Mục Lục DANH MỤC HÌNH ẢNH THUẬT NGỮ VIẾT TẮT LỜI NÓI ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ DNS VÀ DNSSEC 1.1 DNS 1.1.1 Dịch vụ DNS cung cấp 1.1.2 Nguyên lý DNS 1.1.3 Bản ghi tin DNS 11 1.1.4 Giới hạn DNS 12 1.2 DNSSEC 12 1.2.1 Mục đích DNSSEC 13 1.2.2 Nguyên lý DNSSEC 13 1.3 DNS đa hướng 15 CHƯƠNG 2: LỖ HỔNG BẢO MẬT 17 2.1 Các lỗ hổng DNS 17 2.1.1 Quan điểm khái niệm 17 2.1.2 Quan điểm Cấu trúc 17 2.1.3 Quan điểm Giao tiếp 18 2.2 Các lỗ hổng DNSSEC 18 2.2.1 Chi phí 19 2.2.2 Độ phức tạp 19 2.2.3 Trình phân giải khơng đáng tin cậy 19 2.2.4 Phơi bày Danh sách vùng 19 2.2.5 Khả triển khai DNSSEC thấp 20 2.2.6 Khuếch đại phản xạ Mối đe dọa DDoS 20 CHƯƠNG 3: TẤN CỐNG DNS 21 3.1 Giả mạo liệu DNS 21 3.2 Tràn ngập liệu DNS 22 3.2.1 DA04 Tấn công tràn ngập DNS 22 3.2.2 DA05 Tấn công DDoS phản xạ khuếch đại DNS 23 3.2.3 DA06 Tên miền phụ ngẫu nhiên 23 3.3 Lạm dụng DNS 24 3.4 Cấu trúc máy chủ DNS 24 3.5 Đánh giá công DNS 25 CHƯƠNG 4: GIẢM THIỂU CÁC CUỘC TẤN CÔNG DNS 27 4.1 DNSSEC DNS dự phòng 27 4.2 Các hệ thống giảm thiểu công DNS có 28 4.2.1 Hệ thống giám sát phát 28 4.2.2: Tiện ích mở rộng bảo mật ghi DNS 29 4.2.3 DNS nâng cao với chức bảo mật bổ sung 30 4.3 Nhà cung cấp DNS bảo mật/doanh nghiệp 31 KẾT LUẬN 33 DANH MỤC HÌNH ẢNH Hình 1 Cấu trúc DNS Hình Kiến trúc DNS 10 Hình Khn dạng tin DNS 12 Hình Kiến trúc mật mã khóa cơng khai 13 Hình Kiến trúc DNSSEC 15 Hình Kiến trúc DNS đa hướng 16 Hình Các công DNS 21 Hình Tấn cơng DNS: Giả mạo liệu DNS QID: ID truy vấn; "-a", "-b": thứ tự quy trình 22 Hình 3.Tấn cơng DNS: DNS Data Flooding 23 Hình Mơ tả cơng DNS cách lạm dụng DNS 24 Hình Phân loại cơng DNS theo mục đích 26 Hình Danh sách 10 nhà cung cấp DNS doang nghiệp 31 THUẬT NGỮ VIẾT TẮT DNS domain name system Hệ thống tên miền DNS security extensions DNS Security Phần Mở rộng bảo mật DNS DOS denial-of-service Từ chối dịch vụ DdoS distributed denial-of-service Từ chối dịch vụ phân tán gTLD general Top Level Domain Tên miền Cấp cao chung IP Internet protocol Giao thức internet ISP Internet Service Provider Nhà cung cấp dịch vụ Internet PKI Public key infrastructure Hạ tầng khóa cơng khai DGA domain generation algorithm Thuật tốn tạo miền SLD Second Level Domain Tên miền Cấp thứ hai TLD Top Level Domain Tên miền Cấp cao RR resource records Bản ghi nguồn LỜI NÓI ĐẦU Trong 30 năm qua, trải nghiệm nhiều dịch vụ Internet tiện lợi thơng qua tiện ích Hệ thống tên miền (DNS) thân thiện với người, ánh xạ tên miền tới địa giao thức internet (IP) cách sử dụng máy chủ định danh phân cấp tồn cầu Người dùng Internet có địa miền sử dụng dịch vụ Internet khác nhau, chẳng hạn lướt web, e-mail chí dịch vụ di động mà khơng cần nhập địa IP máy công nhận Tuy nhiên, DNS lần phát triển mà không xem xét đến an ninh mạng Khơng nghi ngờ nữa, có nhiều cơng mạng vào DNS diễn Ví dụ: cơng gần đây, kẻ công chuyển hướng tra cứu DNS cho MyEtherWallet.com đến trang web độc hại trông giống trang web xác thực, để chiếm đoạt thông tin tài khoản nạn nhân Để khắc phục vấn đề bảo mật DNS khác (tức tra cứu thư mục) củng cố an ninh mạng, giao thức mở rộng bảo mật DNS (DNSSEC) phát triển DNSSEC ghép chế chữ ký số mật mã học khóa cơng khai vào hệ thống DNS DNSSEC mở rộng DNS dựa Hạ tầng khóa cơng khai phân cấp (PKI) để bảo vệ liệu xuất DNS Chứng cho khóa cơng khai tổ chức phát hành chứng đáng tin cậy (CAs) cấp, chứng nhận quyền sở hữu khóa cơng khai Do đó, ứng dụng khách trình phân giải xác minh phản hồi DNS không bị giả mạo thay đổi cách sử dụng DNSSEC Tuy nhiên, DNSSEC gặp phải vấn đề triển khai Internet Chung cộng nhận thấy 31% miền hỗ trợ DNSSEC không xuất tất ghi có liên quan cần thiết để xác thực 39% miền sử dụng khóa ký khóa khơng đủ mạnh Họ nhận thấy 82% trình phân giải yêu cầu ghi DNSSEC, 12% số chúng cố gắng xác thực ghi DNSSEC Ngoài ra, số nghiên cứu thực để xem xét kỹ lưỡng mơ hình CA thiếu minh bạch lựa chọn CA đáng tin cậy Nếu CA hoạt động mỏ neo tin cậy bị xâm phạm, tất thông tin CA chứng nhận bị làm giả Cuộc cơng mạng Dyn năm 2016 kiện quan trọng cho thấy nguy DNS nghiêm trọng Dyn, nhà cung cấp DNS phổ biến, bị công hai công từ chối dịch vụ phân tán (DDoS) lớn phức tạp nhằm vào sở hạ tầng DNS Cuối cùng, số dịch vụ Internet hệ thống ngân hàng lớn bị tê liệt Hình cho thấy đồ vơ hiệu hóa Internet Bắc Mỹ công mạng Dyn Một vấn đề thú vị với công phần lớn Hoa Kỳ bị ảnh hưởng việc công Trung tâm Dữ liệu số khu vực định Hoa Kỳ Nghĩa là, công nhắm mục tiêu trực tiếp vào DNS phân phối cục với Botnet cục Hơn nữa, Báo cáo An ninh mạng, phát hành năm 2018, mô tả DNS mục tiêu dịch vụ Internet lớn (82%) công lớp ứng dụng Bất chấp nỗ lực cải thiện vấn đề bảo mật DNS, DNS mục tiêu phổ biến cơng mạng vai trị thiết yếu Internet tính dễ bị cơng Bài tiểu luận liên quản tới vấn đề: (1) thứ nhất, vấn đề bảo mật DNS DNSSEC mô tả phân loại lỗ hổng bản, cấu trúc hệ thống Ngoài ra, mức độ nghiêm trọng ngày tăng công DNS thảo luận; thứ hai, công DNS khác thảo luận phân loại theo mục đích, để hiểu phân tích chúng; cuối cùng, biện pháp phòng thủ chống lại công DNS mô tả hiệu việc giảm thiểu công DNS đánh giá Bài tiểu luận tổ chức sau Phần cung cấp thông tin DNS DNSSEC Phần mô tả lỗ hổng bảo mật DNS DNSSEC Phần giải thích cơng DNS điển hình đe dọa người dùng Internet, đánh giá công theo mức độ nghiêm trọng phân loại cơng DNS theo mục đích Phần khám phá phương pháp giảm thiểu công DNS đánh giá điểm mạnh điểm yếu chúng CHƯƠNG 1: TỔNG QUAN VỀ DNS VÀ DNSSEC 1.1 DNS Hệ thống tên miền hệ thống đặt tên phân cấp phân quyền cho máy tính, dịch vụ tài nguyên khác kết nối với internet (hoặc mạng riêng) Nó liên kết thơng tin khác với tên miền gán cho thực thể tham gia Nói cách dễ hiểu, DNS giao thức chủ yếu sử dụng để chuyển đổi tên thành địa IP Khi người duyệt qua http://www.example.com, tên miền www.example.com dịch sang địa IP thực, ví dụ: 93.184.216.34 1.1.1 Dịch vụ DNS cung cấp Chúng ta thấy có hai cách để nhận dạng trạm chủ, tên trạm chủ địa IP Con người thích định danh theo tên trạm chủ dễ nhớ, định tuyến lại ưa sử dụng địa IP có cấu trúc phân cấp độ dài cố định Để hài hoà ý muốn cần dịch vụ thư mục để phiên dịch tên trạm chủ sang địa IP Đây nhiệm vụ hệ thống tên miền (DNS) Internet DNS (1) sở liệu phân tán thực cấu trúc phân cấp máy chủ DNS (2) giao thức lớp ứng dụng cho phép trạm chủ truy vấn sở liệu phân tán Các máy chủ DNS thường máy UNIX chạy phần mềm BIND (Berkeley Internet Name Domain) Giao thức DNS chạy UDP sử dụng cổng 53 DNS thường giao thức ứng dụng khác sử dụng - bao gồm HTTP, SMTP FTP - để phiên dịch tên trạm chủ người sử dụng đưa thành địa IP DNS cung cấp số dịch vụ quan trọng khác việc phiên dịch tên trạm chủ thành địa IP như:    Host aliasing (Bí danh trạm chủ): Một trạm chủ có tên trạm phức tạp có hay nhiều bí danh DNS ứng dụng gọi tới để lấy tên trạm tắc cho tên trạm bí danh cung cấp, địa IP trạm chủ Mail server aliasing (Bí danh server thư): Rõ ràng mong muốn địa thư điện tử cần phải dễ nhớ DNS ứng dụng thư gọi tới để lấy tên tắc cho tên trạm bí danh cung cấp, địa IP trạm chủ Phân bố tải DNS sử dụng để thực phân bố tải máy chủ nhân rộng (replicated), máy chủ nhân rộng Web 1.1.2 Nguyên lý DNS Hình 1 Cấu trúc DNS Về mặt kỹ thuật, DNS hệ thống máy chủ định danh phân cấp sử dụng hệ thống sở liệu phân tán toàn cầu lưu giữ thông tin miền Thông tin DNS lưu trữ máy chủ DNS phân tán thơng tin tìm kiếm lúc theo yêu cầu người dùng Hình 1.1 minh họa cấu trúc DNS phân cấp thông qua tên miền chung DNS bắt đầu miền (Root) .com TLD (Tên miền cấp cao nhất) có cha tên miền (Root) .google SLD (Tên miền cấp hai) có tên miền gốc miền com Cuối cùng, www (tức dịch vụ web) miền phụ google.com Là cấp cao DNS, Máy chủ định danh gốc mạng tồn cầu với 13 máy chủ dự phịng đặt quốc gia khác nhau, quản lý tất TLD TLD bao gồm hai loại: Tên miền cấp mã quốc gia cao (ccTLD) Tên miền cấp cao chung (gTLD) CcTLD viết tắt tên miền quốc gia, chẳng hạn kr (Hàn Quốc) gTLD viết tắt loại miền chung, chẳng hạn com (Công ty) org (Tổ chức) Khi số lượng miền tăng lên, số lượng TLD có sẵn trở nên không đủ ICANN công bố TLD vào năm 2014 Hiện tại, số lượng máy chủ TLD khắp giới khoảng 1.500 (do IANA trì) Cấu trúc dọc cho phép DNS không tạo điều kiện quản lý thông tin miền mà phân phối nhiều yêu cầu DNS cách hiệu Quá trình dịch địa IP sang tên miền tương ứng thông qua DNS gọi phân giải tên phân giải DNS Phân giải DNS bắt đầu với yêu cầu DNS khách hàng Hình 1.2 minh họa cách máy khách lấy địa IP cho máy chủ web thông qua phân giải DNS, cho phép nhận dịch vụ web Hình Kiến trúc DNS (1) Một ứng dụng khách yêu cầu địa IP www.google.com từ trình phân giải DNS đệ quy cục (2) Trình phân giải DNS đệ quy trước tiên kiểm tra dịch địa nhớ cache cục (3) Nếu khơng có thơng tin nhớ cache, trình phân giải DNS đệ quy yêu cầu địa IP máy chủ tên TLD từ máy chủ tên gốc (4) Máy chủ định danh gốc gửi lại địa IP máy chủ định danh com dạng phản hồi (5) Sử dụng địa IP này, trình phân giải DNS đệ quy yêu cầu địa IP máy chủ định danh SLD từ máy chủ định danh com (6) Máy chủ định danh com gửi lại địa IP máy chủ định danh google.com dạng phản hồi (7) Với địa IP, Trình phân giải DNS đệ quy yêu cầu địa IP cho www.google.com từ máy chủ định danh google.com 10 (8) Máy chủ định danh google.com gửi lại địa IP www.google.com cho trình phân giải DNS đệ quy (9) Trình phân giải DNS đệ quy gửi lại địa IP www.google.com cho máy khách dạng phản hồi Cuối cùng, với địa IP (172.217.7.197 ví dụ này), máy khách kết nối với máy chủ www.google.com Khung DNS bao gồm ba phần sau: (1) Máy khách: Họ yêu cầu địa IP với tên miền thông qua trình phân giải sơ khai, máy khách DNS truyền yêu cầu đến địa máy chủ DNS cục đặt thiết bị (2) Máy chủ DNS cục (phân giải DNS đệ quy): Chúng nhận truy vấn DNS từ máy khách lấy địa IP cho tên miền từ máy chủ định danh miền Ngoài ra, địa IP sau tìm thấy lưu trữ nhớ khoảng thời gian định Vì vậy, gọi phân giải nhớ đệm (Caching Resolver) (3) Máy chủ tên miền (Máy chủ định danh ủy quyền): Chúng có quản lý địa IP cho tên miền thông tin liên quan đến địa IP Máy chủ định danh ủy quyền bao gồm cấp (Gốc, TLD, Miền cấp thấp hơn) Mỗi máy chủ miền bao gồm máy chủ số máy chủ phụ 1.1.3 Bản ghi tin DNS Ngồi thơng tin liên quan đến địa IP cho tên miền, sở liệu DNS cung cấp thông tin bổ sung cho nhiều loại dịch vụ Bản ghi tài nguyên DNS (RR) có thơng tin bổ sung liên quan đến tên miền phần tử sở liệu máy chủ DNS, sử dụng để phản hồi truy vấn máy khách DNS Một ghi nguồn có bốn trường sau: (Name, Value, Type, TTL) TTL thời gian sống ghi nguồn; xác định nguồn phải bỏ khỏi lưu đệm Trong ví dụ ghi đây, bỏ qua trường TTL Nghĩa trường Name Value phụ thuộc vào Type:  Nếu Type=A Name (tên) tên trạm Value (giá trị) địa IP tên trạm Vì vậy, ghi Type A cung cấp ánh xạ tên trạm chủ tới địa IP chuẩn Ví dụ (relay1.bar.foo.com, 145.37.93.126, A) ghi Type A  Nếu Type=NS Name tên miền (như foo.com) Value tên trạm máy chủ DNS thẩm quyền máy chủ biết cách lấy địa IP trạm chủ miền  Nếu Type=CNAME Value tên trạm tắc cho tên trạm bí danh Name  Nếu Type=MX Value tên tắc máy chủ thư có tên trạm bí danh Name Hình 1.3 cho biết khn dạng tin DNS 11 2.2.1 Chi phí DNSSEC thêm bốn loại ghi vào DNS: RRSIG, DNSKEY, Người ký ủy quyền (DS) Bảo mật Tiếp theo (NSEC) Do ghi mở rộng này, DNSSEC yêu cầu nhiều chi phí so với DNS truyền thống tăng thời gian xử lý kích thước gói Kích thước gói DSSEC lên đến 2000 byte, kích thước UDP RFC định 512 byte Do đó, gói DSSEC bị phân mảnh, dẫn đến lùi DNS Ví dụ: gói DNSSEC bị phân mảnh khơng phân phối cách khóa cơng khai xác minh trước q trình chuyển khóa lưu đệm cục nhận gói liệu DNS ký khóa mới, việc xác minh gói thất bại bị bỏ qua Do đó, người dùng không cung cấp dịch vụ DNS xác thực 2.2.2 Độ phức tạp Việc triển khai DNSSEC phát có vấn đề q trình triển khai Cấu hình sai tăng lên DNSSEC làm tăng đáng kể độ phức tạp sở hạ tầng DNS có Việc định cấu hình sai dẫn đến RR DNSSEC khơng xác vấn đề xác thực, liệu coi giả mạo, liệu xác, khiến dịch tên khơng thành cơng 2.2.3 Trình phân giải không đáng tin cậy Giả sử hệ thống DNSSEC đáng tin cậy xây dựng DNS, hầu hết phản hồi DNS đáng tin cậy Tuy nhiên, có trình phân giải khơng đáng tin cậy để cung cấp phản hồi DNS cuối cung cấp máy chủ DNS an toàn, người dùng Internet bị đe dọa mối đe dọa DNS DNSSEC mạnh mẽ Thông thường, hầu hết người không xem xét mức độ tin cậy trình phân giải DNS cục thiết lập cho họ mà đơn giản sử dụng trình phân giải DNS cục mặc định mạng cung cấp Ví dụ: người dùng thơng thường kết nối Internet qua Wi-Fi cơng cộng, trình phân giải DNS tự động định cấu hình làm mặc định Khai thác vấn đề vậy, kẻ cơng chặn yêu cầu định cấu hình trình phân giải DNS độc hại cung cấp liệu DNS sai cho nạn nhân Để chống lại điều này, chuỗi tin cậy phải mở rộng từ trình phân giải DNS đến người dùng Giao thức cấu hình máy chủ động (DHCP) với vé ủy quyền cách để xác định trình phân giải DNS đáng tin cậy Tuy nhiên, máy chủ DHCP bị vơ hiệu hóa thân khơng đáng tin cậy, tất người dùng mạng bị ảnh hưởng 2.2.4 Phơi bày Danh sách vùng Cơ sở liệu DNS chia thành vùng ghi Mỗi vùng không chứa ghi miền mà cịn chứa tên miền phụ ghi liên quan DNSSEC có chức bảo mật chứng minh kỹ thuật số ghi miền tài nguyên không tồn tại, sử dụng kiểu ghi NSEC (Next Secure) Tuy nhiên, điều giúp người tìm thấy tên tồn khu vực, trình gọi điều tra khu vực Để giải vấn đề này, trình tiêu chuẩn hóa NSEC3 RR hồn thành, 19 bị ảnh hưởng nghiêm trọng máy chủ DNS NSEC3 độc hại không triển khai tiêu chuẩn Ngoài ra, chuyển vùng sử dụng để đồng hóa tệp vùng máy chủ DNS phụ Để đồng hóa tệp vùng máy chủ DNS, thường thực cách sử dụng NFS chức chuyển vùng chuyên biệt Mặc dù việc truyền tệp vùng cần thiết, việc chuyển cấu hình sai gây mối đe dọa nghiêm trọng việc rò rỉ thông tin 2.2.5 Khả triển khai DNSSEC thấp DNSSEC cung cấp khả bảo mật mạnh mẽ nhiều cho DNS, bị cản trở việc triển khai chậm DNSSEC Theo Báo cáo Hiệp hội Internet vào năm 2016 [34], vùng TLD ký kết với DNSSEC khoảng 90%, SLD 65% vùng hỗ trợ DNSSEC Ngồi ra, xem xét việc sử dụng trình phân giải xác thực DNSSEC khoảng 26%, tỷ lệ triển khai thấp Báo cáo việc triển khai DANE, giúp tăng cường lỗ hổng DNSSEC, mức thấp 2.2.6 Khuếch đại phản xạ Mối đe dọa DDoS DNSSEC phương tiện khả thi cho công khuếch đại phản xạ Do thông tin bổ sung gây chữ ký số phức tạp, ghi DNSSEC lớn đáng kể so với phản hồi DNS bình thường Trung bình, kích thước phản hồi "BẤT KỲ" từ DNSSEC lớn 28 lần so với phản hồi "BẤT KỲ" DNS thông thường, làm cho công khuếch đại phản xạ chí cịn gây hại 20 CHƯƠNG 3: TẤN CỐNG DNS Phần trình bày kỹ thuật đại công DNS, phân loại đánh giá chúng Nói chung, cơng DNS công nhắm vào nhiều máy chủ DNS Internet, sử dụng lỗ hổng DNS DNSSEC mô tả phần trước Mục tiêu công DNS làm cạn kiệt tài nguyên hệ thống nhắm mục tiêu làm hỏng liệu, làm cho hệ thống DNS không khả dụng khai thác hệ thống để đạt công cuối Hiện tại, công nhận quan tâm đáng kể từ nhà nghiên cứu, phủ ngành công nghiệp, chúng gây rủi ro đáng kể cho người dùng Internet Các công DNS chia thành bốn loại: giả mạo liệu DNS, làm ngập liệu DNS, lạm dụng DNS cấu trúc máy chủ DNS Hình 3.1 cho thấy danh sách 11 công DNS phân loại Hình Các cơng DNS 3.1 Giả mạo liệu DNS Giả mạo liệu DNS xảy kẻ công chiếm đoạt và/hoặc xâm phạm liệu DNS khơng mã hóa người dùng máy chủ DNS, sau người dùng nhận thông tin dịch địa sai Tấn công dựa lỗ hổng liệu DNS không an tồn Hình 3.2 cho thấy cơng giả mạo liệu DNS điển hình xảy Các công DNS sử dụng giả mạo liệu liệt kê  DA01 Nhiễm độc nhớ cache DNS  DA02 Kaminsky  DA03 Chiếm quyền điều khiển DNS 21 Hình Tấn công DNS: Giả mạo liệu DNS QID: ID truy vấn; "-a", "-b": thứ tự quy trình 3.2 Tràn ngập liệu DNS Nói chung, mục tiêu cơng tràn vơ hiệu hóa chức máy chủ người dùng cách áp đảo máy chủ, cản trở việc phân giải tên DNS cho vùng Thơng qua cơng tràn ngập liệu DNS, kẻ công cố gắng làm cạn kiệt tài nguyên máy chủ với lượng lớn truy vấn hợp lệ, áp đảo tài nguyên máy chủ cản trở khả phản hồi máy chủ yêu cầu hợp pháp Hình 3.3 mô tả phương pháp cụ thể việc làm tràn liệu DNS 3.2.1 DA04 Tấn công tràn ngập DNS Tấn công tràn ngập DNS cố gắng làm cạn kiệt tài ngun phía máy chủ thơng qua loạt yêu cầu UDP từ nhiều máy bị nhiễm phần mềm độc hại Máy chủ DNS, dựa vào giao thức UDP để phân giải tên, khơng phân biệt gói UDP lớn với u cầu thơng thường Những kẻ công gửi khối lượng lớn gói tin, bắt chước yêu cầu DNS hợp pháp đến máy chủ DNS, khiến máy chủ DNS cạn kiệt tài nguyên để xử lý yêu cầu hợp pháp 22 Hình 3.Tấn cơng DNS: DNS Data Flooding 3.2.2 DA05 Tấn công DDoS phản xạ khuếch đại DNS Sự khác biệt rõ ràng công DoS phản xạ/khuếch đại DNS công làm ngập DNS mục tiêu công Trong công tràn ngập DNS làm suy giảm khả máy chủ DNS, công phản xạ khuếch đại DNS cố gắng bão hòa dung lượng mạng với lưu lượng băng thông lớn Cuộc công lợi dụng lỗ hổng trình phân giải mở bên thứ ba mạng kết hợp phản xạ khuếch đại Kẻ công gửi truy vấn yêu cầu nhỏ đến nhiều máy chủ DNS đệ quy mở, với địa IP nguồn giả mạo Yêu cầu tạo để tạo gói phản hồi lớn Thông qua công phản xạ khuếch đại đồng thời, máy chủ DNS đệ quy mở tạo số phản hồi DNS hợp pháp cuối cùng, máy chủ nạn nhân bị công DDoS Để giảm thiểu công khuếch đại DNS vậy, số hướng dẫn bảo mật ban hành, nhiên, công khuếch đại phổ biến năm gần 3.2.3 DA06 Tên miền phụ ngẫu nhiên Tấn công tên miền phụ ngẫu nhiên kiểu công làm ngập liệu DNS khác, gửi loạt yêu cầu DNS ngẫu nhiên cho tên miền không tồn Để thành công công tên miền phụ ngẫu nhiên, kẻ công trước tiên lây nhiễm cho nhiều máy khách Máy khách bị nhiễm tạo truy vấn yêu cầu cách thêm chuỗi miền phụ tạo ngẫu nhiên vào miền đích nạn nhân Mỗi máy khách gửi nhiều truy vấn đến máy chủ đệ quy DNS, máy chủ cố gắng giải chúng máy chủ khác Bởi máy chủ liên tục phản hồi miền không tồn tại, yêu cầu tra cứu ngẫu nhiên cuối cạn kiệt tài nguyên giới hạn, điều làm chậm dừng phản hồi tra cứu hợp pháp tất miền kiểm soát máy chủ DNS Các công sử dụng cho công DDoS chống lại máy chủ tên miền 23 3.3 Lạm dụng DNS Các công mạng hoạt động mạng botnet sử dụng máy chủ Command Control (C&C) Máy chủ C&C máy chủ điều khiển giao tiếp kẻ công PC zombie (được gọi Botnet) để cơng mục tiêu Hình Mô tả công DNS cách lạm dụng DNS Kẻ công sử dụng máy chủ C&C để gây khó khăn cho việc tìm nguồn gốc công mở rộng quy mô lên số lượng lớn bot Để chống lại phát triển phương pháp phát máy chủ C&C, kẻ công khai thác DNS để che giấu vị trí máy chủ C&C lấy cắp lưu lượng truy cập để che giấu công Để vượt qua tường lửa, kẻ công cố gắng gửi lệnh độc hại từ bên mạng tới máy chủ C&C bên Trong trường hợp vậy, kẻ cơng che giấu thơng tin máy chủ C&C cách sử dụng ghi DNS (DNS TTL, NXDOMAIN) dường vơ hại, trình bày hình 3.4 3.4 Cấu trúc máy chủ DNS Như chúng tơi đề cập phần trước, DNS có vấn đề cấu trúc Trong cấu trúc phân cấp, miền cấp thấp không tồn có cố, truy vấn DNS 24 xử lý từ cấp cao bị lỗi Do điểm yếu cấu trúc, DNS dễ dàng bị công, dẫn đến số lượng lớn nạn nhân kết nối với máy chủ DNS Kẻ cơng sử dụng Miền khơng tồn (NXDOMAIN) Miền ảo để công 3.5 Đánh giá cơng DNS Có năm tiêu chí để đánh giá công DNS: Phương thức công, mô tả Yếu tố hiệu ứng phân loại công theo kết dự kiến chúng Yếu tố chế độ công đề cập đến việc cơng thụ động hay có chủ đích Nguồn công/Mục tiêu phân loại đa dạng (các) nguồn công (các) mục tiêu Yếu tố Vị trí mục tiêu cơng: trực tiếp vào hạ tầng DNS (nội bộ)/gián tiếp qua hạ tầng DNS (bên ngồi) Dựa đánh giá, Hình 3.5 cho thấy phân loại cơng DNS theo mục đích:  Máy chủ DNS Không thể/Chậm phản hồi: Các công nhắm mục tiêu vào máy chủ DNS Kẻ công gửi loạt truy vấn đến máy chủ DNS, sau máy chủ DNS buộc phải sử dụng hết tài nguyên máy chủ để xử lý truy vấn khổng lồ Cuối cùng, máy chủ DNS khơng hoạt động bình thường khơng thể cung cấp dịch vụ miền cho người dùng  Tấn công máy chủ mục tiêu cụ thể: Các công nhắm mục tiêu máy chủ cụ thể Kẻ công cố gắng gửi lưu lượng truy cập lớn đến máy chủ mục tiêu thông qua việc tràn ngập từ máy chủ DNS Những kẻ cơng khai thác trình phân giải DNS mở để khuếch đại lưu lượng truy cập lớn, với tư cách bên thứ ba Máy chủ nạn nhân nhận số phản hồi DNS hợp pháp cuối cùng, bị công từ chối dịch vụ  Trang web độc hại: Các công cung cấp trang web độc hại cho nạn nhân bất chấp yêu cầu với tên miền bình thường công Đầu độc DNS Bằng cách thao túng truy vấn phản hồi thơng thường, kẻ cơng 25 thu thập khai thác bất hợp pháp thông tin người dùng cách cung cấp địa IP khơng có thật cho người dùng  Tấn cơng ẩn: Các công lạm dụng máy chủ DNS để ẩn vị trí cơng thơng báo công Kẻ công cố gắng che giấu vị trí máy chủ C&C lấy cắp lệnh botnet khỏi C&C, chúng lợi dụng lỗ hổng DNS nội Hình Phân loại cơng DNS theo mục đích 26 CHƯƠNG 4: GIẢM THIỂU CÁC CUỘC TẤN CÔNG DNS Mặc dù DNS phải hứng chịu nhiều công, nỗ lực nhà nghiên cứu nhằm giảm thiểu công diễn Đặc biệt, DNSSEC, sản phẩm từ nỗ lực họ, giúp đảm bảo tính tồn vẹn liệu DNS khơng đáng tin cậy lỗ hổng DNS Ngồi ra, nhiều phương pháp tiên tiến khác giới thiệu để khắc phục số hạn chế Phần mô tả ngắn gọn phương pháp giảm thiểu cơng 4.1 DNSSEC DNS dự phịng Các công DNS phổ biến, chẳng hạn nhiễm độc nhớ cache công giả mạo, thường dễ xảy cách giả mạo liệu DNS truy vấn DNS Được thiết kế để khắc phục vấn đề này, DNSSEC sử dụng chữ ký số để xác thực nội dung phản hồi DNS, ngăn chặn việc sử dụng liệu DNS giả mạo nâng cao độ tin cậy truy vấn DNS Như trình bày phần 2, DNSSEC gặp phải độ phức tạp cao kỹ thuật, chi phí cao khả triển khai thấp Vào năm 2018, NS1 phát triển hướng dẫn DNSSEC để DNSSEC định cấu hình xác sử dụng dễ dàng Tuy nhiên, điều không giải tất vấn đề bảo mật DNS, bao gồm lỗ hổng công DDoS Độ dài bổ sung phản hồi DNSSEC làm trầm trọng thêm vấn đề phản xạ khuếch đại (các công DDoS) Tình khó xử thách thức lớn mà DSSEC phải giải tương lai Máy chủ DNS dự phòng giải pháp cho cơng vào tính khả dụng Tiêu chuẩn DNS quy định tối đa tám máy chủ dự phịng sử dụng để dự phòng, để máy chủ không đáng tin cậy không khả dụng, máy chủ khác cung cấp tra cứu tên cho người dùng Tuy nhiên, cài đặt sử dụng thực tế doanh nghiệp ISP, việc dự phòng khuyến nghị từ lâu 27 4.2 Các hệ thống giảm thiểu cơng DNS có Một số cách tiếp cận để bảo mật DNS đề xuất Chúng mô tả hệ thống cách nhóm chúng thành ba loại: Hệ thống giám sát phát hiện, tiện ích mở rộng bảo mật ghi DNS DNS nâng cao với chức bảo mật bổ sung 4.2.1 Hệ thống giám sát phát DNS dễ bị đe dọa liệu bị làm giả Một cách tiếp cận phát giám sát liệu giả mạo để phân biệt liệu DNS đáng tin cậy Các hệ thống sau hệ thống phòng thủ DNS đại diện bao gồm chức  Hệ thống Kopis: Phát độc lập miền liên quan đến phần mềm độc hại cấp cao hệ thống phân cấp DNS (ví dụ: cấp TLD) cách giám sát lưu lượng mạng Đặc biệt, Hệ thống Kopis phân tích luồng truy vấn phản hồi DNS máy chủ định danh có thẩm quyền Từ lưu lượng DNS giám sát, họ trích xuất tính thống kê đa dạng vị trí mạng thơng tin tập IP mà tên miền phân giải Kopis dự đốn miền liên quan đến phần mềm độc hại dựa mẫu lưu lượng giám sát với phân loại thống kê xác định từ thông tin cấp DNS cao Ngay khơng có thơng tin IP tại, Kopis phát xác miền liên quan đến phần mềm độc hại  Hệ thống theo dõi tên miền: Hệ thống phát phát tên miền độc hại với tính văn cục tồn cầu dựa machine learning Hệ thống sử dụng ba tính văn miền  tính từ vựng: kết hợp liệu đặc trưng có cung cấp hệ thống số lượng ký tự đặc biệt ký tự số tên miền số ký tự số liên tục, để dễ dàng tìm kiếm chuẩn hóa khn mẫu  tính bắt chước: xem xét khoảng cách tên miền  tính bi-gram: xem xét giống phân bố chữ tên miền 28  Anax: Hệ thống bảo vệ DNS phát công nhiễm độc nhớ cache cách sử dụng tập hợp lớn máy chủ DNS đệ quy mở (ORDNS), xác định nhớ cache DNS bị nhiễm độc thông qua ghi DNS  Hệ thống Notos: hệ thống danh tiếng động để tính tốn điểm số tên miền Mục đích để xác định xem miền hợp pháp hay độc hại cách sử dụng tính đặc điểm riêng biệt miền độc hại 4.2.2: Tiện ích mở rộng bảo mật ghi DNS Bản ghi DNS cung cấp thông tin miền mà người dùng cần Nhiều thơng tin thêm vào để cung cấp tính tồn vẹn liệu cải thiện/mở rộng tin cậy Một số phương pháp cố gắng làm với chi phí thấp DNSSEC  Chữ ký giao dịch (TSIG) sử dụng Thuật toán CGA (Địa tạo mật mã) IPv6: DNS có cố bảo mật máy khách trình phân giải DNS trình phân giải không đáng tin cậy thảo luận phần 'Lỗ hổng bảo mật' Để giải vấn đề này, TSIG sử dụng TSIG thiết lập mối quan hệ tin cậy máy khách máy chủ DNS Q trình khơng cung cấp xác thực đầu cuối mà cịn bảo tồn liệu chúng Tuy nhiên, TSIG phải đối mặt với vấn đề yêu cầu khóa trao đổi thủ cơng Một giải pháp cho vấn đề phân phối TSIG sử dụng CGA TSIG-CGA cung cấp cách tự động để thương lượng khóa bí mật chia sẻ, với việc xác thực máy chủ lưu trữ thông qua thuật toán CGA IPv6  Xác thực dựa DNS thực thể đặt tên (DANE): DANE tận dụng nguồn tin cậy DNSSEC cung cấp để xác thực chứng bảo mật lớp truyền tải (TLS) Thông qua ghi TLSA phân cấp DNS, DNSSEC xác minh tính tồn vẹn liệu DNS DANE thiết kế để cung cấp mỏ neo tin cậy mạnh mẽ cách sử dụng DNS làm gốc DANE sử dụng để giải vấn đề liên quan đến lỗ hổng CAs thông qua việc sử dụng loại ghi nguồn DNS mới, TLSA, ký DNSSEC Do đó, DANE cho phép người dùng TLS kiểm sốt việc xác thực chứng tốt 29  DNS qua HTTPS (DoH): DoH giao thức web tiêu chuẩn để gửi lưu lượng DNS qua HTTPS DNS over HTTPS bảo vệ bạn cách gửi truy vấn kết nối mã hóa, điều giúp hacker khơng thể biết bạn truy vấn địa IP cho tên miền Kế đó, DNS over HTTPS giúp bạn xác minh xem nội dung trả (bao gồm IP máy chủ) có gửi từ máy chủ DNS gốc hay khơng, có bị thay đổi lúc truyền hay không Đây cách mà giao thức HTTPS hoạt động 4.2.3 DNS nâng cao với chức bảo mật bổ sung Theo hệ thống theo dõi triển khai DNSSEC SecSpider, khu vực hỗ trợ DNSSEC có số lượng khoảng 3,3 triệu Dường việc triển khai hoàn toàn DNSSEC nhiều thời gian có nhiều nỗ lực Vì vậy, chức bảo mật bổ sung cho DNS bắt buộc Sau số phương pháp để cải thiện bảo mật DNS (1) Máy chủ proxy DNS (DPS) BIND: cách tiếp cận để phát công nhiễm độc nhớ cache sau gửi yêu cầu bổ sung cho Bản ghi tài nguyên DNS tương tự cách sử dụng proxy cục cho máy chủ lưu trữ BIND Hệ thống phòng thủ làm cho cơng nhiễm độc nhớ cache trở nên khó khăn (2) T-DNS: T-DNS sử dụng TCP TLS để cung cấp bảo mật DNS T-DNS cung cấp liệu DNS an tồn thơng qua mã hóa TCP, giảm tác động công DoS cách thiết lập kết nối lẫn khắc phục hạn chế kích cỡ phản hồi UDP DNS dựa TLS cung cấp quyền riêng tư an toàn hơn, hỗ trợ tải trọng lớn giảm thiểu công DDoS giả mạo phản ánh so với việc sử dụng giao thức UDP có Tuy nhiên, vấn đề TCP độ trễ nhu cầu tài nguyên (3) S-DNS: Dựa biện pháp dự đốn phân tích thời điểm, S-DNS giảm thiểu công trung gian hệ thống phân cấp DNS Giao thức có tác dụng làm giảm xác suất công cung cấp chế bảo mật đơn giản với tính tốn nhẹ chi phí chung (4) Giới hạn tốc độ phản hồi: Một chế bảo vệ để giảm tác động công khuếch đại/phản xạ DNS Máy chủ DNS phản hồi số lần giới hạn yêu cầu phân giải tên miền từ địa IP cụ thể, làm cho việc công nạn nhân tràn lưu lượng truy cập khó khăn 30 Đánh giá tổng thể hệ thống giảm thiểu công DNS: (1) DNSSEC cải tiến lớn DNS bị khai thác cho công DDoS Theo báo cáo năm 2019 Neustar phát hành, số lượng cơng DDoS tăng 133% kích cỡ cơng DDoS trung bình 7,5 Gbps so với năm 2018 (2) Hầu hết hệ thống giám sát phát quan sát lưu lượng DNS độc hại, bảo vệ khỏi công Tuy nhiên, cách sử dụng hệ thống giảm thiểu này, lọc bảo vệ khỏi công liệu DNS (3) TSIG với CGA DANE giải pháp để khắc phục hạn chế DNSSEC giải pháp thay đầy hứa hẹn 4.3 Nhà cung cấp DNS bảo mật/doanh nghiệp Không giống hệ thống giảm thiểu DNS cung cấp chức bảo mật bổ sung kỹ thuật giám sát/phân tích/phát hiện, openDNS cơng ty tổ chức lớn đảm bảo an ninh, độ tin cậy tốc độ cải thiện lựa chọn tốt để bảo vệ chống lại số cơng DNS Nó gọi Secure/Enterprise DNS, dịch vụ DNS nhanh đáng tin cậy từ tổ chức lớn Enterprise DNS quản lý tập trung kiến trúc bảo mật để đảm bảo dịch vụ DNS tinh vi đáng tin cậy Hình Danh sách 10 nhà cung cấp DNS doang nghiệp 31 Để hiểu rõ tình hình DNS doanh nghiệp tại, đánh giá danh sách 10 nhà cung cấp DNS doanh nghiệp lớn đưa Hình 4.1 Mỗi tổ chức cung cấp openDNS thiết bị họ thiết lập sử dụng Ngoại trừ Microsoft Azure Oracle, hầu hết nhà cung cấp hỗ trợ DNSSEC Azure Oracle bảo vệ DNS thông qua hệ thống họ Một yếu tố khác hỗ trợ hồ sơ Cơ quan Chứng nhận Minh bạch Chứng nhận (CAA), kỹ thuật để bù đắp cho điểm yếu khiếm khuyết hệ thống chứng PKI Trong tất tổ chức cung cấp Tính minh bạch chứng chỉ, số tổ chức không cung cấp hồ sơ CAA Bất kể DoH hay DoT có hỗ trợ hay khơng, đánh giá hỗ trợ giải pháp bảo mật cho chứng Hầu hết tất nhà cung cấp hỗ trợ DoH và/hoặc DoT, ngoại trừ Oracle Verisign Chúng kỳ vọng hỗ trợ DoH/DoT tăng lên theo thời gian Cuối cùng, tất nhà cung cấp cung cấp TLS 1.2 để truyền mật mã, đặc biệt Google, Cloudfare Quad9 hỗ trợ DoH, lên đến TLS 1.3 Do đó, tổ chức dự kiến cung cấp DoH ổn định dựa TLS 1.3 tương lai 32 KẾT LUẬN Bài tiểu luận trình bày khảo sát bảo mật DNS Nền tảng DNS DNSSEC mô tả, kèm theo giải thích động lực DNSSEC DNS yếu tố cần thiết cho hoạt động bình thường Internet, bị nhiều loại cơng khác nhau, lỗ hổng bảo mật, thiếu áp dụng rộng rãi kỹ thuật giảm thiểu có sẵn hạn chế kỹ thuật Các lỗ hổng mô tả công DNS phân loại dựa lỗ hổng Ngồi ra, số phương pháp đề xuất tài liệu để bảo vệ chống lại cơng tóm tắt Cuộc khảo sát cung cấp phân tích hữu ích để hiểu DNS DNSSEC mặt an ninh mạng Cụ thể, việc phân loại cơng DNS hỗ trợ việc hiểu phân tích công DNS tương lai Bài tiểu luận cung cấp phân loại công DNS Việc phân tích hệ thống giảm thiểu khác cung cấp số cho phát triển DNS tương lai Các lựa chọn thay đầy hứa hẹn cho DNSSEC bao gồm DANE/TLSA DNS-over-HTTPS Ngay phương pháp tiếp cận dễ hơn, phù hợp để triển khai Internet of Things, cần thiết 33 ... vấn đề bảo mật DNS khác (tức tra cứu thư mục) củng cố an ninh mạng, giao thức mở rộng bảo mật DNS (DNSSEC) phát triển DNSSEC ghép chế chữ ký số mật mã học khóa công khai vào hệ thống DNS DNSSEC... ký số với Mật mã khóa cơng khai, DNSSEC đảm bảo tính toàn vẹn xác thực cho liệu DNS 1.2.1 Mục đích DNSSEC DNSSEC tăng cường đáng kể bảo mật DNS cách thêm Mật mã khóa cơng khai vào DNS có Ví dụ:... hiệu việc giảm thiểu công DNS đánh giá Bài tiểu luận tổ chức sau Phần cung cấp thông tin DNS DNSSEC Phần mô tả lỗ hổng bảo mật DNS DNSSEC Phần giải thích cơng DNS điển hình đe dọa người dùng Internet,