An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao PA05 công antỉnh Phú Yên về một số nội dung liên quan đến vấn đề cần nghiên cứu.Phương pháp phân tích và tổng hợp: Dựa trên dữ
Trang 11.1.2 Nguyên lý hoạt động của DNS 14
1.2 Các thành phần của hệ thống phân giải tên miền DNS 15
1.2.1 Hệ thống phân cấp của DNS 15
1.2.2 Tên miền 22
1.3 Cơ chế phân giải của DNS 24
1.3.1 Phân giải tên miền thành địa chỉ IP 24
1.3.2 Phân giải địa chỉ IP thành tên miền 26
CHƯƠNG 2 PHÂN TÍCH CÁC HÌNH THỨC TẤN CÔNG VÀ GIẢI PHÁPBẢO MẬT DỊCH VỤ DNS 27
2.2.1 Kỹ thuật tấn công DNS Cache Poisoning 28
2.2.2 Kỹ thuật tấn công DNS Spoofing 29
2.2.3 Kỹ thuật tấn công DNS Amplification 35
2.3 Các biện pháp bảo mật DNS 40
2.3.1 DNSSEC 40
2.3.2 Cấu hình bảo mật DNS Server 45
2.3.3 Sử dụng DNS over HTTPS (DoH) và DNS over TLS (DoT) 48
2.4 Các biện pháp phòng chống tấn công DNS 52
Trang 22.4.1 Giám sát và phán hiện tấn công DNS 52
2.4.2 Thiết lập sao lưu và phục hồi DNS 56
CHƯƠNG 3 TRIỂN KHAI THỬ NGHIỆM VÀ ĐÁNH GIÁ KẾT QUẢ 61
3.1 Mô phỏng tấn công DNS Spoofing và đề xuất giải pháp phòng chống 61
3.1.1 Mô phỏng tấn công DNS Spoofing 61
3.1.2 Phát hiện tấn công DNS Spoofing 79
3.1.3 Ngăn chặn tấn công DNS Spoofing 86
3.2 Mô phỏng tấn công DNS Amplification và đề xuất giải pháp phòngchống 91
3.2.1 Mô phỏng tấn công DNS Amplification 91
3.2.2 Ngăn chặn tấn công DNS Amplification 98
3.3 Ý nghĩa 103
KẾT LUẬN 105
DANH MỤC TÀI LIỆU THAM KHẢO 107
Trang 3DANH MỤC CHỮ VIẾT TẮT
ANM: An ninh mạngBĐANQG: Bảo đảm an ninh quốc gia
CAND: Công an Nhân dânCSDL: Cơ sở dữ liệuDDOS: Distributed Denial of Service
DNS: Domain Name SystemDNSSEC: Domain Name System Security Extensions
Trang 4DANH MỤC HÌNH ẢN
Hình 1.1 Mô hình DNS 10
Hình 1.2 Những tương tác của DNS 12
Hình 1.3 Cách thức hoạt động DNS 15YHình 2.1 DNS Cache Poisoning 28
Hình 2.2 DNS Spoofing là một kỹ thuật (MITM) được dùng để cung cấp thông tinDNS giả mạo cho một Host 30
Hình 2.3 Thông tin lưu trữ trong máy chủ tên miền là không gian tên miền 31
Hình 2.4 Kẻ tấn công đang bí mật đứng giữa mọi liên lạc bằng ARP Spoofing 32
Hình 2.5 Người dùng truy cập vào địa chỉ IP giả mạo thay vì địa chỉ IP thực 32
Hình 2.6 Người dùng bị đánh cắp thông tin cá nhân khi truy cập trang web giả .33
Hình 2.7 DNS Amplification Attacks 35
Hình 2.8 Nguyên lý hoạt động của DNS Amplification 38
Hình 2.9 Cách thức hoạt động của DNSSEC 40
Hình 2.10 DNSSEC được cập nhật cho từng tên miền cấp cao 41
Hình 2.11 Bốn bản ghi mới của công nghệ an toàn mở rộng DNSSEC 42
Hình 2.12 Kết quả kiểm tra trạng thái tên miền trên Mắt Bão 43
Hình 2.13 DNS over TLS (DoT) 4Hình 3.1 Thông báo Telegram khi máy Window 10 bị tấn công DNS Spoofing 86
Hình 3.2 Cơ chế tạo khoá của DNSSEC 90
Hình 3.3 Mô hình mạng tại trường THPT Ngô Gia Tự 92
Trang 5PHÂN CÔNG NHIỆM VỤ
Trần Nguyễn Duy Quang Trưởng nhóm, làm phần 3.1, 3.3 (phụ), thực
hiện 3 video demo về DNS Spoofing, chỉnh sửafile word
Phan Tiến Hải Làm phần 3.2, 3.3 (chính), thực hiện 2 video
demo về DNS Amplification, tổng hợp fileword
Phan Hữu Bình Làm chương 1, thiết kế PowerPointLê Vĩ Khang Làm chương 2, thiết kế bìa
Trang 6MỞ ĐẦU1 Tính cấp thiết của chuyên đề
Chuyên đề “Nghiên cứu các hình thức tấn công và giải pháp bảo mật dịch vụDNS, ứng dụng bảo đảm an toàn dịch vụ DNS” là một vấn đề rất quan trọng trongngành công nghệ thông tin và mạng máy tính Dịch vụ DNS (Domain NameSystem) là hệ thống quan trọng giúp dịch từ tên miền (Domain Name) sang địa chỉIP, đóng vai trò quan trọng trong việc kết nối và truy cập Internet
Dịch vụ DNS không chỉ đơn giản là một hệ thống dịch tên miền sang địa chỉIP, mà còn là nền tảng cơ bản của hoạt động Internet Mỗi khi truy cập một trangweb, gửi một email, hoặc thực hiện bất kỳ hoạt động trực tuyến nào khác, dịch vụDNS đều đóng vai trò quan trọng trong việc kết nối mạng máy tính với máy chủtương ứng Vì thế, bảo vệ và duy trì tính khả dụng của dịch vụ DNS là cực kỳ quantrọng đối với hoạt động trực tuyến hàng ngày của mọi người và doanh nghiệp
Trong thế giới ngày càng có nhiều sự kết nối mạng, mối đe dọa về ANMngày càng trở nên phức tạp và đáng lo ngại Các cuộc tấn công vào hệ thống DNScó thể gây ra những hậu quả nghiêm trọng, từ việc đánh cắp thông tin quan trọngđến làm gián đoạn hoạt động trực tuyến của các tổ chức lớn Do đó, nghiên cứu vàphát triển các giải pháp bảo mật cho dịch vụ DNS không chỉ là vấn đề của các nhàmạng, mà còn là trách nhiệm của toàn bộ cộng đồng người dùng Internet
Với sự phát triển liên tục của công nghệ, các hacker cũng không ngừng tìmra các cách thức mới để tấn công hệ thống mạng Điều này đặt ra một thách thứclớn cho các nhà nghiên cứu và chuyên gia bảo mật để liên tục cập nhật và phát triểncác giải pháp ANM tiên tiến nhằm chống lại các mối đe dọa mới và tiềm ẩn
Mặc dù có nhiều thách thức, nhưng việc nghiên cứu về giải pháp bảo mật vàphòng chống tấn công dịch vụ DNS cũng mang lại tiềm năng lớn cho sự phát triểnvà đổi mới trong lĩnh vực ANM hiện nay Các phát hiện mới và các giải pháp sáng
Trang 7tạo không chỉ bảo vệ dịch vụ DNS mà còn tạo ra những tiêu chuẩn mới cho ANMtoàn cầu.
Chính vì vậy, học viên chọn nghiên cứu chuyên đề: “Nghiên cứu các hình
thức tấn công và giải pháp bảo mật dịch vụ DNS, ứng dụng bảo đảm an toàn dịchvụ DNS” là việc làm rất cần thiết, có ý nghĩa thiết thực và quan trọng trong công
tác triển khai an toàn dịch vụ mạng trong giai đoạn hiện nay
2 Mục tiêu nghiên cứu2.1 Mục tiêu chung
Nghiên cứu này đảm bảo tính toàn vẹn, sẵn sàng và an toàn của dịch vụ DNSthông qua việc phát triển các giải pháp bảo mật tiên tiến và phòng chống tấn cônghiệu quả
2.2 Mục tiêu cụ thể
Phân tích và đánh giá các lỗ hổng có thể tồn tại trong cấu trúc và quy trìnhhoạt động của dịch vụ DNS, bao gồm cả các lỗ hổng phần mềm và các lỗ hổng liênquan đến cấu hình và triển khai
Phát triển và triển khai các giải pháp phòng chống tấn công nhằm ngăn chặnvà phòng chống các loại tấn công phổ biến như DNS Spoofing, DNS CachePoisoning, DNS Amplification Attacks và các biến thể tấn công mới
Thử nghiệm và đánh giá hiệu suất của các giải pháp bảo mật đối với các loạitấn công cụ thể, đảm bảo rằng chúng có thể hoạt động hiệu quả trong môi trườngthực tế
3 Đối tượng, phạm vi nghiên cứu3.1 Đối tượng nghiên cứu
- Nghiên cứu về hệ thống phân giải tên miền DNS (Domain Name System)có thể bao gồm những điều sau:
Trang 8+ Cách hoạt động của các giao thức DNS như DNS Resolver, DNS Server,và các giao thức liên quan như DNSSEC (DNS Security Extensions) Điều này baogồm cả việc hiểu cơ chế hoạt động của DNS, cách truy vấn và cập nhật thông tinDNS.
+ Cấu trúc và kiến trúc của hệ thống DNS, bao gồm cả các thành phần nhưroot servers, top-level domain (TLD) servers, authoritative name servers và cácphần mềm DNS resolver
+ Các mối đe dọa an ninh và bảo mật đối với hệ thống DNS, bao gồm cácloại tấn công như DNS Spoofing, DNS Cache Poisoning, DNS AmplificationAttacks và cách phòng tránh
4 Phương pháp nghiên cứu
Phương pháp khảo sát thực tiễn: học viên sẽ thực hiện việc khảo sát thực tếvà phương pháp hoạt động của các trang web liên quan đến cá độ bóng đá, trangweb giáo dục nhằm mục đích rút ra cách thức tấn công DNS đối với từng trang webvà đề xuất các giải pháp bảo mật nhằm ngăn chặn, phòng ngừa sự tấn công
Phương pháp chuyên gia: học viên sẽ tranh thủ ý kiến chỉ đạo, hướng dẫn,định hướng của các Thầy, Cô giáo khoa Công nghệ và An toàn thông tin và củamột số người thân đang công tác tại phòng An ninh chính trị nội bộ (PA03), phòng
Trang 9An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (PA05) công antỉnh Phú Yên về một số nội dung liên quan đến vấn đề cần nghiên cứu.
Phương pháp phân tích và tổng hợp: Dựa trên dữ liệu và tài liệu đã thu thập,học viên sẽ thực hiện việc phân tích, tổng hợp và đánh giá về tình trạng hiện tại vàcác kỹ thuật tấn công đối với các trang web cá độ bóng đá nhằm cung cấp thông tincho công tác điều tra của lực lượng công an và đề xuất các giải pháp bảo mật cáctrang web liên quan đến giáo dục nhằm ngăn chặn sự tấn công của các đối tượng
5 Bố cục của chuyên đề
Chuyên đề được bố cục gồm phần danh mục chữ viết tắt, danh mục hình ảnh,phân công nhiệm vụ, mở đầu, kết luận và hướng phát triển, danh mục tài liệu thamkhảo và 3 chương:
Chương 1 Tổng quan về hệ thống phân giải tên miền DNS Chương 2 Phân tích các hình thức tấn công và giải pháp bảo mật dịch vụDNS
Chương 3 Triển khai thử nghiệm và đánh giá kết quả
Trang 10CHƯƠNG 1 TỔNG QUAN VỀ HỆ THỐNG PHÂN GIẢI TÊN MIỀN DNS1.1 Hệ thống phân giải tên miền DNS
1.1.1 Khái quát về DNS
1.1.1.1 Khái niệm DNS
DNS là nền tảng cơ bản cho việc truy cập Internet Khi chúng ta nhập mộtđịa chỉ web vào trình duyệt, chẳng hạn như “www.example.com”, DNS là ngườithực hiện việc chuyển đổi địa chỉ này thành địa chỉ IP tương ứng của máy chủ lưutrữ trang web đó Điều này cho phép chúng ta truy cập vào trang web một cách dễdàng mà không cần phải nhớ các dãy số IP phức tạp
Đối với những người thiết kế website, hiểu biết về DNS là cực kỳ quan trọngđể có thể quản lý và triển khai website một cách hiệu quả Họ cần biết cách cấuhình DNS để đảm bảo rằng tên miền của họ được liên kết đúng với các máy chủ màhọ muốn Ngoài ra, hiểu về DNS cũng giúp họ hiểu rõ hơn về cách hoạt động củaInternet và các vấn đề liên quan đến bảo mật mạng
Hình 1.1 Mô hình DNS (1)
1() https://aptech.fpt.edu.vn/dns-la-gi.html
Trang 11Đây là hệ thống chuyển đổi các tên miền website ở dạng www.tienmien.comsang một địa chỉ IP tương ứng với tên miền và ngược lại Các thao tác của DNS vớimục đích định vị và gán địa chỉ cụ thể cho thông tin trên Internet, có vai trò liên kếtcác thiết bị mạng với nhau Chính vì vậy, khi chúng ta nhập tên miền website vàothanh tìm kiếm sẽ không cần phải nhập địa chỉ IP mà có thể truy cập trực tiếp đếntrang website mà ta cần truy cập.
DNS là viết tắt của cụm từ Domain Name System, mang ý nghĩa đầy đủ là hệthống phân giải tên miền Hiểu một cách khác, DNS cơ bản là một hệ thống chuyểnđổi các tên miền website mà chúng ta đang sử dụng, ở dạng www.tenmien.comsang một địa chỉ IP dạng số tương ứng với tên miền đó và ngược lại
1.1.1.2 Vai trò và chức năng của DNS
DNS là cầu nối giữa tên miền và địa chỉ IP Tuy nhiên, ở mức độ phức tạphơn, DNS đóng vai trò như một bộ não của Internet, điều chỉnh và điều hướngthông tin giữa các máy chủ và thiết bị kết nối với mạng Đây là một phần không thểthiếu trong hệ thống mạng hiện đại, với vai trò như một “người thông dịch viên”
DNS không chỉ đơn giản là dịch tên miền thành địa chỉ IP Nó còn làm nhiềucông việc khác nhau như cung cấp thông tin về tên miền, kiểm tra và cập nhật dữliệu, điều hướng thông tin đến các máy chủ phù hợp và giữ cho hệ thống mạng hoạtđộng một cách hiệu quả và an toàn
Hơn nữa, DNS cũng chịu trách nhiệm cho việc quản lý tên miền, bảo vệchúng khỏi việc xâm phạm và sự can thiệp trái phép Nó đóng vai trò quan trọngtrong việc duy trì tính toàn vẹn và an ninh của hệ thống mạng bằng cách kiểm soátvà quản lý quyền truy cập vào các tài nguyên trên Internet
Việc sử dụng DNS giúp trình duyệt và các ứng dụng truy cập Internet dễdàng và thuận tiện hơn đối với người dùng Thay vì phải nhớ và nhập địa chỉ IPphức tạp của mỗi trang web, người dùng chỉ cần nhớ tên miền của trang web đó
Trang 12Khi họ nhập tên miền vào trình duyệt, DNS sẽ tự động dịch tên miền thành địa chỉIP tương ứng của máy chủ lưu trữ trang web, giúp trình duyệt kết nối đến máy chủmột cách tự động và nhanh chóng.
Quá trình này không chỉ giúp tiết kiệm thời gian cho người dùng mà còngiúp tránh được các lỗi nhập sai địa chỉ IP Bên cạnh đó, việc sử dụng tên miềncũng làm cho việc ghi nhớ và truy cập các trang web trở nên dễ dàng hơn đối vớingười dùng thông thường
Hình 1.2 Những tương tác của DNS (2)
Tuy nhiên, với sự tăng trưởng không ngừng của Internet và số lượng lớn cácyêu cầu truy cập mỗi ngày, hiệu suất mạng trở thành một vấn đề quan trọng Hệthống DNS phải xử lý một lượng lớn các yêu cầu phân giải tên miền một cáchnhanh chóng và hiệu quả, dù ở bất kỳ địa điểm và thời gian nào Do đó, việc tối ưuhoá hiệu suất mạng là điều quan trọng để đảm bảo rằng người dùng có thể truy cập
Trang 13vào các trang web một cách nhanh chóng và liền mạch.
1.1.1.3 Phân loại DNS
DNS server có 5 loại với những đặc điểm, tính năng và cách dùng khác nhau:
Root Name Server là máy chủ tên miền chứa các thông tin và đây
là server quan trọng nhất trong hệ thống Nó chính là thư viện để định hướng tìmkiếm các máy chủ tên miền trong các miền cấp cao nhất (Top-level Domain NameServer) Máy Root đóng vai trò là máy chủ tên miền cao nhất và tham chiếu đếncác DNS server thấp hơn
Local Name Server chứa các thông tin giúp tìm kiếm máy chủ tên miền lưu
trữ các tên miền thấp hơn Nó thường được vận hành và duy trì bởi các doanhnghiệp và những nhà cung cấp dịch vụ Internet - ISPs
DNS Recursor đóng vai trò như một thủ thư với nhiệm vụ đi tìm địa chỉ IP
và trả thông tin đúng mà trình duyệt cần tìm Nó sẽ giữ trách nhiệm liên lạc vàdùng các hệ thống phân giải tên miền server khác để phản hồi đến client Bên cạnhđó, thay vì khi nào cũng đi tìm IP thì nó còn có cache giúp tăng tốc độ phản hồinhanh hơn
TLD Name Server (Top-level Domain Name Server) là nhà quản lý hệ
thống thông tin của phần mở rộng tên miền chung Trong quá trình tìm kiếm địa chỉIP thì máy chủ định danh sẽ lưu trữ phần cuối cùng của tên máy chủ Ví dụ như khitruy cập google.com thì máy chủ này sẽ trả về IP của DNS chứa google
Authoritative Name Server có chứa thông tin cho biết tên miền gắn với địa
chỉ nào Nó là điểm dừng cuối trong truy vấn và phân giải địa chỉ IP cần thiết cungcấp cho DNS Recursor
Hiện nay DNS có 6 loại phổ biến nhất
- DNS Google: DNS server này được sử dụng nhiều nhất hiện nay vì tốc độ
nhanh và ổn định; 8.8.8.8; 8.8.4.4
Trang 14- DNS OpenDNS: 208.67.222.222; 208.67.220.220.- DNS Cloudflare: 1.1.1.1; 1.0.0.1.
- DNS VNPT: 203.162.4.191; 203.162.4.190.- DNS Viettel: 203.113.131.1; 203.113.131.2.- DNS FPT: 210.245.24.20; 210.245.24.22.1.1.2 Nguyên lý hoạt động của DNS
Để truy cập vào một trang web như tintuc.vn, quá trình bắt đầu khi chươngtrình trên máy người dùng gửi yêu cầu tìm kiếm địa chỉ IP tương ứng với tên miềntintuc.vn tới máy chủ quản lý tên miền cục bộ trên mạng của họ Máy chủ này sauđó sẽ kiểm tra CSDL của mình để xác định xem liệu nó có thông tin chuyển đổi từtên miền sang địa chỉ IP của tintuc.vn không Nếu có, nó sẽ trả lại địa chỉ IP chomáy người dùng
Trong trường hợp CSDL của máy chủ tên miền cục bộ không chứa thông tinvề tên miền tenmien.vn, máy chủ sẽ gửi yêu cầu đến các máy chủ tên miền ở mứcRoot Các máy chủ này là những máy chủ tên miền ở mức cao nhất và có khả năngchỉ dẫn máy chủ tên miền cục bộ đến máy chủ quản lý tên miền với đuôi vn
Máy chủ tên miền cục bộ sẽ tiếp tục yêu cầu máy chủ tên miền vn cung cấpđịa chỉ IP của tên miền tenmien.vn Do máy chủ quản lý tên miền vn có CSDL vềtên miền tenmien.vn, nó sẽ trả về địa chỉ IP tương ứng Cuối cùng, máy chủ tênmiền cục bộ sẽ chuyển thông tin này đến máy người dùng, cho phép họ kết nối vớiserver chứa trang web tenmien.vn và truy cập vào nội dung của trang web này
Trang 161.2.1.1 DNS Resolver (DNS Client)
DNS Resolver (DNS Client) là thành phần khởi đầu quan trọng trong quátrình phân giải tên miền Đây là phần mềm được cài đặt trên máy tính của ngườidùng và chịu trách nhiệm gửi các yêu cầu phân giải tên miền đến các máy chủDNS
DNS Resolver đóng vai trò là thành phần phía khách hàng trong hệ thốngphân giải tên miền Nó tiếp nhận và xử lý các yêu cầu phân giải tên miền từ cácứng dụng của người dùng, chẳng hạn như trình duyệt web hoặc email client Khimột ứng dụng cần chuyển đổi một tên miền thành địa chỉ IP tương ứng, nó sẽ gửiyêu cầu này đến DNS Resolver
Khi người dùng nhập một tên miền (ví dụ: www.example.com) vào trìnhduyệt, DNS Resolver sẽ thực hiện các bước sau:
- Kiểm tra bộ nhớ đệm (cache): DNS Resolver đầu tiên sẽ kiểm tra bộ nhớđệm của mình để xem liệu có sẵn bản ghi DNS cho tên miền đó không Nếu có, nósẽ sử dụng thông tin này để trả lời yêu cầu mà không cần phải liên hệ với các máychủ DNS khác, giúp tiết kiệm thời gian và tài nguyên
- Truy vấn tới các DNS Server: Nếu bản ghi DNS không có sẵn trong bộ nhớđệm, DNS Resolver sẽ khởi động quá trình truy vấn hệ thống DNS Gửi truy vấnđến một trong các DNS Root Server Các máy chủ này sẽ cung cấp thông tin vềmáy chủ DNS cấp cao nhất có thể biết thông tin về tên miền DNS Resolver sẽ theodõi các thông tin này và tiếp tục truy vấn các máy chủ DNS cấp thấp hơn theo cấutrúc phân cấp (hierarchical) của hệ thống DNS, cho đến khi nhận được địa chỉ IPcần thiết
Quá trình này có thể bao gồm nhiều bước, từ truy vấn Root Server đến TLD(Top-Level Domain) Server, rồi đến các máy chủ DNS có thẩm quyền(authoritative DNS servers) của tên miền đích Cuối cùng, khi nhận được địa chỉ IP
Trang 17mong muốn, DNS Resolver sẽ trả lại kết quả cho ứng dụng đã gửi yêu cầu ban đầu.
DNS Resolver là một thành phần thiết yếu giúp đảm bảo quá trình truy cậpInternet của người dùng diễn ra mượt mà và hiệu quả, bằng cách nhanh chóng vàchính xác chuyển đổi tên miền dễ nhớ thành các địa chỉ IP mà máy tính có thể hiểuvà sử dụng
1.2.1.2 DNS Server (DNS Authoritative Server)
DNS Authoritative Server là máy chủ lưu trữ các bản ghi DNS chính thức vàcó thẩm quyền cho một tên miền cụ thể Nó đóng vai trò quan trọng trong việccung cấp thông tin DNS chính xác cho các truy vấn về tên miền đó
DNS Authoritative Server có nhiệm vụ lưu trữ và quản lý các bản ghi DNSchính thức cho một tên miền cụ thể Khi nhận được truy vấn, nó cung cấp thông tinchính xác và có thẩm quyền về tên miền đó Các bản ghi DNS này có thể bao gồmcác loại như:
- A record (Address Record): Bản ghi ánh xạ tên miền đến địa chỉ IP.- MX record (Mail Exchange Record): Bản ghi định tuyến email đến cácmáy chủ thư điện tử
- CNAME record (Canonical Name Record): Bản ghi cho phép một tên miềnlà bí danh của một tên miền khác
- TXT record (Text Record): Bản ghi chứa thông tin văn bản cho các mụcđích khác nhau
Khi một DNS Resolver hoặc một DNS Server khác gửi truy vấn đến DNSAuthoritative Server, server này sẽ thực hiện các bước sau:
- Xác minh và trả lời: Nếu DNS Authoritative Server có thông tin về tênmiền được truy vấn, nó sẽ trả lời bằng các bản ghi DNS chính xác Ví dụ, nếu truyvấn là về www.example.com và DNS Authoritative Server quản lý tên miền
Trang 18example.com, nó sẽ trả lời bằng địa chỉ IP tương ứng.
- Chuyển hướng truy vấn: Nếu DNS Authoritative Server không có thông tincần thiết, nó có thể hướng dẫn truy vấn đến các máy chủ khác có thẩm quyền hơnhoặc lưu trữ thông tin đó
- Quản lý thông tin chính xác: Đảm bảo rằng tất cả các bản ghi DNS đượclưu trữ là chính xác và cập nhật, giúp duy trì tính toàn vẹn và hiệu quả của hệ thốngphân giải tên miền
Giả sử DNS Authoritative Server quản lý tên miền example.com Khi nhậnđược truy vấn về www.example.com, nó sẽ kiểm tra CSDL của mình và trả lờibằng địa chỉ IP tương ứng với www.example.com Nếu DNS Resolver hoặc DNSServer khác cần biết máy chủ nào chịu trách nhiệm xử lý email cho example.com,DNS Authoritative Server sẽ trả lời bằng bản ghi MX phù hợp
DNS Authoritative Server là một phần không thể thiếu của hệ thống DNS,đảm bảo rằng thông tin tên miền được cung cấp chính xác và kịp thời, hỗ trợ việcphân giải tên miền trên toàn thế giới
1.2.1.3 DNS Root Server
DNS Root Server là máy chủ quan trọng nằm ở đỉnh của hệ thống phân cấpDNS Chúng là bước đầu tiên trong quá trình phân giải tên miền, đóng vai tròhướng dẫn và định hướng các truy vấn DNS đến các máy chủ cấp cao hơn trong hệthống
DNS Root Server có các chức năng chính sau:- Hướng dẫn truy vấn: Khi nhận được yêu cầu từ các DNS Resolver, DNSRoot Server không cung cấp địa chỉ IP trực tiếp của tên miền, mà thay vào đó,hướng dẫn các truy vấn này đến các TLD Server (Top-Level Domain Server) tươngứng
- Cung cấp thông tin TLD: DNS Root Server lưu trữ thông tin về các TLD
Trang 19Server như com, net, org, edu, và nhiều tên miền cấp cao khác Mỗi TLD Serverquản lý một nhóm các tên miền cụ thể.
- Đảm bảo độ tin cậy và sẵn sàng cao: Với tổng cộng 13 cụm DNS RootServer trên toàn cầu, chúng đảm bảo tính sẵn sàng và khả dụng cao của hệ thốngDNS, giúp duy trì sự ổn định và bảo mật của Internet
Quá trình hoạt động của DNS Root Server có thể mô tả qua các bước sau:- Nhận truy vấn từ DNS Resolver: Khi người dùng nhập một tên miền (ví dụ:www.example.com) vào trình duyệt, DNS Resolver trên máy tính người dùng sẽkiểm tra bộ nhớ đệm (cache) của mình trước Nếu không có thông tin cần thiết, nósẽ gửi truy vấn đến DNS Root Server
- Trả về thông tin TLD Server: DNS Root Server nhận truy vấn và kiểm traCSDL của mình Thay vì trả về địa chỉ IP của tên miền trực tiếp, nó sẽ trả về thôngtin về TLD Server tương ứng với phần mở rộng của tên miền (ví dụ: com)
- Hướng dẫn truy vấn tiếp theo: DNS Resolver nhận thông tin từ DNS RootServer và tiếp tục gửi truy vấn đến TLD Server đã được chỉ định Quá trình nàytiếp tục theo hệ thống phân cấp cho đến khi tìm được địa chỉ IP cuối cùng của tênmiền
- Cải thiện hiệu suất với bộ nhớ đệm: Để tăng tốc quá trình phân giải tênmiền trong tương lai, DNS Resolver lưu trữ kết quả vào bộ nhớ đệm của mình Lầnsau khi cùng một tên miền được truy vấn, DNS Resolver có thể trả lời ngay lập tứcmà không cần liên hệ lại với DNS Root Server
Có tổng cộng 13 cụm DNS Root Server, mỗi cụm được đại diện bởi một địachỉ IP riêng biệt Tuy nhiên, mỗi địa chỉ IP thực tế lại đại diện cho một cụm nhiềumáy chủ phân tán tại nhiều địa điểm khác nhau trên thế giới Điều này giúp tăngcường độ tin cậy và sẵn sàng của hệ thống Các cụm DNS Root Server được quảnlý bởi nhiều tổ chức độc lập như Internet Corporation for Assigned Names and
Trang 20Numbers (ICANN), Verisign, và nhiều tổ chức khác Sự phân phối này giúp đảmbảo rằng không có một tổ chức nào có toàn quyền kiểm soát hệ thống DNS, tăngcường tính bảo mật và ổn định.
DNS Root Server là nền tảng của hệ thống DNS toàn cầu, đảm bảo rằng cáctruy vấn tên miền được định tuyến chính xác và hiệu quả, giúp duy trì sự ổn định vàtin cậy của Internet
1.2.1.4 TLD Server
TLD Server (Top-Level Domain Server) là các máy chủ quan trọng trong hệthống DNS, chịu trách nhiệm quản lý các miền cấp cao nhất như com, net, org, vàcác miền quốc gia như vn (Việt Nam) và uk (United Kingdom) Chúng đóng vaitrò trung gian, kết nối các truy vấn từ DNS Root Server đến DNS AuthoritativeServer, đảm bảo quá trình phân giải tên miền diễn ra trôi chảy và hiệu quả
TLD Server có các chức năng chính như sau:- Quản lý miền cấp cao nhất: Mỗi TLD Server chịu trách nhiệm quản lý mộthoặc nhiều miền cấp cao nhất, bao gồm cả các miền chung (gTLDs) như com, net,và org, cùng với các miền quốc gia (ccTLDs) như vn và uk
- Cung cấp thông tin DNS Authoritative Server: Khi nhận được truy vấn từDNS Root Server, TLD Server sẽ trả về thông tin về DNS Authoritative Serverchịu trách nhiệm cho miền cấp hai cụ thể, như example.com
Quá trình hoạt động của TLD Server được thể hiện qua các bước sau:- Nhận truy vấn từ DNS Root Server: Sau khi DNS Resolver gửi truy vấnđến DNS Root Server và nhận được phản hồi về TLD Server tương ứng, nó sẽ tiếptục gửi truy vấn đến TLD Server này
- Trả về thông tin DNS Authoritative Server: TLD Server kiểm tra CSDLcủa mình để tìm DNS Authoritative Server chịu trách nhiệm cho miền cấp hai cụthể Ví dụ, nếu truy vấn là về www.example.com, TLD Server cho miền com sẽ
Trang 21xác định DNS Authoritative Server quản lý example.com.
- Chuyển tiếp truy vấn: TLD Server trả về thông tin về DNS AuthoritativeServer cho DNS Resolver Sau đó, DNS Resolver sẽ tiếp tục gửi truy vấn đến DNSAuthoritative Server để nhận được địa chỉ IP cuối cùng của tên miền
- Lưu trữ và cập nhật thông tin: TLD Server lưu trữ và cập nhật thườngxuyên các bản ghi DNS để đảm bảo rằng thông tin luôn chính xác và cập nhật, giúpquá trình phân giải tên miền diễn ra nhanh chóng và hiệu quả
TLD Server được phân phối trên toàn cầu và quản lý bởi nhiều tổ chức khácnhau Ví dụ, Verisign quản lý các TLD Server cho miền com và net, trong khi cáccơ quan quản lý quốc gia sẽ quản lý các miền quốc gia như vn và uk TLD Serverđược thiết kế để xử lý hàng triệu truy vấn mỗi ngày, đảm bảo rằng hệ thống DNShoạt động ổn định và hiệu quả Chúng được cập nhật thường xuyên để phản ánhnhững thay đổi và bổ sung trong CSDL DNS
TLD Server đóng vai trò then chốt trong hệ thống DNS, đảm bảo rằng cáctruy vấn tên miền được định tuyến chính xác đến các máy chủ có thẩm quyền, hỗtrợ quá trình phân giải tên miền một cách nhanh chóng và chính xác
1.2.1.5 Caching Server
Caching Server là máy chủ lưu trữ tạm thời các bản ghi DNS để giảm tải chohệ thống DNS tổng thể và cải thiện tốc độ truy vấn cho người dùng Bằng cách giữlại các kết quả truy vấn DNS trong một khoảng thời gian nhất định, Caching Servergiúp tăng hiệu quả và giảm độ trễ trong quá trình phân giải tên miền
Caching Server có các chức năng chính sau:- Lưu trữ tạm thời các bản ghi DNS: Caching Server giữ lại các bản ghi DNSđã được phân giải để giảm số lượng truy vấn phải gửi đến các DNS Server khác
- Cải thiện tốc độ phân giải tên miền: Bằng cách trả lời các truy vấn từ bộnhớ đệm, Caching Server giúp tăng tốc độ phân giải tên miền và cải thiện trải
Trang 22nghiệm người dùng.
- Quá trình hoạt động của Caching Server diễn ra qua các bước sau:- Lưu trữ kết quả truy vấn: Khi một truy vấn DNS được giải quyết bởi mộtDNS Server (chẳng hạn như DNS Root Server, TLD Server, hoặc DNSAuthoritative Server) kết quả này sẽ được lưu trữ trong bộ nhớ đệm của CachingServer
- Trả lời từ bộ nhớ đệm: Nếu có truy vấn tương tự trong tương lai, CachingServer có thể trả lời ngay lập tức từ bộ nhớ đệm, mà không cần phải gửi truy vấnđến các DNS Server khác Điều này giúp giảm tải cho hệ thống DNS tổng thể vàtăng tốc độ phản hồi
- Quản lý thời gian sống (TTL): Mỗi bản ghi DNS trong bộ nhớ đệm củaCaching Server có một thời gian sống (TTL - Time To Live) cụ thể Sau khi TTLhết hạn, bản ghi sẽ bị xóa khỏi bộ nhớ đệm và phải được truy vấn lại từ các DNSServer khác nếu có yêu cầu mới
Caching Server cần được quản lý và cấu hình đúng cách để tối ưu hiệu suấtvà bảo mật Quản trị viên hệ thống cần theo dõi và điều chỉnh các tham số như TTLđể đảm bảo rằng bộ nhớ đệm không giữ lại các bản ghi lỗi thời quá lâu, đồng thờicũng không xoá chúng quá nhanh khiến lợi ích của việc lưu trữ bị giảm đi
Caching Server là một phần quan trọng của hệ thống DNS, giúp tăng hiệusuất và hiệu quả trong quá trình phân giải tên miền, đồng thời giảm tải cho cácDNS Server chính, mang lại trải nghiệm Internet nhanh chóng và tốt hơn cho ngườidùng
1.2.2 Tên miềnTên miền là một địa chỉ định danh được sử dụng trên Internet Domain
thường được dùng để dẫn tới website của chúng ta đã được chứa trên host Tênmiền thường gắn kèm với tên công ty và thương hiệu của doanh nghiệp Tên miền
Trang 23là duy nhất và được cấp phát cho chủ thể nào đăng ký trước.
Ví dụ: google.com, vnexpress.net, yeuchaybo.com, thuanbui.me,…tất cả đềuđược gọi là những tên miền
Tên miền là tên của một website hoạt động trên Internet, đóng vai trò làmột địa chỉ tĩnh, cố định Nó giống như địa chỉ nhà hoặc mã zip code, giúp cácthiết bị định tuyến và vệ tinh dẫn đường cho hàng hóa lưu thông Tương tự, mộttrình duyệt cần một tên miền để dẫn đường tới nơi chứa website của chúng ta,gọi là web server
Hoạt động đăng ký tên miền được giám sát bởi tổ chức ICANN (InternetCorporation for Assigned Names and Numbers) ICANN quản lý việc đăng kýtên miền và duy trì CSDL chứa thông tin về các tên miền Khi một công ty hoặccá nhân mua tên miền, họ có thể chỉ định hoặc kết nối tên miền đó tới webserver mong muốn Để một website hoạt động bình thường trên Internet, cần cóít nhất hai thành phần là web server và tên miền
Web server là một máy tính chứa các tệp và CSDL tạo nên website Mỗikhi có người truy cập vào trang web từ trình duyệt của họ, web server sẽ gửi dữliệu của trang web đó ra Internet
Tên miền là tên mà mọi người gõ vào trình duyệt Vì tên miền đã được trỏtới địa chỉ web server, trình duyệt có thể gửi yêu cầu truy cập tới web server đó.Nếu không có tên miền, người dùng sẽ phải gõ một dãy số IP khó nhớ để truycập website Tên miền giúp làm cho quá trình truy cập web trở nên dễ dàng vàthân thiện hơn với người dùng
Ví dụ tên miền: https://www.kwtrain.com.Trong đó:
www: tiền tố của tên miền hay còn được gọi là sub-domain (tên miền
phụ) Chúng ta có thể thay thế www bằng tiền tố khác để xây dựng nhiều website
Trang 24con dựa trên một tên miền mẹ, ví dụ: blog.thuanbui.me, admin.thuanbui.me
kwtrain: tên được đặt của tên miền, thường là tên công ty, tên thương hiệu
hay bất kỳ cái tên nào chúng ta muốn sỡ hữu
.com: Hậu tố của tên miền, có thể gọi là đuôi tên miền Chúng ta có thể chọn
nhiều đuôi tên miền khác nhau như net, info, org, vn,…
Tên miền chỉ là một thương hiệu, một cái tên để xác định trên Internet Cầnphải có cả tên miền lẫn hosting để có thể xây dựng một website hoàn chỉnh Thiếumột trong hai thì cái còn lại sẽ vô dụng
Một website hoàn chỉnh, dù là trang bán hàng, blog cá nhân, hay bất kỳ dạngtrang web nào khác, giống như một cửa hàng của chúng ta Tên miền đóng vai tròlà tên thương hiệu cửa hàng (ví dụ như BH Sports, Big C, Coop Mart…), cònhosting chính là mặt bằng để bày biện hàng hóa và đón khách Một mặt bằng lớnnhưng thiếu thương hiệu sẽ không thể thu hút khách hàng và ngược lại, một thươnghiệu nổi bật nhưng mặt bằng kém cũng sẽ khiến khách hàng nhanh chóng quaylưng
Không nhất thiết phải mua tên miền và hosting từ cùng một nhà cung cấp.Thay vào đó, nên mua tên miền và hosting từ hai nhà cung cấp khác nhau để đảmbảo tính linh hoạt và khả năng quản lý tốt hơn Sau đó, có thể dễ dàng liên kết tênmiền với hosting
Tên miền có thể được hướng tới bất kỳ địa chỉ nào trên mạng Có thể điềuhướng tên miền tới một tên miền khác hoặc liên kết nó với hosting để xây dựngmột website hoàn chỉnh Điều này giúp chúng ta có sự linh hoạt trong việc quản lývà phát triển website của mình, đảm bảo rằng có thể tạo ra một trải nghiệm trựctuyến hiệu quả và chuyên nghiệp
Trang 251.3 Cơ chế phân giải của DNS1.3.1 Phân giải tên miền thành địa chỉ IP
Để một website hoạt động bình thường, cần phải có hai yếu tố cơ bản: tênmiền (domain) và hosting Tên miền là địa chỉ mà người dùng nhập vào trình duyệtđể truy cập vào trang web của chúng ta, trong khi hosting là nơi lưu trữ toàn bộ dữliệu và nội dung của website Để website có thể hoạt động, ta cần kết nối tên miềnvà hosting lại với nhau, thường được gọi là “trỏ tên miền về địa chỉ IP”
Có nhiều phương pháp để thực hiện việc trỏ tên miền về địa chỉ IP, chẳnghạn như trỏ trực tiếp về Name Server của hosting hoặc sử dụng Name Server mặcđịnh của nhà cung cấp tên miền Mỗi phương pháp đều có những ưu điểm và nhượcđiểm riêng và việc lựa chọn phương pháp nào phù hợp nên dựa trên mục đích sửdụng cụ thể của chúng ta
Việc trỏ tên miền về địa chỉ IP không quá phức tạp Điều chúng ta cần chuẩnbị bao gồm tài khoản quản trị DNS tên miền và địa chỉ IP cần trỏ về Khi đăng kýtên miền tại các nhà đăng ký ở Việt Nam, có hai cách trỏ tên miền về địa chỉ IPthường được sử dụng
Cách 1: Trỏ tên miền về địa chỉ IP (Dùng Name Server mặc định của nhà
cung cấp tên miền)
Trong phương pháp này, chúng ta sử dụng các Name Server mặc định củanhà cung cấp tên miền Quá trình này bao gồm các bước sau:
- Đăng nhập vào tài khoản quản trị DNS của nhà cung cấp tên miền: Truycập trang quản trị tên miền thông qua tài khoản của chúng ta
- Cấu hình bản ghi DNS: Tạo hoặc chỉnh sửa bản ghi A (Address) để trỏ tênmiền chính và các tên miền phụ (subdomain) về địa chỉ IP của hosting
Ưu điểm: Độc lập với nhà cung cấp hosting, giúp dễ dàng thay đổi hostingmà không cần cập nhật cấu hình tên miền; phù hợp với người quản lý nhiều tên
Trang 26miền, vì tất cả các tên miền có thể được quản lý từ một giao diện duy nhất.
Nhược điểm: Có thể phức tạp hơn trong việc cấu hình ban đầu; tốc độ truycập có thể chậm hơn do phải qua nhiều bước trung gian trước khi kết nối tớihosting
Cách 2: Trỏ tên miền về Name Server của Hosting
Phương pháp này sử dụng các Name Server được cung cấp bởi dịch vụhosting Các bước thực hiện bao gồm:
- Đăng nhập vào tài khoản quản trị DNS của nhà cung cấp tên miền: Truycập trang quản trị tên miền thông qua tài khoản của chúng ta
- Cập nhật Name Server: Thay đổi Name Server của tên miền sang NameServer của dịch vụ hosting mà chúng ta đang sử dụng
Ưu điểm: Đơn giản, dễ dàng quản lý cho người mới bắt đầu; tốc độ truy cậpnhanh hơn do giảm thiểu các bước trung gian
Nhược điểm: Phụ thuộc hoàn toàn vào dịch vụ của nhà cung cấp hosting.Nếu hosting gặp sự cố, website của chúng ta có thể bị gián đoạn; có thể gặp khókhăn khi chuyển đổi hosting, vì cần phải cập nhật lại Name Server
1.3.2 Phân giải địa chỉ IP thành tên miền
Phân giải địa chỉ IP thành tên miền (reverse DNS lookup) là quá trình tìmkiếm tên miền tương ứng với một địa chỉ IP Quá trình này có thể được thực hiệnbằng cách sử dụng các công cụ hoặc lệnh trong hệ điều hành hoặc thông qua cácdịch vụ trực tuyến
Phân giải từ địa chỉ IP ra tên miền đầy đủ được gọi là phân giải ngược.Nhiều tên miền có thể ánh xạ tới một địa chỉ IP duy nhất, nhưng ngược lạithì không đúng, một địa chỉ IP chỉ có thể ánh xạ tới duy nhất một tên miền Điềunày có nghĩa việc phân giải xuôi và ngược có thể không cho kết quả giống nhau
Trang 27Các trường trong DNS dùng cho phân giải ngược thường thuộc trách nhiệm củanhà cung cấp dịch vụ (ISP), như vậy là khá phổ biến cho việc phân giải ngược tớitên miền của ISP Đây không phải là yếu tố quan trọng đối với các trang web nhỏ,nhưng với một số ứng dụng thương mại điện tử thường yêu cầu việc phân giải xuôivà ngược phải phù hợp với nhau Ta có thể yêu cầu ISP thay đổi DNS cho phù hợpvới yêu cầu này.
Trang 28CHƯƠNG 2 PHÂN TÍCH CÁC HÌNH THỨC TẤN CÔNG VÀ GIẢI PHÁP
BẢO MẬT DỊCH VỤ DNS2.1 Các lỗ hổng của DNS
2.1.1 DNS Cache Poisoning
DNS Cache Poisoning là một hình thức tấn công trong đó kẻ tấn công thaotúng các bản ghi DNS được lưu trữ trong bộ nhớ đệm của DNS Resolver Điều nàycó thể được thực hiện bằng cách gửi các phản hồi DNS giả mạo đến một DNSResolver để thay thế các bản ghi hợp lệ với các bản ghi giả mạo Một khi bộ nhớđệm bị đầu độc, các truy vấn DNS từ người dùng sẽ nhận được các phản hồi sailệch, dẫn họ đến các trang web giả mạo hoặc độc hại
Hậu quả:- Chuyển hướng người dùng: Người dùng bị chuyển hướng đến các trangweb lừa đảo, nơi họ có thể bị đánh cắp thông tin cá nhân
- Lộ thông tin nhạy cảm: Thông tin đăng nhập và dữ liệu nhạy cảm có thể bịlộ khi người dùng nhập vào các trang web giả mạo
2.1.2 DNS Spoofing
DNS Spoofing xảy ra khi kẻ tấn công giả mạo phản hồi từ DNS Server đểchuyển hướng người dùng đến một địa chỉ IP giả mạo Điều này có thể được thựchiện bằng cách gửi các phản hồi DNS không hợp lệ đến DNS Resolver hoặc trựctiếp đến máy tính của người dùng
Hậu quả:- Lừa đảo người dùng: Người dùng bị lừa truy cập vào các trang web độchại, dẫn đến việc lộ thông tin nhạy cảm như mật khẩu và thông tin tài chính
- Gây nhiễm phần mềm độc hại: Người dùng có thể bị nhiễm phần mềm độchại khi truy cập vào các trang web giả mạo
Trang 292.1.3 DNS Amplification Attack
DNS Amplification Attack là một loại tấn công từ chối dịch vụ (DDoS),trong đó kẻ tấn công lợi dụng các DNS Resolver mở để gửi lượng lớn các truy vấnDNS nhỏ nhưng nhận phản hồi lớn Điều này khuếch đại lưu lượng tấn công, gâyquá tải hệ thống của mục tiêu
Hậu quả:- Làm sập hệ thống: Hệ thống mục tiêu có thể bị sập hoặc hoạt động chậmchạp do bị quá tải
- Gián đoạn dịch vụ: Dịch vụ trực tuyến của mục tiêu có thể bị gián đoạn,gây thiệt hại kinh tế và ảnh hưởng đến uy tín
2.2 Các kỹ thuật tấn công DNS 2.2.1 Kỹ thuật tấn công DNS Cache Poisoning
2.2.1.1 Khái niệm và cách thức hoạt động
DNS Cache Poisoning là một hình thức tấn công chủ động, trong đó kẻ tấncông sẽ thêm bản ghi DNS giả vào bộ nhớ cache DNS Bản ghi DNS giả sẽ chỉđịnh địa chỉ IP sai cho một tên miền hợp pháp Khi người dùng truy cập tên miềnđó, họ sẽ bị chuyển hướng đến trang web giả mạo
Hình 2.1 DNS Cache Poisoning (4)
https://www.studocu.com/vn/document/truong-dai-hoc-kinh-te-dai-hoc-quoc-gia-ha-noi/he-thong-thong-tin-ke-toan/dnssec-nhom-scanning/80955175
Trang 30Đây là một phương pháp tấn công máy tính nhờ đó mà dữ liệu được thêmvào hệ thống cache của các DNS máy chủ Từ đó, các địa chỉ IP sai (thường là cácđịa chỉ IP do kẻ tấn công chỉ định) được trả về cho các truy vấn tên miền nhằmchuyển hướng người dùng tư một website này sang một website khác.
2.2.1.2 Cơ chế tấn công
Để khai thác theo hướng này, kẻ tấn công lợi dụng lỗ hổng của phần mềmDNS, do các hồi đáp DNS không được xác nhận để đảm bảo chúng được gửi từ cácmáy chủ được xác thực, các bản ghi không đúng đắn sẽ được cache lại và phục vụcho các user khác
Ví dụ: Kẻ tấn công thay thế địa chỉ IP cho một bản ghi DNS trên DNS máychủ thành địa chỉ IP của máy chủ mà kẻ tấn công đang có quyền điều khiển Trênmáy chủ này, kẻ tấn công có triển khai một số phần mềm mã độc để khi ngườidùng bị chuyển qua sẽ dễ dàng bị nhiễm mã độc
2.2.1.3 Hậu quả
Hậu quả của kỹ thuật giả mạo tên miền DNS có thể làm hại nghiêm trọngđến cả cá nhân và tổ chức Một khi người dùng hoặc tổ chức truy cập vào các trangweb giả mạo, họ có thể bị đánh cắp thông tin cá nhân như tên đăng nhập, mật khẩu,thông tin tài khoản ngân hàng, và thông tin nhạy cảm khác
Hậu quả khác có thể bao gồm phá hoại hệ thống bằng cách cài đặt phần mềmđộc hại hoặc thu thập thông tin trên máy tính của nạn nhân Ngoài ra, khi một tổchức trở thành nạn nhân của kỹ thuật giả mạo tên miền, điều này có thể gây ra mấtuy tín và thiệt hại về kinh tế khi khách hàng hoặc đối tác không tin tưởng vào sự antoàn của hệ thống
2.2.2 Kỹ thuật tấn công DNS Spoofing
2.2.2.1 Khái niệm DNS Spoofing
DNS Spoofing là một loại hack bảo mật máy tính khiến dữ liệu hệ thống tên
Trang 31miền bị hỏng được đưa vào bộ đệm của trình phân giải DNS, khiến máy chủ tên trảvề bản ghi kết quả sai Lưu lượng truy cập được chuyển đến máy tính của kẻ tấncông (hoặc bất kỳ máy tính nào khác) do điều này.
Người dùng sẽ được gửi đến một địa chỉ IP giả mạo khi họ truy cập đến địachỉ mong muốn Kẻ tấn công đã tạo địa chỉ IP giả mạo này trước đây để ăn cắpthông tin tài khoản ngân hàng của người dùng
Hình 2.2 DNS Spoofing là một kỹ thuật (MITM) được dùng để cung cấp thông tin
DNS giả mạo cho một Host (5)
DNS Spoofing có thể được thực hiện theo nhiều cách khác nhau BKNS sẽgiải thích với chúng ta cách giả mạo DNS ID trong bài viết này Nếu truy vấn DNSđược gửi qua mạng, nó sẽ chứa một nhận dạng duy nhất Mục tiêu là phân biệt giữacác truy vấn và đáp trả Một cuộc tấn công máy tính sẽ ngăn chặn bất kỳ truy vấnDNS nào được gửi từ một thiết bị cụ thể Để gói dữ liệu được chấp nhận, kẻ tấncông sẽ tạo một gói giả mạo sử dụng truy vấn DNS để nhận dạng
Quá trình giả mạo sẽ được hoàn thiện với công cụ đơn giản Đầu tiên, kẻ tấn
Trang 32công sẽ giả mạo ARP Cache để định tuyến đại lượng của nó thông qua Host đangtấn công Từ đó, yêu cầu DNS sẽ bị chặn và gói dữ liệu giả mạo sẽ được gửi đi.Mục đích của việc làm này là lừa người dùng truy cập vào website giả mạo (độc)thay vì truy cập website mục tiêu ban đầu.
2.2.2.2 Nguyên lý hoạt động của DNS Spoofing
Kẻ tấn công cố gắng làm giả DNS (Domain Name System) thông tin để địnhtuyến người dùng đến các trang web độc hại hoặc giả mạo Đây là nguyên lý hoạtđộng của DNS Spoofing:
- Bước 1: Truy vấn DNS: Người dùng cố gắng truy cập một trang web bằng
cách nhập tên miền, chẳng hạn như www.example.com, vào trình duyệt Họ sẽ sửdụng DNS để tìm địa chỉ IP của trang web này
Hình 2.3 Thông tin lưu trữ trong máy chủ tên miền là không gian tên miền (6)
- Bước 2: Tấn công DNS giả mạo: Kẻ tấn công sửa đổi dữ liệu DNS trên
mạng hoặc chạy một máy chủ DNS giả mạo Để chuyển yêu cầu DNS của ngườidùng đến máy chủ DNS giả mạo, họ thường sử dụng các phương pháp như ARPSpoofing
Trang 33Hình 2.4 Kẻ tấn công đang bí mật đứng giữa mọi liên lạc bằng ARP Spoofing (7)
- Bước 3: Máy chủ DNS giả mạo sử dụng địa chỉ IP giả mạo thay vì địa chỉ
IP thực sự của trang web Điều này khiến máy tính của người dùng truy cập trangweb giả mạo thay vì trang web thực sự
Hình 2.5 Người dùng truy cập vào địa chỉ IP giả mạo thay vì địa chỉ IP thực (8)
- Bước 4: Người dùng có thể bị đưa vào trang web giả mạo và dữ liệu cá
7() https://vietnix.vn/arp-spoofing-la-gi/
Trang 34https://www.google.com/url?sa=i&url=https%3A%2F%2Fsinhvientot.net%2Fman-middle-dns-nhân của họ có thể bị đánh cắp hoặc sử dụng cho mục đích độc hại.
Hình 2.6 Người dùng bị đánh cắp thông tin cá nhân khi truy cập trang web giả (9)
Các biện pháp bảo mật như DNSSEC, sử dụng máy chủ DNS tin cậy vàtránh kết nối với các mạng không an toàn sẽ ngăn chặn được tấn công DNSSpoofing
- Hậu quả:
Người dùng không nghi ngờ và nhập thông tin đăng nhập, số thẻ tín dụng,
Trang 35hoặc thông tin cá nhân vào các trang web giả mạo này.
Tin tặc thu thập được thông tin này và có thể sử dụng để thực hiện các hànhvi gian lận tài chính, ăn cắp danh tính hoặc bán thông tin cho bên thứ ba
* Lây nhiễm phần mềm độc hại- Cách thức tấn công:
Khi người dùng truy cập vào các trang web giả mạo, chúng có thể chứa mãđộc Mã độc này tự động tải xuống và cài đặt trên máy tính hoặc thiết bị của ngườidùng mà họ không hề hay biết
* Gián đoạn dịch vụ- Cách thức tấn công:
DNS Spoofing có thể làm cho người dùng không thể truy cập vào các trangweb hoặc dịch vụ trực tuyến một cách bình thường
Trang 362.2.3 Kỹ thuật tấn công DNS Amplification
2.2.3.1 Khái niệm DNS Amplification
DNS Amplification là một cuộc tấn công Distributed Denial of Service(DDoS), trong đó kẻ tấn công khai thác các lỗ hổng trong những DNS (DomainName System) server để biến các truy vấn nhỏ ban đầu thành những payload lớnhơn nhiều, được sử dụng để “hạ gục” máy chủ của nạn nhân
Hình 2.7 DNS Amplification Attacks (10)
Một cuộc tấn công DNS Amplification là một cuộc tấn công DDoS bằngcách tăng cường lưu lượng truy cập thông qua sử dụng các DNS resolvers mở,khiến cho một máy chủ hoặc mạng mục tiêu bị quá tải và trở nên không thể truycập được Phương pháp tấn công này dựa trên khả năng phản hồi của các máy chủDNS, khi kẻ tấn công gửi yêu cầu giả mạo tới các máy chủ DNS mở và yêu cầutruy vấn thông tin lớn hơn Sau đó, các máy chủ DNS sẽ trả lại phản hồi với lượngdữ liệu lớn hơn nhiều lần, tạo ra một lưu lượng truy cập đáng kể, vượt quá khảnăng xử lý của máy chủ hoặc mạng mục tiêu Kết quả là, máy chủ hoặc mạng sẽ bị
Trang 37quá tải và trở nên không thể truy cập được.
2.2.3.2 Nguyên lý hoạt động của DNS Amplification
Cơ chế tấn công DNS Amplification là tận dụng chức năng của các trìnhphân giải DNS mở để hạ server, hệ thống mạng mục tiêu với lưu lượng đượckhuếch đại Các server và hệ thống hạ tầng xung quanh để sẽ không thể truy cậpđược
Tất cả các cuộc tấn công dạng “khuếch đại” đều khai thác sự chênh lệch vềmức tiêu thụ băng thông giữa bên tấn công và tài nguyên web của mục tiêu Sựchênh lệch càng tăng cao với càng nhiều request và lưu lượng truy cập có thể làmgián đoạn cơ sở hạ tầng mạng Bằng cách tăng mức khuếch đại này từ việc ra lệnhmỗi bot trong mạng botnet thực thi các request tượng tự nhau, bên tấn công sẽ dễẩn mình và thực hiện DDoS tấn công vào mục tiêu
Do mỗi bot tạo request sẽ yêu cầu mở phân giải DNS cho các IP giả đã thaythế IP thật của nạn nhân đến cho mục tiêu, lúc này phản hồi sẽ được gửi lại Bêntấn công sẽ cấu trúc lại request theo cách lấy được các phẩn hồi từ trình phân giảiDNS càng nhiều càng tốt Theo đó lưu lượng truy cập ban đầu sẽ được khuếch đạivà gửi đến cho mục tiêu, hệ thống mạng sẽ nghẽn vì quá tải, cuối cùng dẫn đến bịDDoS (từ chối dịch vụ)
Cách thức mỗi bot thực hiện trong tấn công DNS Amplification có thể liênhệ thực tế như 1 cuộc gọi nặc danh đến cửa hàng và yêu cầu mua các món hàng vớisố lượng lớn, nhưng để lại thông tin liên lạc hay địa chỉ là của một người khác, nạnnhân sẽ phải nhận các cuộc gọi từ bên cung cấp cùng với các thông tin mà mìnhkhông hề yêu cầu
Theo cách giải thích cụ thể hơn, hình thức này bao gồm các bước như sau:
Thu thập địa chỉ IP của máy chủ DNS mục tiêu:
Đầu tiên, kẻ tấn công sử dụng các công cụ như DNSenum để tìm kiếm và
Trang 38xác định các máy chủ DNS mở trên Internet Các máy chủ này thường được cấuhình sai, cho phép truy vấn từ bất kỳ địa chỉ IP nào, không chỉ từ các nguồn đượcủy quyền.
Các máy chủ DNS mở này là mục tiêu chính của kẻ tấn công vì chúng làđiểm vào lý tưởng để tạo ra lưu lượng truy vấn DNS lớn
Tạo danh sách địa chỉ IP mục tiêu:
Sau khi xác định được các máy chủ DNS mở, kẻ tấn công xác định địa chỉ IPcủa mục tiêu tấn công, ví dụ như một trang web, một dịch vụ trực tuyến, hoặc mộthệ thống mạng cụ thể
Tạo các gói tin request DNS giả mạo:
Kẻ tấn công sử dụng các công cụ để tạo ra các gói tin truy vấn DNS với phầnđịa chỉ nguồn giả mạo Phần địa chỉ nguồn này được thiết lập sao cho chúng trỏ vềđịa chỉ IP của mục tiêu tấn công
Điều này đảm bảo rằng các máy chủ DNS mở sẽ nhận diện các truy vấn nhưlà yêu cầu từ mục tiêu thực sự và gửi phản hồi đáp ứng
Gửi request đến máy chủ DNS:
Các gói tin truy vấn DNS giả mạo sau đó được gửi đến một số lượng lớn cácmáy chủ DNS mở Do cấu hình sai, các máy chủ này sẽ xử lý các yêu cầu màkhông cần xác thực địa chỉ IP nguồn
Các máy chủ DNS mở này sẽ trả lời các yêu cầu, tạo ra lượng lớn các phảnhồi DNS
Tận dụng hiệu ứng khuếch đại:
Các yêu cầu được thiết kế sao cho câu trả lời từ các máy chủ DNS sẽ lớn hơnnhiều so với yêu cầu ban đầu Điều này tạo ra hiệu ứng khuếch đại, trong đó mộtgói tin nhỏ có thể tạo ra một phản hồi lớn
Trang 39Mục tiêu nhận lưu lượng truy cập lớn:
Các phản hồi lớn này, sau đó được gửi đến địa chỉ IP của mục tiêu tấn công,gây ra quá tải hệ thống của mục tiêu Lượng lớn các phản hồi tiêu thụ băng thôngvà tài nguyên hệ thống, dẫn đến sự chậm trễ hoặc hoàn toàn ngừng phục vụ các yêucầu hợp pháp
Duy trì và điều chỉnh tấn công:
Kẻ tấn công có thể điều chỉnh số lượng và loại yêu cầu, cũng như danh sáchmáy chủ DNS sử dụng trong tấn công, để tối ưu hóa lưu lượng và duy trì tấn côngcho đến khi đạt được mục tiêu
Hình 2.8 Nguyên lý hoạt động của DNS Amplification (11)
2.2.3.3 Hậu quả
Tấn công DNS Amplification không chỉ là một vấn đề kỹ thuật, mà còn cóthể có những hậu quả nghiêm trọng đối với cả cá nhân và tổ chức Dưới đây là mộtsố hậu quả của tấn công DNS Amplification:
Tắc nghẽn mạng và quá tải hệ thống
Khi một lượng lớn các gói tin DNS giả mạo được gửi đến một máy chủ DNSmở, nó có thể làm quá tải mạng và hệ thống của máy chủ đó Điều này có thể dẫn
11() https://tenten.vn/tin-tuc/dns-amplification-la-gi/
Trang 40đến tình trạng tắc nghẽn mạng, làm giảm tốc độ truy cập của người dùng và làmchậm hoạt động của các dịch vụ trực tuyến.
Tấn công từ chối dịch vụ (DDoS)
Một trong những hậu quả nghiêm trọng nhất của tấn công DNSAmplification là tấn công từ chối dịch vụ (DDoS) Bằng cách tạo ra một lượng lớncác yêu cầu DNS giả mạo và đẩy chúng đến mục tiêu, kẻ tấn công có thể làm quátải hệ thống mục tiêu và khiến cho dịch vụ trực tuyến không khả dụng cho ngườidùng hợp pháp
Mất băng thông và tài nguyên hệ thống
Các phản hồi lớn từ máy chủ DNS mở sẽ tiêu thụ một lượng lớn băng thôngmạng và tài nguyên hệ thống của mục tiêu Điều này không chỉ gây ra mất mát vềhiệu suất mạng mà còn làm giảm khả năng phục vụ cho các yêu cầu hợp pháp từngười dùng
Nguy cơ mất dữ liệu và lỗ hổng bảo mật
Trong quá trình tấn công, có thể xảy ra mất dữ liệu hoặc lỗ hổng bảo mật dosự chậm trễ hoặc ngừng hoạt động của hệ thống Điều này có thể mở ra cánh cửacho các cuộc tấn công khác
Mất khả năng truy cập vào dịch vụ và ứng dụng trực tuyến
Do tấn công DNS Amplification có thể làm quá tải mạng và hệ thống củamục tiêu, người dùng có thể gặp khó khăn khi truy cập vào các dịch vụ và ứngdụng trực tuyến như trang web, ứng dụng di động, hoặc dịch vụ đám mây Điềunày có thể gây ra sự bất tiện và ảnh hưởng đến trải nghiệm người dùng cuối
Ảnh hưởng đến hệ thống toàn cầu
Một tấn công DNS Amplification có thể lan rộng và ảnh hưởng đến hệ thốngmạng toàn cầu Khi một số lượng lớn các máy chủ DNS mở bị tấn công và quá tải,