗ hổng DNS và DNSSEC Mục tiêu của các cuộc tấn công này là làm cạn kiệt tài nguyên hệ thống hoặc làm hỏng dữ liệu, dẫn đến việc hệ thống DNS không khả dụng hoặc bị khai thác để đạt được mục tiêu cuối cùng Hiện tại, các cuộc tấn công DNS đang thu hút sự quan tâm từ các nhà nghiên cứu, chính phủ và ngành công nghiệp, nhưng vẫn gây ra rủi ro đáng kể cho người dùng Internet.
Các cuộc tấn công vào hệ thống DNS có thể được chia thành bốn loại chính: giả mạo dữ liệu DNS, làm ngập dữ liệu DNS, lạm dụng DNS và lợi dụng cấu trúc máy chủ DNS Hình 3.1 minh họa danh sách 11 cuộc tấn công DNS được phân loại rõ ràng.
Gi m o d ả ạ ữ liệ u DNS 30 1 DA01 Nhi ễm độc bộ nh cache DNS 31ớ
Giả mạo dữ liệu DNS xảy ra khi kẻ tấn công chiếm đoạt và/xâm phạm dữ liệu DNS không được mã hóa giữa người dùng và máy chủ DNS, dẫn đến việc người dùng nhận được thông tin dịch vụ sai lệch.
Tấn công vào hệ thống DNS có thể dẫn đến việc dữ liệu không an toàn bị xâm phạm Hình 3.2 minh họa một cuộc tấn công điển hình vào dữ liệu DNS, cho thấy cách thức mà các cuộc tấn công này diễn ra Các hình thức tấn công DNS thường sử dụng để làm giả hoặc xâm nhập dữ liệu DNS bao gồm nhiều phương pháp khác nhau.
Hình 3 2 T n công DNSấ : Giả m o d ạ ữ liệu DNS QID: ID truy v n; "-a", "-b": th t quy ấ ứ ự trình 3.1.1 DA01 Nhiễm độc bộ nhớ cache DNS
Tấn công nhiễm độc bộ nhớ cache DNS xảy ra khi kẻ tấn công gửi các phản hồi giả mạo đến máy chủ DNS đệ quy (A) trước khi máy chủ định danh (B) có thể phản hồi với NXDOMAIN Nếu A không tìm thấy địa chỉ IP tương ứng trong bộ nhớ cache của nó, nó sẽ gửi truy vấn đến B Kẻ tấn công sẽ gửi một số lượng lớn phản hồi giả mạo đến A, khiến A chấp nhận các bản ghi nguồn (RR) giả mạo và lưu trữ chúng trong bộ nhớ cache Khi người dùng tiếp tục yêu cầu tên miền đó, A sẽ cung cấp địa chỉ IP độc hại đã được lưu trong bộ nhớ cache, dẫn đến việc người dùng bị chuyển hướng đến trang web không mong muốn.
Một nghiên cứu về nguy cơ tấn công nhiễm độc bộ nhớ cache DNS phía client đã phát hiện ra một kiểu tấn công nhằm khai thác các lỗ hổng để lưu trữ thông tin độc hại trong bộ nhớ đệm của hệ điều hành người dùng Lỗ hổng bảo mật này vẫn bị khai thác vì phía client không được coi là một phần của khung DNS, do đó không được xem xét để giảm thiểu nguy cơ tấn công nhiễm độc bộ nhớ cache DNS.
3.1.2 DA02 Kaminsky Để bảo vệ kh i các cuộc tấn công nhiỏ ễm độc bộ nh cache thông thường, trình phân giải ớ DNS s d ng m t k thuử ụ ộ ỹ ật được g i là "kiọ ểm tra bailiwick" Để bảo v kh i các b n ghi b ệ ỏ ả ổ sung DNS độc h i, trình phân gi i DNS ch ạ ả ỉ chấp nhận thông tin cơ bản và b qua thông tin ỏ bổ sung Để khắc phục điều này, nh ng k tữ ẻ ấn công đã khai thác máy chủ định danh có thẩm quyền để đầu độc các b nh cache c a trình phân giộ ớ ủ ải Bắt đầu t nghiên c u cừ ứ ủa Steven Bellovin vào năm 1990, các cuộc t n công chi m quyấ ế ền điều khiển và đầu độc DNS đã phát triển thành các cuộc tấn công dựa trên "nghịch lý ngày sinh", và cuối cùng phát triển thành các cuộc tấn công Kaminsky vào năm 2008
Tấn công Kaminsky nhằm chiếm đoạt các bản ghi có thẩm quyền thay vì bản ghi phản hồi (RR) Để thành công, kẻ tấn công cần cấu hình một máy chủ DNS có thẩm quyền cho miền mục tiêu, bao gồm tất cả các bản ghi cần thiết Cuộc tấn công được chia thành hai bước: Bước 1, kẻ tấn công yêu cầu các truy vấn DNS đến một tên ngẫu nhiên trong miền mục tiêu từ các máy chủ DNS cục bộ, dẫn đến việc các máy chủ này phải gửi truy vấn tiếp theo đến các máy chủ DNS có thẩm quyền Bước 2, kẻ tấn công gửi một loạt câu trả lời giả mạo đến máy chủ DNS cục bộ, thay thế các bản ghi hợp lệ bằng bản ghi độc hại, từ đó chiếm quyền kiểm soát miền mục tiêu.
Cuối cùng, công nghệ tấn công máy chủ định danh có thể cung cấp cho trang web địa chỉ IP độc hại cho các yêu cầu DNS thông thường của miền thông qua trình phân giải DNS Cuộc tấn công này có mức độ nghiêm trọng cao hơn so với tấn công DNS nhiễm độc bộ nhớ đệm, vì nó không chỉ ảnh hưởng đến miền chính mà còn đến cả các miền phụ.
Chiếm quyền điều khiển DNS cho phép kẻ tấn công sửa đổi cài đặt bản ghi DNS, thường xảy ra tại các công ty đăng ký tên miền, để trỏ đến một máy chủ hoặc miền DNS không tồn tại Những kẻ tấn công có thể tấn công các máy chủ DNS để chuyển hướng địa chỉ IP và địa chỉ miền được ánh xạ Có bốn kiểu chuyển hướng DNS cơ bản.
Chiếm quyền DNS là một hình thức tấn công mà kẻ xấu cài đặt phần mềm độc hại trên máy tính của người dùng, nhằm thay đổi cài đặt DNS để chuyển hướng người dùng đến các trang web độc hại.
Chiếm quyền DNS của bộ định tuyến có thể xảy ra khi nhiều thiết bị kết nối với một mạng Những kẻ tấn công có thể xâm nhập vào bộ định tuyến và ghi đè cài đặt DNS, điều này ảnh hưởng đến tất cả người dùng kết nối với bộ định tuyến đó.
Tấn công DNS man-in-the-middle là một hình thức tấn công mạng, trong đó kẻ tấn công can thiệp vào quá trình giao tiếp giữa người dùng và máy chủ DNS, nhằm chuyển hướng các địa chỉ IP đến các trang web độc hại.
Máy chủ DNS giả mạo là một công cụ nguy hiểm có khả năng tấn công bằng cách hack máy chủ DNS và thay đổi bản ghi DNS, từ đó chuyển hướng các yêu cầu DNS đến các trang web độc hại.
Cisco Talos đã phát hiện ra một cuộc tấn công chiếm quyền điều khiển DNS mới mang tên "DNSpionage" Cuộc tấn công này nổi bật với việc giữ kín thông tin và sử dụng các tệp Microsoft Office độc hại kèm theo phần mềm độc hại DNSpionage cung cấp giao tiếp qua HTTP và DNS, đồng thời thực hiện các kết nối tấn công Khi người dùng mở tài liệu giả mạo hoặc truy cập trang web độc hại, chuyển hướng DNS độc hại sẽ hoạt động, thể hiện rõ ràng tính chất kín đáo của cuộc tấn công này.
Hình 3 3 Chiếm quyền điều khi n DNS ể 3.2 Tràn ng p dậ ữ liệu DNS
Mục tiêu của các cuộc tấn công tràn ngập là vô hiệu hóa chức năng máy chủ người dùng bằng cách làm quá tải máy chủ, từ đó cản trở việc phân giải tên DNS cho vùng mà nó quản lý Qua các cuộc tấn công này, dữ liệu DNS bị tràn ngập, khiến máy chủ gặp khó khăn trong việc xử lý một lượng lớn các truy vấn hợp lệ, làm cho tài nguyên máy chủ bị áp đảo và giảm khả năng phản hồi đối với các yêu cầu hợp pháp Hình 3.4 mô tả cụ thể phương pháp của việc làm tràn dữ liệu DNS.
3.2.1 DA04 T n công tràn ng p dấ ậ ữ liệu DNS
Tấn công tràn ngập dữ liệu DNS là một phương thức tấn công nhằm làm cạn kiệt tài nguyên của máy chủ thông qua việc gửi hàng loạt yêu cầu UDP từ nhiều máy bị nhiễm phần mềm độc hại Máy chủ DNS, sử dụng giao thức UDP để phân giải tên miền, có thể không phân biệt được các gói UDP lớn với các yêu cầu thông thường Khi tấn công diễn ra, khối lượng lớn các gói tin được gửi đến máy chủ DNS, giả mạo các yêu cầu hợp pháp, dẫn đến việc máy chủ không còn khả năng xử lý các yêu cầu hợp pháp.
Hình 3 4.Tấn công DNS: Tràn ngập d ữ liệu DNS
3.2.2 DA05 T n công DdoS ấ phản xạ/khuếch đại DNS
