Tấn công giả mạo thông tin trong DNS là mối đe dọa lớn cho tính toàn vẹn của dữ liệu trên Internet. DNS Spoofing, DNS Cache Poisoning và ManintheMiddle là những kỹ thuật phổ biến. Để đối phó, triển khai DNSSEC là giải pháp hiệu quả. DNSSEC sử dụng chữ ký số để xác minh tính xác thực của dữ liệu DNS, ngăn chặn thông tin giả mạo và cung cấp một lớp bảo mật mạnh mẽ. Các thành phần như Digital Signatures, DNSKEY và RRSIG Resource Records đóng vai trò quan trọng. Quá trình kiểm thử DNSSEC trước khi trả lại dữ liệu giúp bảo vệ hệ thống khỏi các tình huống đe dọa và tăng cường sự tin cậy của dịch vụ DNS.
TỔNG QUAN VỀ GIAO THỨC DNS
GIỚI THIỆU GIAO THỨC DNS
Mỗi thiết bị kết nối vào Internet giao tiếp qua địa chỉ IP (Internet Protocol) Để dễ nhớ và sử dụng, chúng ta sử dụng tên miền (domain name) để xác định các thiết bị Hệ thống tên miền (Domain Name System) giúp chuyển đổi tên miền thành địa chỉ IP.
Khi cần kết nối với các máy chủ, người dùng có thể sử dụng tên miền dễ nhớ như www.microsoft.com hay www.ibm.com, thay vì phải nhớ địa chỉ IP phức tạp và dài dòng.
Trước khi có DNS, người dùng phải dựa vào file Host.txt để lưu trữ thông tin về tên host và địa chỉ IP của tất cả các máy trong mạng File này được lưu trên mọi máy, khiến việc truy cập giữa các máy trở nên khó khăn, đặc biệt khi có sự thay đổi về tên host hoặc địa chỉ IP, vì cần phải cập nhật tất cả các file Host.txt Để khắc phục vấn đề này, vào năm 1984, Paul Mockpetris thuộc Viện Khoa học Thông tin USC đã phát triển Hệ thống tên miền (DNS) nhằm quản lý tên miền một cách hiệu quả hơn.
Hệ thống tên miền sử dụng file host.txt để lưu trữ thông tin của tất cả các máy trong mạng, và file này chỉ được đặt trên máy chủ tên miền (DNS) Khi các Client trong mạng cần truy cập vào các Client khác, chúng chỉ cần gửi yêu cầu đến DNS.
Như vậy, mục đích của DNS là :
- Phân giải địa tên máy thành địa chỉ IP và ngược lại.
1.2 Cấu trúc của hệ thống tên miền
- Hiện nay hệ thống tên miền được phân thành nhiêu cấp :
- Gốc (Domain root) : Nó là đỉnh của nhánh cây của tên miền Nó có thể biểu diễn đơn giản chỉ là dấu chấm “.”
- Tên miền cấp một (Top-level-domain) : gồm vài kí tự xác định một nước, khu vưc hoặc tổ chức Nó đươc thể hiện là “.com” , “.edu” ….
- Tên miền cấp hai (Second-level-domain): Nó rất đa dạng rất đa dạng có thể là tên một công ty, một tổ chức hay một cá nhân.
Tên miền cấp nhỏ hơn, hay còn gọi là subdomain, là phần mở rộng của tên miền cấp hai, thường được sử dụng để phân chia các chi nhánh hoặc phòng ban của một tổ chức, doanh nghiệp hoặc để tổ chức nội dung theo các chủ đề cụ thể.
CÁC LOẠI DNS SEVER VÀ VAI TRÒ CỦA NÓ
Các DNS Server bao gồm:
2.1 Root Name Servers là gì? Đây là máy chủ tên miền chứa các thông tin, để tìm kiếm các máy chủ tên miền lưu trữ (authority) cho các tên miền thuộc mức cao nhất (top-level-domain) Máy chủ ROOT có thể đưa ra các truy vấn (query) để tìm kiếm tối thiểu các thông tin về địa chỉ của các máy chủ tên miền authority thuộc lớp top-level-domain chứa tên miền muốn tìm.
Các máy chủ tên miền ở cấp độ top-level-domain cung cấp thông tin về địa chỉ máy chủ authority cho tên miền ở cấp độ second-level-domain Quá trình tìm kiếm diễn ra liên tục cho đến khi xác định được máy chủ tên miền authority cho tên miền cần tìm Nhờ cơ chế này, người dùng có thể tìm kiếm bất kỳ tên miền nào trong không gian tên miền.
Quá trình tìm kiếm tên miền bắt đầu bằng các truy vấn gửi tới máy chủ ROOT, và nếu các máy chủ này không hoạt động, quá trình sẽ không diễn ra Hiện nay, Internet có 13 hệ thống máy chủ tên miền ở mức ROOT, được phân bố tại nhiều vị trí khác nhau để đảm bảo hoạt động liên tục của hệ thống.
Hình 1: Các nhánh gốc của máy chủ hay còn gọi là Root name server
2.2 Local Name Servers là gì?
Máy chủ này lưu trữ thông tin quan trọng để tìm kiếm tên miền và các máy chủ liên quan đến tên miền cấp thấp hơn Thông thường, nó được duy trì bởi các doanh nghiệp và nhà cung cấp dịch vụ Internet (ISP).
Hình 2: Hệ thống máy chủ DNS riêng của mỗi đơn vị
CÁC LOẠI TRUY VẤN DNS
Trong một tra cứu DNS điển hình, việc sử dụng kết hợp các truy vấn có thể tối ưu hóa quy trình phân giải DNS, giúp giảm khoảng cách di chuyển Trong trường hợp lý tưởng, dữ liệu bản ghi lưu trong bộ nhớ cache sẽ sẵn có, cho phép máy chủ định danh DNS trả về một truy vấn không đệ quy.
3.1 Truy vấn đệ quy ( recursive query)
Khi một máy khách DNS gửi truy vấn đến máy chủ DNS, nó thực hiện truy vấn đệ quy Máy chủ DNS có khả năng trả lời các yêu cầu dữ liệu từ các host hoặc thông báo rằng tên miền không tồn tại Ngoài ra, máy chủ DNS cũng có thể chuyển tiếp các truy vấn đệ quy đến các máy chủ DNS khác nếu được cấu hình phù hợp.
Hình 3: Truy vấn đệ quy
Khi nhận được yêu cầu, máy chủ DNS sẽ đầu tiên kiểm tra bộ nhớ cache của mình để xác định xem có dữ liệu liên quan hay không Tiếp theo, nó sẽ xem xét khả năng thẩm quyền đối với tên miền trong yêu cầu Nếu máy chủ có thông tin cần thiết và đủ thẩm quyền, nó sẽ gửi phản hồi với câu trả lời chính xác.
3.2 Truy vấn lặp đi lặp lại ( iterative query)
Khi một DNS server không có câu trả lời và không được cấu hình để chuyển tiếp yêu cầu, nó sẽ hoạt động như một client DNS server, thực hiện truy vấn thay cho client Client DNS server sẽ sử dụng cơ chế phân cấp của DNS để tìm câu trả lời chính xác thông qua các truy vấn lặp đi lặp lại (iterative query) Ví dụ, khi người dùng nhập www.contoso.com vào trình duyệt và client DNS server không có câu trả lời, nó sẽ liên hệ với root DNS server để lấy thông tin Tiếp theo, client DNS server sẽ kết nối với máy chủ tên miền com để tìm thông tin về contoso.com và sau đó tiếp tục truy vấn máy chủ tên miền của contoso.com để lấy địa chỉ IP của www.contoso.com Cuối cùng, sau khi nhận được địa chỉ IP, client DNS server sẽ trả lời cho client và lưu trữ địa chỉ này trong cache để phục vụ cho các truy vấn sau.
Trong một số trường hợp, máy chủ DNS của client không có thông tin cần thiết và không thể tìm ra câu trả lời Khi đó, máy chủ DNS sẽ thông báo cho client rằng nó không thể tìm thấy thông tin hoặc truy vấn tên miền không tồn tại.
Hầu hết các DNS client cấu hình với hai hoặc nhiều DNS server (trong phần cấu hình
Máy chủ DNS thứ hai chỉ thực hiện truy vấn DNS khi máy chủ đầu tiên không khả dụng Nếu máy chủ DNS đầu tiên hoạt động nhưng không cung cấp câu trả lời cho truy vấn, các máy chủ DNS tiếp theo sẽ không được sử dụng.
3.3 Truy vấn Non-recursive query
Khi một DNS resolver client truy vấn máy chủ DNS, điều này thường xảy ra khi máy chủ có quyền truy cập vào bản ghi hoặc khi bản ghi đã được lưu trong bộ đệm của máy chủ Máy chủ DNS thường lưu trữ các bản ghi này để tiết kiệm băng thông và giảm tải cho các máy chủ DNS khác.
CÁC LOẠI BẢN GHI DNS
Bản ghi CNAME (CNAME Record) cho phép bạn tạo một tên miền mới, điều chỉnh để trỏ tới tên miền gốc và thiết lập thời gian sống (TTL) Nói tóm lại, nếu tên miền chính muốn sử dụng một hoặc nhiều tên miền khác, việc sử dụng bản ghi CNAME là cần thiết.
Bản ghi A là loại bản ghi DNS phổ biến nhất, được sử dụng để liên kết tên miền với một địa chỉ IP cụ thể Nó cho phép thiết lập Time to Live (TTL) để xác định thời gian mà bản ghi được lưu trữ, cùng với việc chỉ định tên miền mới và địa chỉ IP mà nó trỏ tới.
An MX Record allows you to direct your domain to a mail server, set the TTL, and specify the priority level It designates which server is responsible for managing the email services associated with that domain.
Bản ghi AAAA cho phép bạn trỏ tên miền đến địa chỉ IPv6, đồng thời hỗ trợ việc thêm Host mới và xác định TTL Đây là thông tin cần thiết để định dạng văn bản cho tên miền của bạn.
An SRV Record is a special type of DNS record used to specify which service is running on which port It allows you to define parameters such as Name, Priority, Port, Weight, Points to, and TTL, ensuring accurate service identification and routing.
NS Record: Với bản ghi này, có thể chỉ định Name Server cho từng Domain phụ Có thể tạo tên Name Server, Host mới, TTL.
CÁC BƯỚC TRONG TRA CỨU DNS
Thông tin tra cứu DNS thường được lưu trữ trong bộ nhớ cache của máy tính hoặc trong cơ sở hạ tầng DNS từ xa Quy trình tra cứu DNS bao gồm 8 bước, nhưng khi thông tin đã được lưu trong bộ nhớ cache, các bước này sẽ được bỏ qua, giúp tăng tốc độ tra cứu Dưới đây là ví dụ về 8 bước trong quy trình tra cứu DNS khi không có cache.
Bước 1 : Một người dùng nhập “example.com” vào trình duyệt web và truy vấn trên Internet Và được nhận bởi DNS Recursive Resolver.
Bước 2 : Resolver sau đó truy vấn một root nameserver DNS (.).
Bước 3: Root Nameserver sẽ phản hồi lại resolver với địa chỉ của máy chủ DNS tên miền cấp cao (TLD), như com hoặc net, nơi chứa thông tin cho các tên miền tương ứng Khi thực hiện tìm kiếm cho example.com, yêu cầu ban đầu sẽ được hướng tới TLD.com.
Bước 4 : Resovler sau đó thực hiện một yêu cầu tới TLD.com.
Bước 5 : Sau đó, máy chủ TLD phản hồi với địa chỉ IP nameserver của domain example.com.
Bước 6 : Cuối cùng, recursive resolver gửi một truy vấn đến nameserver của tên miền.
Bước 7 : Địa chỉ IP cho example.com sau đó được trả về từ nameserver.
Bước 8 : DNS Resovler sau đó trả lời trình duyệt web bằng địa chỉ IP của tên miền được yêu cầu ban đầu.
Khi quá trình tra cứu DNS hoàn tất và trả về địa chỉ IP cho example.com, trình duyệt sẽ gửi yêu cầu HTTP đến địa chỉ IP đó Sau đó, máy chủ tại địa chỉ IP sẽ phản hồi bằng cách cung cấp trang web để hiển thị trong trình duyệt.
CÁC KỸ THUẬT TẤN CÔNG GIẢ MẠO THÔNG TIN TRONG DỊCH VỤ DNS
LỖ HỔNG BẢO MẬT DNS
Có ba lỗ hổng bảo mật chính cần đề phòng đối với DNS:
Máy chủ DNS nội bộ lưu trữ tất cả tên máy chủ và địa chỉ IP liên quan đến tên miền, cung cấp thông tin này cho bất kỳ ai có yêu cầu Điều này khiến DNS trở thành một nguồn thông tin quý giá cho các kẻ tấn công.
DNS Caches có thể bị thao túng, dẫn đến tình trạng máy chủ DNS bị "nhiễm độc" với các bản ghi xấu Khi đó, máy tính có thể bị lừa để truy cập vào các trang web không an toàn.
DNS chuyển tiếp thông tin truy vấn từ các máy trạm nội bộ đến các máy chủ bên ngoài, tạo cơ hội cho các kẻ tấn công thiết lập các kênh bí mật nhằm đánh cắp dữ liệu.
MỤC TIÊU TẤN CÔNG DNS
DNS được tổ chức thành một cấu trúc cây, với cấp đầu tiên chứa các miền cao nhất như com và org, trong khi các nút cấp hai chứa các tên miền truyền thống Hoạt động giống như một cơ sở dữ liệu, DNS được hàng triệu máy tính truy cập để xác định địa chỉ có khả năng giải quyết truy vấn của người dùng Tuy nhiên, trong các cuộc tấn công DNS, tin tặc có thể nhắm vào các máy chủ chứa tên miền hoặc tìm kiếm lỗ hổng trong hệ thống để khai thác cho lợi ích cá nhân.
DNS SPOOFING
3.1 Phương thức tấn công DNS Spoofing
DNS Spoofing là một hình thức tấn công an ninh mạng, trong đó dữ liệu hệ thống tên miền bị thay đổi và lưu vào bộ đệm của trình phân giải DNS Kết quả là máy chủ tên trả về các bản ghi không chính xác, dẫn đến việc lưu lượng truy cập bị chuyển hướng đến máy tính của kẻ tấn công hoặc các máy tính khác.
Người dùng khi truy cập vào địa chỉ mong muốn sẽ bị chuyển hướng đến một địa chỉ IP giả mạo, được tạo ra bởi kẻ tấn công nhằm mục đích đánh cắp thông tin tài khoản ngân hàng của họ.
Hình 4: Mô hình tấn công DNS Spoofing
Có nhiều phương pháp để tấn công DNS Spoof, sau đây là một số phương pháp phổ biến:
Kẻ tấn công sử dụng phương pháp man-in-the-middle để can thiệp giữa trình duyệt web của bạn và máy chủ DNS, nhằm lây nhiễm cả hai Công cụ này cho phép tấn công bằng cách làm nhiễu bộ nhớ cache trên thiết bị của bạn và máy chủ DNS Hậu quả là người dùng bị chuyển hướng đến một trang web độc hại được lưu trữ trên máy chủ của kẻ tấn công.
DNS server hijacking occurs when cybercriminals manipulate server configurations to redirect user requests to malicious websites By inserting fake DNS entries into the DNS server, any IP request for the spoofed domain will lead users to a fraudulent site.
Tấn công DNS cache poisoning thường xuất phát từ các URL trong email spam, nhằm gây hoang mang cho người dùng khi nhấp vào liên kết Hệ quả là, máy tính của người dùng có thể bị lây nhiễm, dẫn đến nhiều rủi ro về bảo mật.
Quảng cáo biểu ngữ và hình ảnh trên email cùng các trang web không đáng tin cậy có thể dẫn dắt người dùng đến mã độc Khi máy tính bị nhiễm, nó sẽ chuyển hướng bạn tới các trang web giả mạo, nơi các mối đe dọa thực sự có thể xâm nhập vào thiết bị của bạn.
3.2 Demo tấn công DNS Spoofing
Bước 1: Kiểm tra địa chỉ IP Attacker (kẻ tấn công).
Bật Terminal gõ lệnh ifconfig Ở đây, địa chỉ IP Attacker là 192.168.21.128
Hình 5: Địa chỉ IP Attacker
Bước 2: Kiểm tra IP của Victim.
Bật Terminal gõ lệnh ipconfig Ở đây, địa chỉ IP Victim là 192.168.21.139
Hình 6: Địa chỉ IP Victim
Bước 3: Kiểm tra Victim có chung dãy mạng không.
Nhập nmap -sP 192.168.21.0/24 trên Kali Linux nếu có địa chỉ của IP Victim thì đặt chung dãy mạng LAN.
Hình 7: Kiểm tra dãy mạng của Victim
Bước 4: Xem File Index để hiển thị nội dung trên Victim.
Bật Terminal nhập mousepad /var/www/html/index.html
Hình 8: Xem File Index mặc định trên Kali Linux
Bước 5: Mở File Index.html.
Hình 9: Index.html mặc định
Bước 6: Mở Index.html trên Kali Linux.
Bước 7: Cấu hình Index.html để hiển thị trên máy Victim.
Hình 11: Cấu hình Index.html để hiển thị trên máy Victim
Bước 8: Bật Apache2 trên Kali Linux.
Bật Terminal nhập service apache2 restart Sau đó nhập service apache2 status Nhìn vào phần Active: active (running) nghĩa là Apache đã chạy
Hình 12: Bật Apache2 trên Kali Linux
Bước 9: Cấu hình File etter.dns.
Bật Terminal nhập mousepad /etc/ettercap/etter.dns Rồi vào cấu hình như trong ảnh.
Hình 13: Cấu hình etter.dns
Bước 10: Khởi động Ettercap trên Kali Linux
Bước 11: Tìm các Host mục tiêu.
Click vào nút Tick ở trên trang chủ Sau đó, chọn nút Search rồi bấm nút Host List là ra các Host mục tiêu
Hình 15: Các Host mục tiêu
Bước 12: Thêm các Host vào các Target.
Cho Host 192.168.21.139 vào Target 1, 192.168.21.2 vào Target 2.
Hình 16: Thêm các Host vào các Target
Bước 13: Tiến hành tấn công ARP Poisoning.
Hình 17: Tiến hành tấn công ARP Poisoning
Bước 14: Sử dụng Plugin để phản hồi dns_spoof.
Hình 18: Sử dụng Plugin để phản hồi dns_spoof
Bước 15: Vào máy Victim nhập google.com sẽ bị trỏ sang trang Web chúng ta đã cấu hình từ trước.
Hình 19: Hiển thị trang Web sau khi bị hack
Bước 16: Kiểm tra google.com của máy Victim trỏ về máy Attacker.
Hình 20: Kiểm tra google.com của máy Victim trỏ về máy Attacker
3.3 Các biện pháp ngăn ngừa tấn công DNS Spoofing Để ngăn ngừa DNS snoofing, bạn có thể thực hiện các biện pháp sau:
- Sử dụng VPN (Virtual Private Network) VPN sẽ mã hóa lưu lượng truy cập của bạn, khiến kẻ tấn công khó nghe trộm hơn.
- Sử dụng trình duyệt bảo mật Các trình duyệt bảo mật thường có các tính năng tích hợp để bảo vệ bạn khỏi DNS snoofing.
- Cập nhật phần mềm của bạn thường xuyên Các bản cập nhật phần mềm thường bao gồm các bản vá bảo mật cho các lỗ hổng DNS snoofing.
DNS CACHE POISONING
4.1 Phương thức tấn công Cache Poisoning
DNS cache poisoning là một dạng tấn công mà kẻ tấn công thêm các bản ghi DNS giả vào bộ nhớ cache, dẫn đến việc chỉ định địa chỉ IP sai cho tên miền hợp pháp Khi người dùng truy cập vào tên miền đó, họ sẽ bị chuyển hướng đến trang web giả mạo.
DNS Cache Poisoning là một phương pháp tấn công máy tính, cho phép kẻ tấn công thêm dữ liệu sai vào hệ thống cache của các máy chủ DNS Kết quả là, các địa chỉ IP không chính xác, thường do kẻ tấn công chỉ định, được trả về cho các truy vấn tên miền, dẫn đến việc người dùng bị chuyển hướng từ một website này sang một website khác Kẻ tấn công khai thác lỗ hổng của phần mềm DNS, vì các hồi đáp DNS không được xác nhận từ các máy chủ xác thực, khiến các bản ghi sai lệch được lưu trữ và phục vụ cho người dùng khác.
Hình 22: Sơ đồ tấn công DNS cache poisoning
Kẻ tấn công có thể thay thế địa chỉ IP trong bản ghi DNS trên máy chủ DNS bằng địa chỉ IP của máy chủ mà họ kiểm soát Trên máy chủ này, kẻ tấn công triển khai phần mềm độc hại, nhằm lừa người dùng khi họ bị chuyển hướng, từ đó dễ dàng lây nhiễm mã độc vào thiết bị của họ.
4.2 Tấn công khuếch đại dữ liệu DNS (Amplification attack)
Sơ đồ tấn công khuếch đại dữ liệu DNS là một trong những phương pháp tấn công nhằm làm nghẽn lưu lượng dịch vụ, thuộc lớp tấn công ánh xạ.
Có hai yếu tố cơ bản cho cách thức tấn công này:
- Địa chỉ tấn công được che giấu nhờ ánh xạ sang một bên thứ ba.
- Lưu lượng mà người bị hại nhận được sẽ lớn hơn lưu lượng gửi từ kẻ tấn công.
4.3 Giả mạo máy chủ DNS (Man in the middle) Đây là cách một số phần mềm quảng cáo hay trojan thường hay thực hiện Đầu tiên,chúng dựng lên các DNS máy chủ, giống với chức năng DNS máy chủ thông thường.Tuy nhiên, các DNS máy chủ này có khả năng điều khiển được để thêm, bớt hay chỉnh sửa các bản ghi DNS nhằm chuyển hướng người dùng tới các địa chỉ IP không chính xác với mục đích: gia tăng quảng cáo, cài mã độc, thay đổi kết quả tìm kiếm…
Hình 24 minh họa sơ đồ tấn công giả mạo máy chủ DNS, trong đó phần mềm độc hại sau khi cài đặt trên máy tính người dùng sẽ thay đổi cấu hình DNS của họ sang địa chỉ DNS đã được thiết lập trước Kết quả là, các truy vấn DNS của người dùng không còn đi qua máy chủ DNS của ISP hoặc cấu hình cá nhân mà thay vào đó đi qua máy chủ DNS của kẻ tấn công.
Một dạng tấn công phổ biến là phần mềm độc hại thay đổi file host trên hệ điều hành Windows, nhằm chỉ định địa chỉ IP cho các website mà kẻ tấn công muốn.
Khi tấn công hệ thống DNS, kẻ tấn công mong muốn thực hiện một số hành vi:
Kẻ tấn công thường lừa người sử dụng truy cập vào các website giả mạo nhằm thực hiện các hành vi lừa đảo, ăn cắp mật khẩu và thông tin đăng nhập Những thông tin này có thể rất quan trọng, bao gồm tài khoản ngân hàng và tài khoản quản trị, cũng như cài cắm phần mềm độc hại vào hệ thống của người dùng.
Kẻ tấn công có thể tăng lưu lượng cho website của mình bằng cách chuyển hướng người dùng từ các trang web phổ biến đến địa chỉ mà họ muốn Khi người dùng truy cập các website này, họ sẽ được chuyển đến địa chỉ IP của website kẻ tấn công, từ đó gia tăng lưu lượng truy cập cho trang web đó.
- Gián đoạn dịch vụ: mục đích này nhằm ngăn chặn người dùng sử dụng một dịch vụ của một nhà cung cấp nào đó.
4.4 Demo tấn công DNS Cache Poisoning
Bước 1: Kiểm tra địa chỉ IP Attacker (kẻ tấn công).
Bật Terminal gõ lệnh ifconfig Ở đây, địa chỉ IP Attacker là 192.168.21.128
Hình 25: Địa chỉ IP Attacker
Bước 2: Kiểm tra IP của Victim.
Bật Terminal gõ lệnh ipconfig Ở đây, địa chỉ IP Victim là 192.168.21.139
Hình 26: Địa chỉ IP Victim
Bước 3: Cấu hình File etter.dns.
Bật Terminal nhập mousepad /etc/ettercap/etter.dns Rồi vào cấu hình như trong ảnh.
Bước 4: Khởi động ettercap để tiến hành tấn công DNS.
Chọn Plugin chọn DNS Spoof.
Hình 28: Sử dụng Plugin để phản hồi dns_spoof
Bước 5: Khởi động công cụ set toolkit trong Terminal.
Bật Terminal nhập sudo su nhập mật khẩu kali sau đó nhập set bấm Enter rồi nhập set toolkit để hiển thị các công cụ.
Hình 29: Màn hình set toolkit
Bước 6: Sử dụng công cụ toolkit để tạo Fake Website giả mạo trang đăng nhập Facebook. Chọn kiểu tấn công Social-Engineering Attacks
- Chọn Credential Harvester Exploit Menthod
- Tiến hành nhập IP máy Kali Linux
Bước 7: Vào máy tính Victim Nhập facebook.com và đăng nhập Facebook.
Hình 31: Trang đăng nhập Facebook trên máy Victim
Bước 8: Vào ettercap và set toolkit để xem thông tin đăng nhập.
Hình 32: Hiển thị thông tin thu thập được của ettercap
Hình 33: Hiển thị thông tin đăng nhập trên set toolkit
4.5 Các biện pháp ngăn ngừa tấn công DNS Cache Poisoning Để ngăn chặn tấn công DNS cache poisoning, bạn có thể thực hiện các biện pháp sau:
Sử dụng DNSSEC là một giải pháp bảo mật hiệu quả giúp xác minh tính toàn vẹn của các bản ghi DNS Khi áp dụng DNSSEC, bạn có thể đảm bảo rằng các phản hồi DNS nhận được đến từ những máy chủ DNS hợp lệ, từ đó tăng cường độ tin cậy và an toàn cho hệ thống của bạn.
Sử dụng trình phân giải DNS của bên thứ ba có thể mang lại sự bảo vệ tốt hơn so với trình phân giải DNS tích hợp sẵn trên máy tính.
- Cập nhật trình duyệt của bạn thường xuyên: Các bản cập nhật trình duyệt thường bao gồm các bản vá bảo mật cho các lỗ hổng DNS cache poisoning.
TỔNG QUAN VÀ DEMO DNSSEC
DNSSEC là gì?
DNSSEC (Mở rộng Bảo mật Hệ thống Tên miền) là công nghệ an ninh nâng cao cho hệ thống DNS (Hệ thống Tên miền) Công nghệ này cung cấp cơ chế xác thực giữa các máy chủ DNS và đảm bảo tính toàn vẹn của từng vùng dữ liệu.
Giới thiệu về DNSSEC
Trước nguy cơ dữ liệu DNS bị giả mạo và sai lệch, công nghệ bảo mật DNSSEC (DNS Security Extensions) đã được nghiên cứu và triển khai nhằm bảo vệ DNS khỏi các mối đe dọa này Giao thức DNS thông thường thiếu công cụ xác thực nguồn gốc dữ liệu, trong khi DNSSEC cung cấp cơ chế xác thực giữa các máy chủ DNS, đảm bảo tính toàn vẹn của dữ liệu và chống lại các cuộc tấn công từ chối dịch vụ DNSSEC được quy định trong các tiêu chuẩn RFC 4033, 4034 và 4035.
DNSSEC có 3 chức năng/nhiệm vụ chính:
- Sender Authentication: Chứng thực dữ liệu cho quá trình gửi đi.
- Data Integrity: Bảo vệ toàn vẹn dữ liệu trong quá trình truyền, giúp người nhận được đảm bảo dữ liệu không bị thay đổi.
Authenticated denial of existence is a crucial security measure that prevents attackers from exploiting non-existent domains by allowing a Resolver to confirm that a specific queried domain does not exist To achieve this, DNSSEC enhances the traditional DNS system, which includes four main components: Delegation, Zone file management, Zone file distribution, and Resolving In addition, DNSSEC introduces several new elements such as Zone File Signing, Verifying, Trust Anchor, Key rollover, DNS Aware, and Key Master As a result, DNSSEC provides five new types of records to bolster domain security.
- Bản ghi khóa DNS (DNSKEY - DNS Key): Sử dụng để chứng thực zone dữ liệu.
- Bản ghi chữ ký tài nguyên (RRSIG - Resource Record Signature): Sử dụng để chứng thực cho các bản ghi tài nguyên trong zone dữ liệu.
Bản ghi ký chuyển giao (DS - Delegation Signer) đóng vai trò quan trọng trong việc thiết lập chứng thực giữa các zone dữ liệu, giúp đảm bảo tính xác thực trong quá trình chuyển giao DNS.
Bản ghi bảo mật kế tiếp (NSEC) được sử dụng để xác thực các bản ghi tài nguyên có cùng sở hữu hoặc bản ghi CNAME, kết hợp với bản ghi RRSIG nhằm đảm bảo tính toàn vẹn cho zone dữ liệu.
Bản ghi bảo mật kế tiếp phiên bản 3 (NSEC3) có chức năng tương tự như bản ghi NSEC trong việc xác thực từ chối sự tồn tại dữ liệu trong zone, nhưng NSEC3 được thiết kế để khắc phục lỗ hổng bảo mật của NSEC Trong quá trình sử dụng NSEC, dữ liệu DNS có thể bị khai thác qua kỹ thuật tấn công “zone walking”, cho phép kẻ tấn công truy cập thông tin DNS Để nâng cao tính bảo mật, NSEC3 sử dụng mã hóa hàm băm, giúp bảo vệ thông tin DNS hiệu quả hơn so với bản ghi NSEC.
Mục tiêu của DNSSEC là không làm thay đổi quá trình truyền dữ liệu DNS và việc chuyển giao từ các DNS cấp cao xuống các DNS cấp thấp hơn Đồng thời, các Resolver cần phải hỗ trợ các cơ chế mở rộng này Một zone dữ liệu được ký xác thực sẽ bao gồm các bản ghi như RRSIG, DNSKEY, NSEC và DS.
Bằng cách tổ chức các bản ghi mới và chỉnh sửa giao thức, DNSSEC đã cải thiện tính toàn vẹn và nguồn gốc dữ liệu cho hệ thống DNS Điều này không chỉ mở rộng các tính năng bảo mật mà còn tăng cường độ an toàn và tin cậy, khắc phục những nhược điểm của thiết kế ban đầu Hệ thống giờ đây đáp ứng tốt các yêu cầu thông tin định tuyến tên miền và giao thức giữa các máy chủ DNS, đồng thời nâng cao khả năng bảo mật và dự phòng cho toàn bộ hệ thống.
DNSSEC là một cơ chế xác thực giữa các máy chủ DNS, tạo ra chuỗi tin cậy (chain of trust) trong cấu trúc hình cây của hệ thống DNS, bắt đầu từ máy chủ ROOT DNS.
Hình 34: Mô Hình Triển Khai DNSSEC
Việc xây dựng chuỗi tin cậy trong DNSSEC là điều cần thiết để đảm bảo xác thực nguồn gốc và toàn vẹn dữ liệu Chuỗi tin cậy được thiết lập từ hệ thống máy chủ tên miền gốc (DNS ROOT) đến các máy chủ TLD và các hệ thống DNS cấp dưới Khi chuỗi tin cậy được triển khai đầy đủ, hệ thống sẽ có khả năng phát hiện và ngăn chặn các cuộc tấn công của hacker nhằm vào DNS và chuyển hướng tên miền.
Từ đó việc truy cập vào các dịch vụ trên tên miền được đảm bảo an toàn, xác thực,các nguy cơ đã trình bày ở trên được giải quyết.
Mô hình triển khai DNSSEC
Hình 35 Mô hình triển khai DNSSEC
Quá trình triển khai DNSSEC bao gồm việc ký chuyển giao tên miền VN từ DNS Root về máy chủ DNS quốc gia và ký chuyển giao tên miền từ máy chủ DNS quốc gia cho các đơn vị quản lý khác Các bước triển khai DNSSEC trên hệ thống DNS quốc gia được thực hiện theo quy trình nhất định.
- BƯỚC 1: Tạo cặp khóa riêng và khóa công khai
- BƯỚC 2: Lưu trữ bảo mật khóa riêng
- BƯỚC 3: Phân phối khóa công khai
- BƯỚC 7: Cấu hình Trust Anchors
- BƯỚC 8: Thiết lập chuỗi tin cậy và xác thực chữ ký
Các bản ghi tài nguyên DNSSEC
DNSSEC giới thiệu khái niệm về các Signed Zone, bao gồm khóa công khai DNS (DNSKEY), chữ ký cho các bản ghi tài nguyên (RRSIG), bảo mật kế tiếp (NSEC) và tùy chọn các bản ghi ký chuyển giao (DS) theo các nguyên tắc quy định.
1.4.1 Các bản ghi DNSKEY trong một Zone Để ký một Zone, quản trị Zone đó tạo một hoặc nhiều cặp khóa công khai/ mật và sử dụng (các) khóa mật để ký các tập bản ghi có thẩm quyền trong Zone đó Đối với mỗi khóa mật được sử dụng để tạo các bản ghi RRSIG trong một Zone, Zone này nên có một bản ghi DNSKEY của Zone chứa khóa công khai tương ứng Bản ghi DNSKEY chứa khóa công khai này của Zone phải có bit khóa công khai của Zone thuộc trường Flags RDATA được thiết lập Các khóa công khai liên kết với các hoạt động DNS khác có thể được chứa trong các bản ghi DNSKEY không được xác định là các khóa công khai của Zone thì không được sử dụng để kiểm tra các RRSIG.
Khi quản trị một Zone, việc xác định một Signed Zone không chỉ phục vụ chức năng của một Island of Security mà còn yêu cầu Zone apex có ít nhất một bản ghi DNSKEY Bản ghi này hoạt động như một điểm truy nhập bảo mật, cho phép thực hiện chuyển giao bảo mật thông qua bản ghi DS tương ứng trong Zone.
Bản ghi DNSKEY cho Zone cần có bit Zone Key được đặt thành 1 để chứng thực Để ký một zone, quản trị zone phải đảm bảo có ít nhất một bản ghi DNSKEY, tạo thành điểm bảo mật trong zone Điểm bảo mật này sẽ hoạt động cùng với bản ghi DS tương ứng trong zone cha trong quá trình chuyển giao DNS.
1.4.2 Các bản ghi RRSIG trong một Zone Đối với mỗi tập bản ghi có thẩm quyền trong một Signed Zone, phải có ít nhất một bản ghi RRSIG đáp ứng các yêu cầu sau:
- Tên sở hữu RRSIG này giống tên sở hữu tập bản ghi này.
- Lớp RRSIG này giống lớp của tập bản ghi này.
- Trường RRSIG Type Covered giống loại của tập bản ghi này.
- Trường RRSIG Original TTL giống TTL của tập bản ghi này.
- TTL của bản ghi RRSIG này giống TTL của tập bản ghi này.
Trường RRSIG Labels tương ứng với số nhãn trong tên sở hữu của tập bản ghi, loại trừ nhãn null root và nhãn bên trái ngoài cùng khi nó là ký tự đại diện.
- Trường Name của RRSIG Signer giống tên của zone chứa tập bản ghi này.
- Các trường RRSIG Algorithm, Name của Signer và Key Tag giống bản ghiDNSKEY chứa khóa công khai của zone tại zone apex.
Tập bản ghi DNS có thể chứa nhiều bản ghi RRSIG, nhưng các bản ghi này liên kết chặt chẽ với các bản ghi mà chúng ký Điều này khác biệt với các loại bản ghi DNS khác, vì các bản ghi RRSIG không tạo thành các tập bản ghi độc lập Đặc biệt, các giá trị TTL trong các bản ghi RRSIG có tên sở hữu chung không tuân theo các nguyên tắc của tập bản ghi, điều này cần được lưu ý khi quản lý DNS.
Một bản ghi RRSIG không thể được tự ký, vì việc ký một bản ghi như vậy sẽ không có giá trị và dẫn đến việc tạo ra một vòng lặp không xác định trong quá trình ký.
Tập bản ghi NS tại zone apex cần được ký, trong khi các tập bản ghi NS tại điểm chuyển giao không yêu cầu ký Điều này có nghĩa là các bản ghi NS trong zone cha ủy quyền cho các máy chủ tên miền của zone con không cần phải được ký Ngoài ra, các tập bản ghi địa chỉ liên kết với những ủy quyền này cũng không được ký.
Mỗi tập bản ghi trong DNS cần có một RRSIG, sử dụng ít nhất một DNSKEY từ mỗi thuật toán có trong tập bản ghi DNSKEY của zone apex Tập bản ghi DNS của zone apex phải được tự ký bằng tất cả các thuật toán xuất hiện trong tập bản ghi DS được thiết lập ở phía cha ủy quyền (nếu có).
1.4.3 Bản ghi ký chuyển giao (DS) trong một Zone
Bản ghi DS (Delegation Signer) thiết lập chứng thực giữa các zone DNS, thể hiện cho bản ghi chuyển giao khi vùng con được ký Kết hợp với bản ghi RRSIG, bản ghi DS chứng thực cho zone được chuyển giao tại máy chủ tên miền cha Bản ghi DS được khai báo trước, trong khi bản ghi RRSIG được khai báo sau, tương tự như quá trình xác thực cho một bản ghi tài nguyên thông thường.
Trường TTL của bản ghi DS phải khớp với trường TTL của bản ghi NS trong cùng vùng, đảm bảo tính đồng nhất Để xây dựng bản ghi DS, cần hiểu rõ bản ghi DNSKEY tương ứng trong vùng con, nhằm thiết lập giao tiếp hiệu quả giữa vùng con và vùng cha.
1.4.4 Các bản ghi NSEC trong một Zone
Mỗi tên miền trong zone cần có một bản ghi tài nguyên NSEC, đi kèm với dữ liệu có thẩm quyền hoặc một tập bản ghi NS tại điểm chuyển giao Giá trị TTL của bản ghi NSEC phải tương đồng với giá trị TTL tối thiểu trong bản ghi SOA của zone đó.
Bản ghi NSEC và tập bản ghi RRSIG liên quan không được là bản ghi duy nhất cho bất kỳ tên sở hữu nào trong một zone cụ thể Quá trình ký không tạo ra các bản ghi NSEC hoặc RRSIG cho các nút tên sở hữu chưa được xác định trước khi zone được ký, nhằm đảm bảo tính nhất quán giữa các phiên bản ký và chưa ký của zone và giảm thiểu nguy cơ mất nhất quán trong các máy chủ tên miền đệ quy không bảo mật Mỗi bản ghi NSEC trong một Signed Zone phải chỉ ra sự hiện diện của cả bản ghi NSEC và bản ghi RRSIG tương ứng Sự khác biệt giữa các tên sở hữu yêu cầu bản ghi RRSIG và các tên sở hữu yêu cầu bản ghi NSEC là tinh vi; bản ghi RRSIG có mặt ở tất cả các tên sở hữu của các tập bản ghi có thẩm quyền, trong khi bản ghi NSEC có mặt ở các tên mà Signed Zone có thẩm quyền và các tên sở hữu của những ủy quyền từ Signed Zone sang zone con Các bản ghi NSEC hoặc RRSIG không xuất hiện ở các tên sở hữu của các tập bản ghi địa chỉ liên kết trong zone cha.
Ánh xạ bản ghi NSEC tại điểm chuyển giao cần được chú ý đặc biệt Các bit tương ứng của tập bản ghi NS ủy quyền và bất kỳ tập bản ghi nào mà zone cha có dữ liệu thẩm quyền phải được thiết lập, trong khi các bit của các tập bản ghi không phải NS mà zone cha không có thẩm quyền cần phải bị xóa.
Có 2 vấn đề khi sử dụng bản ghi NSEC trong DNSSEC:
Các phần mở rộng DNSSEC
Máy chủ tên an toàn (Security-Aware Name Server) cần hỗ trợ mở rộng EDNS0 với kích thước bản tin tối thiểu là 1220 octet và nên có khả năng xử lý kích thước bản tin lên đến 4000 octet Do các gói tin IPv6 chỉ có thể được phân đoạn bởi máy chủ nguồn, nên máy chủ tên an toàn phải thực hiện các biện pháp để đảm bảo rằng các gói UDP truyền qua IPv6 được phân đoạn phù hợp với mức MTU tối thiểu của IPv6, trừ khi đã biết MTU của tuyến đường.
Một máy chủ tên an toàn (Security-Aware Name Server) khi nhận được truy vấn DNS không có EDNS OPT giả hoặc bit DO trống, phải cung cấp các bản ghi tài nguyên RRSIG, DNSKEY và NSEC như bất kỳ bản ghi tài nguyên nào khác mà không cần thực hiện thêm hành động nào Tuy nhiên, bản ghi tài nguyên DS, với đặc điểm chỉ xuất hiện trong zone cha tại các điểm chuyển giao, luôn yêu cầu một hành động đặc biệt.
Các Security-Aware Name Server xử lý các truy vấn rõ ràng liên quan đến các bản ghi tài nguyên bảo mật từ nhiều zone mà chúng phục vụ, như NSEC và RRSIG, và cần đảm bảo tính nhất quán trong phản hồi Máy chủ tên miền này có thể cung cấp nhiều loại nội dung khác nhau, miễn là mỗi phản hồi luôn nhất quán cho từng truy vấn.
- Các tập bản ghi tài nguyên trên điểm chuyển giao.
- Các tập bản ghi tài nguyên dưới điểm chuyển giao
- Cả hai tập bản ghi tài nguyên trên và dưới điểm chuyển giao.
- Phần trả lời trống (không có bản ghi tài nguyên).
- Một trả lời khác nào đó.
DNSSEC bổ sung hai bit mới trong phần đầu của bản tin DNS: bit CD (Checking Disabled) và bit AD (Authentic Data) Bit CD do các Resolver quản lý, trong khi bit AD được điều khiển bởi các máy chủ tên miền Một máy chủ tên miền an toàn phải sao chép bit CD từ truy vấn sang phản hồi tương ứng và không thiết lập bit AD trong các truy vấn Ngoài ra, máy chủ tên miền an toàn cần đồng bộ các bản ghi tài nguyên CNAME từ các bản ghi tài nguyên DNAME mà không tạo chữ ký cho các bản ghi CNAME được đồng bộ này.
1.5.1 Các máy chủ tên miền có thẩm quyền
Dựa trên truy vấn liên quan đến bit DO EDNS OPT giả, máy chủ tên miền có thẩm quyền cho một khu vực được ký phải bao gồm các bản ghi tài nguyên RRSIG, NSEC và DS bổ sung, tuân thủ các nguyên tắc bảo mật cần thiết.
- Các bản ghi tài nguyên RRSIG có thể được sử dụng để xác thực một trả lời phải được chứa trong trả lời này
- Các bản ghi tài nguyên NSEC có thể được sử dụng để cung cấp xác nhận từ chối sự tồn tại phải được chứa trong trả lời này.
Bản ghi tài nguyên DS hoặc bản ghi tài nguyên NSEC cần được tự động chứa trong các tham chiếu để chỉ ra rằng không có bản ghi tài nguyên DS nào tồn tại.
Các nguyên tắc này chỉ áp dụng cho các phản hồi liên quan đến việc xác định sự hiện diện hoặc không có của các bản ghi tài nguyên Vì vậy, chúng không bao gồm các phản hồi như “Không thực hiện” đối với RCODE hoặc “Bị từ chối” đối với RCODE 5.
DNSSEC không thay đổi giao thức DNS zone transfer.
Các bản ghi tài nguyên RRSIG trong một hồi đáp
Khi máy chủ tên miền có thẩm quyền nhận truy vấn với bit DO được thiết lập, nó cần gửi các bản ghi tài nguyên RRSIG để Security-Aware Resolver có thể xác thực các bản ghi này Máy chủ tên miền phải nỗ lực giữ lại các bản ghi tài nguyên và các RRSIG liên kết trong phản hồi Việc bao gồm các bản ghi RRSIG trong phản hồi phải tuân theo các nguyên tắc nhất định.
Khi máy chủ tên miền cung cấp một tập bản ghi tài nguyên được ký trong phần trả lời, nó cũng cần bao gồm các bản ghi RRSIG tương ứng Các bản ghi RRSIG này có mức ưu tiên cao hơn so với các bản ghi tài nguyên khác Nếu không gian không đủ để chứa các bản ghi RRSIG, máy chủ phải thiết lập bit TC.
Khi triển khai một tập bản ghi tài nguyên được ký trong phần thẩm quyền, máy chủ tên miền cần phải bao gồm các bản ghi tài nguyên RRSIG tương ứng Những bản ghi RRSIG này có mức ưu tiên cao hơn so với bất kỳ bản ghi tài nguyên nào khác Nếu không gian không đủ để chứa các bản ghi RRSIG, máy chủ tên miền phải thiết lập bit TC để thông báo tình trạng này.
Khi một tập bản ghi tài nguyên được ký trong phần bổ sung, máy chủ tên miền cần đặt các bản ghi RRSIG tương ứng trong cùng phần bổ sung Nếu không gian không đủ để chứa cả tập bản ghi tài nguyên và các bản ghi RRSIG liên quan, máy chủ có thể giữ lại tập bản ghi tài nguyên và loại bỏ các bản ghi RRSIG Trong trường hợp này, máy chủ tên miền không được thiết lập bit.
TC vì các bản ghi tài nguyên RRSIG đã không phù hợp.
Các bản ghi tài nguyên DNSKEY trong một hồi đáp
Khi trả lời truy vấn có bit DO được thiết lập và yêu cầu các bản ghi SOA hoặc NS ở zone apex được ký, máy chủ tên miền có thẩm quyền có bảo mật cho zone đó có thể trả về tập bản ghi DNSKEY trong phần bổ sung Tập bản ghi DNSKEY và các bản ghi RRSIG liên kết sẽ có mức ưu tiên thấp hơn bất kỳ thông tin nào khác trong phần bổ sung Máy chủ không nên bao hàm tập bản ghi DNSKEY trừ khi có đủ không gian cho cả DNSKEY và các bản ghi RRSIG Nếu không đủ không gian, máy chủ phải loại bỏ chúng mà không thiết lập bit TC.
Các bản ghi tài nguyên NSEC trong một hồi đáp
Khi máy chủ tên miền có thẩm quyền trả lời một truy vấn với bit DO được thiết lập, nó phải bao gồm các bản ghi tài nguyên NSEC trong trường hợp bảo mật đối với zone đó.
- Không có dữ liệu: Zone chứa các tập bản ghi tài nguyên phù hợp hoàn toàn
nhưng không chứa bất kỳ tập bản ghi tài nguyên phù hợp hoàn toàn
Lỗi tên miền xảy ra khi vùng không chứa bất kỳ bản ghi tài nguyên nào phù hợp với , hoặc không tìm thấy thông qua phần mở rộng tên miền ký tự đại diện.
Zone không chứa bất kỳ bản ghi tài nguyên nào phù hợp hoàn toàn với , nhưng lại có một tập bản ghi tài nguyên phù hợp khác.
thông qua phần mở rộng tên miền ký tự đại diện.
DEMO DNSSEC TRÊN WINDOW SERVER 2016
Bước 1: Mở Window Server 2016 => Đăng nhập => Sau đó bật Server Manager => Click vào Tools
Hình 37 Màn Hình Server Manager trên WINDOW SERVER 2016
Bước 2: Click vào DNS click chuột phải tên miền bạn đã cấu hình từ trước ở đây là uneti.com chọn DNSSEC
Hình 38 Màn Hình DNS Manager
Bước 3: Click vào DNSSEC hiển thị ra màn hình như trên ảnh
Bước 4: Chọn Customize zone signing a parameters rồi bấm Next.
Hình 40 Màn Hình Zone Signing Wizard
Bước 5: Chọn Key Master là DNS Server của máy bạn Ở đây là : DOAN-THANG
Bước 6 : Hiển thị màn hình Zone Signing Key => Bấm vào Add
Hình 42 Màn Hình Zone Signing Key
Bước 7 : Chọn Key Properties phù hợp hoặc cấu hình như trên màn hình.
Hình 43 Cấu Hình Singing Key
Bước 8: Hiển thị màn hình khi Add xong
Hình 44 Màn hình khi add xong Key
Bước 9: Sau đó vào màn hình Zone Signing Key => Bấm Add
Hình 45 Màn hình Zone Signing Key
Bước 10: Cấu hình Zone Signing Key như trên màn hình.
Hình 46 Cấu hình Zone Signing Key
Bước 11: Hiển thị màn hình Add Zone Signing Key thành công
Hình 47 Màn hình sau khi Add Zone Signing Key
Bước 12: Hiển Thị Next Secure như trên màn hình
Hình 48 Màn Hình Next Secure
Bước 13: Màn Hình Trust Anchors click hết các CheckBox.
Bước 14: Màn hình Signing and Polling Parameters
Hình 50 Màn hình Signing and Polling Parameters
Bước 15: Màn hình hiển thị các thông tin bạn đã cấu hình
Bước 16: Hoàn tất cấu hình
Hình 52 Cấu hình thành công DNSSEC
Bước 17: Lặp lại bước 2 và chọn Propeties phần DNSSEC
Hình 53 Màn hình khi cài DNSSEC thành côngBước 18: Màn hình proprties của DNNSEC
Bước 19: Xem các DNS KEY
Hình 55 Màn hình DNS KEY
Bước 20: Vào Group Policy Management
Hình 56 Màn hình Group Policy Management
Bước 21: Cấu hình Name Resolution Policy
Hình 57 Hiển Thị Name Resolution Polic
Bước 22: Cấu hình Name Resolution Policy thành công
Hình 58.Cấu hình Name Resolution Policy thành công