Nghiên cứu các hình thức tấn công và giải pháp bảo đảm an toàn dịch vụ DNS

Chương 1TỔNG QUAN VỀ HỆ THỐNG PHÂN GIẢI TÊN MIỀN DNS Chương 2 PHÂN TÍCH CÁC HÌNH THỨC TẤN CÔNG VÀ GIẢI PHÁP BẢO MẬT DỊCH VỤ DNS Chương 3 TRIỂN KHAI THỬ NGHIỆM VÀ ĐÁNH GIÁ KẾT QUẢ... H

Các lỗ hổng của DNS

Kỹ thuật tấn công DNS Cache Poisoning

DNS Cache Poisoning là một hình thức tấn công chủ động, trong đó kẻ tấn công sẽ thêm bản ghi DNS giả vào bộ nhớ cache DNS Bản ghi DNS giả sẽ chỉ định địa chỉ IP sai cho một tên miền hợp pháp Khi người dùng truy cập tên miền đó, họ sẽ bị chuyển hướng đến trang web giả mạo.

Các kỹ thuật tấn công DNS

Kỹ thuật tấn công DNS Spoofing2.2 Các kỹ thuật tấn công DNS

Khi người dùng truy cập vào các trang web giả mạo, chúng có thể chứa mã độc Mã độc này tự động tải xuống và cài đặt trên máy tính hoặc thiết bị của người dùng mà họ không hề hay biết.

DNS Amplification là một cuộc tấn công Distributed Denial of Service (DDoS), trong đó kẻ tấn công khai thác các lỗ hổng trong những DNS (Domain Name System) server để biến các truy vấn nhỏ ban đầu thành những payload lớn hơn nhiều, được sử dụng để “hạ gục” máy chủ của nạn nhân.

Cơ chế tấn công DNS Amplification là tận dụng chức năng của các trình phân giải DNS mở để hạ server, hệ thống mạng mục tiêu với lưu lượng được khuếch đại Các server và hệ thống hạ tầng xung quanh đó sẽ không thể truy cập được.

Các biện pháp bảo mật DNS

DNSSEC

Cơ chế hoạt động của DNSSEC

2.3 Các biện pháp bảo mật DNS

Công nghệ an toàn mở rộng của DNS - DNSSEC đã đưa ra 4 bản ghi mới:

DNSKEY - DNS Public Key (Bản ghi khóa công cộng): dùng để xác thực chữ ký trong bản ghi RRSIG.

RRSIG - Resource Record Signature (Bản ghi chữ ký tài nguyên): giúp lưu trữ các thông tin quan trọng dùng cho xác thực dữ liệu đi kèm.

DS - Delegation Signer (Bản ghi ký ủy quyền): xác thực khu vực được ủy quyền và tham chiếu DNSKEY trong vùng ủy quyền phụ.

NSEC - Next Secure (Bản ghi bảo mật kế tiếp): liên kết với NSEC để xác thực các bản ghi không tồn tại trong vùng, chứa liên kết bản ghi trong vùng và liệt kê các bản ghi tồn tại.

Bảo mật máy chủ DNS (DNS Server) là một thành phần quan trọng trong việc bảo vệ cơ sở hạ tầng mạng và đảm bảo tính toàn vẹn của dịch vụ DNS Dưới đây là một số phương pháp bảo mật phổ biến cho máy chủ DNS:

Sử dụng DNSSEC Chính sách kiểm soát truy cập (ACL) Cập nhật và vá lỗi thường xuyên

Bảo mật vật lý và mạng Giám sát và ghi log

Chống DDoS Ẩn thông tin hệ thống DNS Sử dụng mã hóa

Xác định nguồn cập nhật Lập lịch cập nhật định kỳ Giám sát và kiểm tra

Quản lý hệ thống cập nhật

Cấu hình bảo mật DNS Server

DNS over TLS (DoT) là một giao thức bảo mật được thiết kế để mã hóa và đóng gói các truy vấn và phản hồi DNS thông qua giao thức TLS Mục đích chính của DoT là tăng cường quyền riêng tư và bảo mật cho người dùng, ngăn chặn việc nghe lén và thao túng dữ liệu DNS thông qua các cuộc tấn công trung gian Bằng cách mã hóa dữ liệu DNS, DoT đảm bảo rằng thông tin liên lạc giữa người dùng và máy chủ DNS không thể bị gián đoạn hoặc xâm nhập.

DNS over HTTPS (DoH) là một giao thức bảo mật nhằm mã hóa và đóng gói các truy vấn và phản hồi DNS qua giao thức HTTPS Tương tự như DNS over TLS (DoT), DoH được thiết kế để bảo vệ các truy vấn DNS, nhưng thay vì sử dụng cổng 853 như DoT, DoH sử dụng cổng HTTPS 443 Điều này có nghĩa là lưu lượng DNS sẽ giống như lưu lượng HTTPS thông thường, giúp che giấu các truy vấn DNS trong luồng lưu lượng web chuẩn mà người dùng tạo ra khi truy cập các trang web.

Sử dụng DNS over HTTPS (DoH) và DNS over TLS (DoT)

2.3.3 Sử dụng DNS over HTTPS (DoH) và DNS over TLS (DoT)

Sự khác biệt giữa DoH và DoT

Sự khác nhau DoH DoT

Giao thức và cổng kết nối Sử dụng giao thức HTTPS và hoạt động trên cổng 443, mã hóa các truy vấn DNS thông qua HTTPS và HTTP/2 Điều này giúp DoH ẩn các truy vấn DNS trong luồng lưu lượng web thông thường.

Sử dụng giao thức TCP và hoạt động trên cổng 853 Nó mã hóa các truy vấn DNS bằng giao thức TLS.

Mức độ phức tạp của mã hoá Sử dụng HTTPS, cung cấp mã hóa phức tạp và an toàn hơn DoH mã hóa toàn bộ phản hồi DNS, bao gồm cả payload và địa chỉ IP, làm cho dữ liệu an toàn hơn và khó bị tin tặc truy cập.

Sử dụng một lớp mã hóa TLS bổ sung, cung cấp một mức độ bảo mật cao nhưng tương đối đơn giản so với DoH.

Tính khả dụng Có thể được sử dụng với bất kỳ trình duyệt web nào hỗ trợ HTTPS, giúp nó dễ dàng được triển khai và sử dụng rộng rãi hơn Người dùng chỉ cần một trình duyệt web hiện đại để sử dụng DoH.

Yêu cầu các máy chủ DNS resolvers hỗ trợ giao thức này, điều này có thể hạn chế sự phổ biến và triển khai rộng rãi.

Các công cụ và kỹ thuật giám sát: Wireshark, Snort, Zabbix, Suricata, BIND Tools.

Các biện pháp phòng chống tấn công DNS

Giám sát và phát hiện tấn công DNS

Phương pháp phát hiện: phân tích log DNS; Kiểm tra tính toàn vẹn DNSSEC; Sử dụng

DNS Firewall và Sinkhole; Phân tích dữ liệu lưu lượng DNS.

* Ý nghĩa của việc sao lưu dữ liệu DNS:

2.4 Các biện pháp phòng chống tấn công DNS

Thiết lập sao lưu và phục hồi DNS

* Quy trình khắc phục sự cố: Phân tích sự cố; Triển khai biện pháp tạm thời; Khắc phục sự cố và phục hồi dữ liệu; Kiểm tra và kiểm soát; Phân tích; Thông báo.

- Bảo vệ trước sự cố hỏng hóc và mất dữ liệu;

- Khôi phục nhanh chóng sau sự cố;

- Duy trì tính toàn vẹn và độ tin cậy của hệ thống;

- Phòng chống các cuộc tấn công và xâm nhập.

Triển khai thử nghiệm và đánh giá kết quả

Mô phỏng tấn công DNS Spoofing và đề xuất giải pháp phòng chống

3.1.1 Mô phỏng tấn công DNS Spoofing

* Khảo sát trang web tấn công

- Tên mục tiêu: Trang Web cá độ bóng đá Fb88wow.com

- Tính chất mục tiêu: lừa đảo người dùng tham gia vào cá độ bóng đá với hình thức trực tuyến

- Công nghệ xây dựng Web: gồm 14 công nghệ

Mục tiêu gồm có các mục lớn là thể thao ảo, esports, casino trực tuyến, quay hũ, trò chơi, xổ số, gửi tiền, chia sẻ các đường link để vào cá độ bóng đá và những ý kiến hỏi đáp từ các con bạc và admin Bên cạnh đó, người dùng có thể tự đăng cảm nghĩ, cách chơi của mình thông qua vlog đăng bài của trang web Hơn nữa, còn có bảng xếp hạng các bài đăng của những thành viên có lượt tương tác nhiều nhất.

3.1 Mô phỏng tấn công DNS Spoofing và đề xuất giải pháp phòng chống

Lực lượng công an và đối tượng đang ngồi trong 1 quán café và sử dụng wifi của quán Đối tượng này là một con bạc và chơi trên web www.Fb88wow.com (web thực tế) Nhưng việc dùng Wireshark thu thập thông tin để lấy được username và password rất khó vì trang web này sử dụng giao thức https Vì thế, lực lượng ta sử dụng kỹ thuật tấn công DNS Spoofing (giả mạo tên miền) Khi đối tượng click vào miền www.Fb88wow.com thì sẽ tự động trỏ đến web giả mạo mà lực lượng công an đã xây dựng (có giao diện giống như web Fb88wow.com mà đối tượng đang sử dụng) Mục đích là để chuyển đổi từ giao thức https về giao thức http Sau đó đối tượng muốn đăng nhập vào tài khoản của mình thì phải nhập username và password mà không hề biết đó là trang web giả mạo mà ta đã xây dựng Sau đó cán bộ chiến sĩ sẽ dùng Wireshark để bắt gói tin, biết được username và password của đối tượng Từ đó, ta có thể truy cập vào được tài khoản của đối tượng trên web Fb88wow.com và tiến hành thu thập các thông tin cần thiết tạo cơ sở phá được các trang web về cá độ.

Máy Kali Linux Máy Window

10 Truy cập Web cá độ thật

Tấn công Bị trỏ vào IP của

Hướng dẫn cài đặt và tiến hành thử nghiệm

- Cài đặt phần mềm Vmware

- Chuẩn bị 2 máy ảo: Kali Linux và Window 10 - Download tool Httphish trên máy Kali Linux

- Bước 1: Kiểm tra địa chỉ dải mạng của máy lực lượng công an là 192.168.37.131 (Địa chỉ này sẽ là địa chỉ mà ta xây dựng trang web có giao diện giống như web Fb88wow.com). Ở giai đoạn này, khi máy đối tượng truy cập vào địa chỉ 192.168.37.131 vẫn chưa hiển thị thông tin gì vì chưa cấu hình để tạo giao diện web cho địa chỉ.

- Bước 2: Tạo IP 192.168.37.131 thành một web server thông qua Apache

- Bước 3: Truy cập vào folder Httphish và chạy lệnh sudo python3 httphish.py để tiến hành clone trang web.

- Bước 4: Sau khi đã giả mạo trang web thành công, tiến hành nhập địa chỉ IP 192.168.37.131 để đưa giao diện giả mạo vào địa chỉ máy của lực lượng công an.

Lúc này ở máy đối tượng, khi truy cập vào địa chỉ 192.168.37.131 sẽ hiện ra giao diện đăng nhập của trang web Fb88wow.com (Xây dựng trang web giả mạo thành công).

- Bước 5: Trỏ Domain www.Fb88wow.com vào địa chỉ IP 192.168.37.131.

- Bước 6: Tiếp theo, cấu hình lại file etter.dns trong cd /etc/ettercap Mục đích của việc này để trỏ domain www.Fb88wow.com về địa chỉ IP 192.168.37.131.

- Bước 7: Tấn công giả mạo tên miền DNS Spoofing.

- Kịch bản: Cài đặt thông báo Telegram khi Zabbix Server phát hiện máy Window 10 bị tấn công DNS Spoofing.

3.1.2 Phát hiện tấn công DNS Spoofing

- Chuẩn bị cài đặt và tiến hành thử nghiệm

+ Cài đặt phần mềm Vmware+ Chuẩn bị 3 máy ảo: Kali Linux, Window 10 và Centos 7+ Tạo một tài khoản Telegram

Máy Kali Linux Máy Window

Bị trỏ vào IP của Web giả mạo

Máy CentOS giám sát máy Window 10Phát hiện bị tấn công

- Bước 1: Tạo Bot chat tương tác với người quản trị.

- Bước 2: Tạo một group mới có tên là Zabbix và tiến hành thêm Bot chat vừa tạo đưa vào group Địa chỉ của group sẽ được sử dụng ở bước 3.

- Bước 3: Tại web quản lý hệ thống Zabbix, tạo thông báo Telegram.

- Bước 4: Tại Configuration/Hosts/Items tạo một Item mới có tên DNS Queries với các thông số cấu hình như ảnh.

- Bước 5: Tại Configuration/Hosts/Triggers tạo một Trigger mới có tên “High number of DNS queries” với các thông số cấu hình như ảnh.

- Bước 6 : Tấn công DNS Spoofing như kịch bản 1.

Tại Telegram sẽ hiện cảnh báo máy Window 10 bị tấn công DNS Spoofing.

* Kịch bản: Cài đặt DNSSEC trên máy Window 10 làm cho máy Kali Linux tiến hành tấn công

DNS Spoofing không thành công.

3.1.3 Ngăn chặn tấn công DNS Spoofing

Máy Kali Linux Máy Window 10 có cài đặt DNSSEC Truy cập Web

- Bước 1: Nhấn tổ hợp phím Win + I để mở Settings và chọn Network & Internet.

- Bước 2: Chọn Change adapter options (Thay đổi tùy chọn bộ điều hợp).

- Bước 3: Chọn Use the following DNS server addresses và nhập như sau:

Preferred DNS server: 8.8.8.8 Alternate DNS server: 8.8.4.4

- Bước 4: Kiểm tra cấu hình DNSSEC.

Nhập một tên miền để kiểm tra và nhấp vào Go (www.kwtrain.com) Kết quả sẽ hiển thị các thông tin chi tiết về việc triển khai DNSSEC của tên miền đó.

Cơ chế tạo khoá của DNSSEC.

Mô phỏng tấn công DNS Amplification và đề xuất giải pháp phòng chống

3.2.1 Mô phỏng tấn công DNS Amplification

- Đơn vị khảo sát: Trường THPT Ngô Gia Tự, TP Tuy Hòa, tỉnh Phú Yên.

- Đối tượng khảo sát: Hệ thống mạng của trường THPT Ngô Gia Tự, TP Tuy Hòa, tỉnh Phú Yên.

Mô hình mạng tại trường THPT Ngô Gia Tự:

3.2 Mô phỏng tấn công DNS Amplification và đề xuất giải pháp phòng chống

Lực lượng Công an sử dụng máy ảo Kali Linux (Attacker) sẽ giả mạo địa chỉ IP của máy tính trong phòng học (Victim) và gửi các yêu cầu DNS giả mạo tới máy chủ DNS Server (Centos 7) của trường học.

Máy chủ DNS (Centos 7) nhận các yêu cầu này và gửi các phản hồi lớn đến địa chỉ IP của máy tính trong phòng học (Victim).

Kết quả là, máy tính trong phòng học (Victim) nhận được lượng lớn dữ liệu phản hồi DNS không mong muốn, gây ra quá tải băng thông và gián đoạn dịch vụ.

Mô hình tấn công DNS Amplification

Cài đặt và tiến hành thử nghiệm

- Cài đặt phần mềm Vmware- Chuẩn bị 3 máy ảo: Kali Linux, Centos 7 và Window 10- Download tool Hping3 trên máy Kali Linux

Chuẩn bị phần mềm Wireshark trên máy Window 10.

Giả sử máy của lực lượng công an (Kali Linux) DNS Server (Centos 7) và máy của đối tượng ta đang tấn công (Window 10) Các bước thực hiện tấn công

- Bước 1: Chuẩn bị script tấn công.

Tạo một file script với tên dns_amp_attack.sh: với câu lệnh nano dns_amp_attack.sh.

- Bước 2: Thêm đoạn code vào script.

- Bước 3: Kiểm tra lưu lượng mạng trên DNS Server (Centos 7) để kiểm tra quá trình tấn cống DNS Amplification với câu lệnh sudo tcpdump -i any port 53.

- Bước 4: Tiến hành tấn công DNS Amplification trên máy Kali linux với câu lệnh chmod +x dns_amp_attack.sh.

- Bước 5: Kiểm tra trên máy Window 10

- Bước 6: Kiểm tra lưu lượng mạng trên DNS Server

3.2.2 Giải pháp phòng chống tấn công DNS Amplification

Lực lượng công an qua quá trình thực hiện kiểm tra và cải thiện bảo mật cho hệ thống mạng nội bộ của trường THPT Ngô Gia Tự, TP Tuy Hòa, tỉnh Phú Yên để ngăn chặn các cuộc tấn công DNS Amplification, đã áp dụng các biện pháp phòng ngừa bằng cách triển khai DNS over TLS (DoT) và DNS over HTTPS (DoH).

Cài đặt và mô phỏng thử nghiệm

- Bước 1: Cấu hình DNS over HTTPS (DoH):

+) Nhấp chuột phải vào kết nối mạng chúng ta đang sử dụng và chọn Properties.

+) Chọn Internet Protocol Version 4 (TCP/IPv4) và nhấp vào Properties.

+) Chọn Use the following DNS server addresses và nhập địa chỉ IP của các máy chủ DNS hỗ trợ DoH, ví dụ:

- Bước 2: Bật DoH trong Windows:

+) Mở Registry Editor và điều hướng đến:

+) Tạo giá trị DWORD (32-bit) mới có tên EnableAutoDoh và đặt giá trị là 2 để bật DoH.

- Bước 3: Tiến hành cài đặt DoH trên DNS Server (Centos 7)

+) Tải và cài đặt công cụ wget là một công cụ dòng lệnh để tải các tệp từ web qua HTTP, HTTPS và FTP.

+) Tiến hành chạy công cụ

- Bước 4: Tiến hành tấn công DNS Amplification trên máy Attack (Kali linux)

- Bước 5 : Sử dụng phần mềm Wireshark và

Task Manager trên máy Window 10 để tiến hành kiểm tra việc ngăn chặn tấn công DNS Amplification.

+) CPU không có dấu hiệu tăng cao đột biến

+) Trên thanh tìm kiếm của Wireshark, tìm kiếm để kiểm tra: udp.port == 53 or tcp.port =53