Tổng quan về DNS – Hệ thống tên miền Hiện nay các máy tính nối mạng toàn cầu liên lạc với nhau, tìm đường trên mạng và nhân diện nhau bằng địa chỉ IP.. Ban đầu với mạng máy tính còn nhỏ
Trang 1MẠNG MÁY TÍNH VÀ BẢO MẬT
1 Nhắc lại về địa chỉ IP:
Địa chỉ IP (IP là viết tắt của từ tiếng Anh: Internet Protocol - giao thức Internet) là một địa chỉ đơn nhất mà những thiết bị điện tử hiện nay đang sử dụng để nhận diện và liên lạc với nhau trên mạng máy tính bằng cách sử dụng giao thức Internet
Mỗi địa chỉ IP là duy nhất trong cùng một cấp mạng.
a IPv4
Tổ hợp 32 bit, chia làm 4 octet, thường được viết dạng 4 số thập phân có dấu chấm
phân cách
(ví dụ: 192.168.1.8)
b IPv6
Địa chỉ IP theo phiên bản IPv6 sử dụng 128 bit để mã hoá dữ liệu, nó cho phép sử dụng nhiều địa chỉ hơn so với IPv4 Ước tính địa chỉ IP phiên bản IPv6 cho phép cung cấp (4*10^4)^4 (4 tỉ mũ 5) địa chỉ IP cùng lúc
Địa chỉ IP phiên bản IPv6 đang dần được đưa vào áp dụng bởi nguồn tài nguyên IPv4 đang cạn kiệt do sự phát triển rất nhanh của công nghệ thông tin Tuy nhiên vì lý do tương thích với thiết bị cũ, nên có thể thay thế hết cho IPv4, các tổ chức đã đề xuất lộ trình chuyển đổi IPv4 sang IPv6 bắt đầu từ năm 2019 đến năm 2033
2 Tổng quan về DNS – Hệ thống tên miền
Hiện nay các máy tính nối mạng toàn cầu liên lạc với nhau, tìm đường trên mạng
và nhân diện nhau bằng địa chỉ IP Về phía người sử dụng để có thể sử dụng được các
Trang 2dịch vụ trên mạng họ phải nhớ được địa chỉ của các máy chủ cung cấp dịch vụ này Do người sử dụng phải nhớ được địa chỉ IP với dạng chữ số dài như vậy khi nối mạng là rất khó khăn và vì thế có nhu cầu một địa chỉ thân thiện, mang tính gợi mở và dễ nhớ hơn cho người sử dụng đi kèm Và từ yêu cầu đó đã hình thành hệ thống tên miền
Ban đầu với mạng máy tính còn nhỏ của Bộ quốc phòng Mỹ thì chỉ cần một tệp HOSTS.txt chứa các thông tin về chuyển đổi địa chỉ và tên mạng Nhưng khi mạng máy tính ngày càng phát triển thì với một tệp HOSTS.txt là không khả thi
Do vậy đến năm 1984 Paul Mockpetris thuộc viện USC’s Information Sciences Institute phát triển một hệ thống quản lý tên miền mới lấy tên là Hệ thống tên miền – Domain Name System và ngày càng phát triển
DNS (Hệ thống tên miền )là cơ sở dữ liệu phân tán được thực hiện theo tổ chức phân
cấp của nhiều Name Server
Các dịch vụ DNS:
Dịch tên host ra địa chỉ IP
Bí danh Host
Bí danh Mail Server
Phân phối tải
Các Web Server bản sao: nhiều địa chỉ IP tương ứng cho một tên đúng chuẩn
Tại sao không tập trung hóa DNS?
Một điểm chịu lỗi
Lưu lượng
Khoảng cách CSDL tập trung
Cấu trúc của tên miền
Cách đặt tên miền
Tên miền sẽ có dạng : Label.label.label….label
Độ dài tối đa của một tên miền là 255 ký tự
Mỗi một label tối đa là 63 ký tự bao gồm cả dấu “.”
Phân loại tên miền
Các loại tên miền được phân chia thành các loại sau:
com: Tên miền này được dùng cho các tổ chức thương mại edu: Tên miền này được dùng cho các cơ quan giáo dục, trường học net: Tên miền này được dùng cho các tổ chức mạng lớn
gov: Tên miền này được dùng cho các tổ chức chính phủ org: Tên miền này được dùng cho các tổ chức khác int: Tên miền này dùng cho các tổ chức quốc tế info: Tên miền này dùng cho việc phục vụ thông tin arpa: Tên miền ngược (Hệ thống tên miền thông thường cho phép chuyển đổi từ tên miền sang địa chỉ IP Trong thực tế, một số dịch vụ Internet đòi hỏi hệ thống máy chủ DNS phải có chức năng chuyển đổi từ địa chỉ IP sang tên miền Tên miền ngược ra đời nhằm phục vụ mục đích này.)
mil: Tên miền dành cho các tổ chức quân sự, quốc phòng
Trang 3Mã các nước trên thế giới tham gia vào mạng internet, các quốc gia này được qui định bằng hai chữ cái theo tiêu chuẩn ISO-3166 (Ví dụ : Việt Nam
là vn, Singapo la sg,….)
Tổ chức ICANN đã thông qua hai tên miền mới là:
travel: Tên miền dành cho tổ chức du lịch post: Tên miền dành cho các tổ chức bưu chính
Các tên miền dưới mức root này đươc gọi là Top –Level – Domain
Domain name cấp cao nhất là tên miền bạn đăng ký trực tiếp với các nhà cung cấp Domain name Theo sau ngay phần tên bạn tùy chọn là phần TLD (Top Level Domain) có dạng: com, net, org, gov, edu, info, tv, biz,… hoặc các TLD kết hợp với ký hiệu viết tắt của quốc gia: com.vn, net.vn, org.vn, gov.vn,…
Ví dụ:
www.pavietnam.vn www.raovat.com www.yahoo.com www.vnn.vn Được coi là các tên miền cấp cao nhất Các tên miền cấp cao nhất thể hiện
sự chuyên nghiệp và uy tín trong kinh doanh trên Internet của các doanh nghiệp
Domain name thứ cấp
Là tất cả những loại Domain name còn lại mà domain đó phải phụ thuộc vào một Domain name cấp cao nhất Để đăng ký các Domain name kiểu này, thông thường bạn phải liên hệ trực tiếp với người quản lý Domain name cấp cao nhất
Ví dụ:
http://news.pavietnam.vn http://local.pavietnam.vn Được coi là những tên miền thứ cấp
Trang 4 DNS Server
Quá trình "dịch" tên miền thành địa chỉ IP để cho trình duyệt hiểu và truy cập được vào website là công việc của một DNS server
Root Server DNS
Là server quản lý toàn bộ cấu trúc của hệ thống tên miền
Root Server không chứa dữ liệu thông tin về cấu trúc hệ thống DNS mà nó chỉ
chuyển quyền quản lý xuống cho các server cấp thấp hơn
Hiện nay trên thế giới có khoảng 13 root server quản lý toàn bộ hệ thống
Internet
Sự thật về 13 Root Server
Dạo gần đây có tin đồn rằng nhóm hacker Anonymous đe dọa sẽ đánh sập internet bằng cách sẽ DDoS chết "13 máy chủ tên miền gốc" ( 13 Root DNS server ) Vậy 13 máy chủ tên miền gốc này là gì ? có thực sự tồn tại 13 máy chủ tên miền gốc này và chúng đều thuộc kiểm soát của Hoa Kỳ ?
Lời đồn huyền thoại Lời đồn về sự tồn tại của 13 máy chủ tên miền gốc xuất phát từ một dải gồm 13 tên miền được hardcode bên trong mã nguồn của chương trình quản lý máy chủ tên miền nổi tiếng của đại học Berkeley - BIND và được đề cập trong RFC 2929:
a.root-servers.net b.root-servers.net c.root-servers.net d.root-servers.net e.root-servers.net f.root-servers.net
Trang 5g.root-servers.net
h.root-servers.net
i.root-servers.net
j.root-servers.net
k.root-servers.net
l.root-servers.net
m.root-servers.net
Lời đồn cho rằng mỗi dòng trên đây ứng với một máy chủ tên miền gốc và máy chủ tên miền gốc này là một siêu máy tính được đặt tại một nơi nào đó thuộc Hoa Kỳ hoặc đồng minh của Hoa Kỳ
Lời đồn này có vẻ được giới truyền thông hiểu lầm và đăng lại suốt một thời gian dài dẫn tới nhiều ngộ nhận tức cười về khả năng tổn thương của internet và quyền lực tác động của chính phủ Hoa Kỳ đối với internet Điển hình là hàng ngàn cuộc tấn công lớn nhỏ xuyên suốt chiều dài lịch sử của internet vào 13 Root servers này, đỉnh cao là tin đồn về việc Anonymous huy động lực lượng tấn công vào 13 Root servers nhằm "đánh sập hoàn toàn internet" vào ngày 31/3/2012
Sự thật ?
Sự thật là có 13 Root Servers thật Nhưng đó không phải chỉ là 13 cái máy siêu máy chủ mà là 13 mạng lưới máy chủ bao gồm hàng trăm máy chủ DNS được phân rải khắp nơi trên thế giới, kể cả tại các quốc gia thù địch với Hoa Kỳ như Nga và Trung Quốc (f.root-servers.net) 13 mạng lưới máy chủ này được thiết kế để mỗi máy chủ trong mạng lưới ( có thể hiểu nôm na như vậy ) đều có vai trò giống nhau, không
có cái nào quan trọng hơn, bản thân chúng được thiết kế để trở thành mirror của các máy chủ hidden DNS master Mỗi một máy chủ hoặc nhiều hoặc thậm chí cả trăm cái cùng chết một lúc thì những cái khác vẫn còn đủ dữ liệu và sẵn sàng thay thế tức thì Tới đây có một câu hỏi cần làm rõ về hidden DNS master Đây mới chính là các máy chủ DNS gốc, chúng không trực tiếp thò mặt ra internet, chúng chỉ đóng vai trò lưu trữ dữ liệu DNS gốc, các máy chủ trong 13 mạng lưới máy chủ DNS sẽ chứa bản sao dữ liệu từ các hidden DNS master Các hidden DNS master hiện nay nằm dưới sự kiểm soát của Verisign và US Department of Commerce
Quyền lực của chính phủ Hoa Kỳ ?
Người Mỹ tạo ra internet đó là điều không thể chối cãi Người Mỹ hiện nay cũng kiểm soát toàn bộ các tổ chức nắm quyền kiểm soát hệ thống quản lý 13 mạng lưới máy chủ DNS 12 tổ chức này bao gồm Verisign • USC-ISI • Cogent • UMD • NASA-ARC • ISC • DOD-NIC • ARL • Autonomica • RIPE • ICANN • WIDE
Bất kỳ tổ chức nào nếu muốn đóng góp máy chủ của mình vào mạng lưới mirror cho 13 Root DNS server này thì có thể liên lạc với một trong 12 tổ chức trên họ sẽ sẵn sàng nhận sự trợ giúp
Chính phủ Hoa Kỳ có quyền ra lệnh cho tất cả 12 tổ chức trên với quyền kiểm soát 13 mạng lưới DNS Root Servers ngưng xử lý tất cả các DNS Request trên thế
Trang 6giới Sau tối đa 86400 giây hay 24 giờ thì tất cả các DNS cache sẽ hết hạn (TTL expired) và toàn bộ internet sẽ ngưng hoạt động ( không tính các nước chỉ chuyên xài intranet riêng như TQ, Iran, Bắc Hàn ) Hoặc bằng một cách khác, họ sẽ ra lệnh ngưng hoạt động các hidden DNS master, ngay lập tức Internet sẽ bị đóng băng, sẽ không một DNS Record nào được tạo ra và không một DNS Record nào được xóa đi, internet sẽ vẫn vận hành nhưng sẽ không phát triển nữa
Có khả năng một tổ chức hacker nào đó không phải chính phủ Hoa Kỳ vô hiệu hóa internet ?
Câu trả lời là không Internet được thiết kế để tồn tại lâu dài mà không phụ thuộc quá nhiều vào bất kỳ một thành phần trọng yếu nào
Như câu chuyện 13 Máy chủ trên miền gốc ở trên Nhóm hacker Anonymous không thể nào triệt hạ được toàn bộ hàng trăm máy chủ tên miền gốc đang vận hành trên khắp thế giới chỉ bằng DDoS Đặc biệt hơn, các máy chủ thuộc 13 mạng lưới trên
có cấu hình hoàn toàn khác nhau, chạy những phần mềm khác nhau và được bảo vệ cũng rất khác nhau Không một tổ chức nào hoặc quốc gia nào có đủ lực lượng và tài nguyên để tiêu diệt hết các máy chủ này Hơn nữa, ngoài các tổ chức chính thức quản
lý các DNS Root server, còn có hàng trăm tổ chức khác cũng đóng góp máy chủ vào
13 mạng lưới này Số lượng máy chủ không hề giảm đi mà còn tăng lên theo thời gian
Mặt khác, dù Chính phủ Hoa Kỳ có ra lệnh tiêu diệt internet thì với khả năng của các quốc gia khác hiện tại, việc tái lập internet là chuyện hoàn toàn có thể xảy ra Internet chỉ có thể chết nếu không còn ai muốn dùng nó nữa, mà điều này cũng
là chuyện không tưởng nốt
Top – Level Domain Server
Chịu trách nhiệm cho tên miền com, org, net, edu, …, và tên miền quốc gia (vn, us,
au, ca, sg, jp…)
Anthoritative DNS Server (DNS Server có thẩm quyền)
DNS Server của riêng tổ chức cung cấp các tên host có thẩm quyền để ánh xạ địa chỉ IP cho các host được đặt tên của tổ chức đó
Có thể được duy trì bởi tổ chức hoặc nhà cung cấp dịch vụ
Local DNS server
Không hoàn toàn theo cấu trúc phân cấp
Mỗi ISP - Internet Service Provider (ISP cá nhân, công ty, trường đại học) có 1 Local DNS server
Khi 1 host tạo một truy vấn DNS, truy vấn được gửi đến Local DNS server
Có bộ nhớ đệm (cache) cục bộ của các cặp chuyển đổi tên-đến-địa chỉ gần đây
3 Truy vấn DNS – DNS query
Có 2 loại truy vấn: Truy vấn lặp và truy vấn đệ quy
Trang 7- Một truy vấn đệ quy, trong đó DNS client yêu cầu DNS server cung cấp một câu trả lời hoàn chỉnh cho các truy vấn
- Một truy vấn lặp, trong đó DNS client yêu cầu câu trả lời tốt nhất mà các máy chủ DNS có thể cung cấp mà không cần tìm kiếm sự giúp đỡ từ các máy chủ DNS khác Là kết quả của một truy vấn lặp đi lặp lại thường là đến một máy chủ DNS thấp hơn trong cây DNS
DNS server caching
- Caching la quá trình tạm thời lưu trữ thông tin truy cập gần đây (trong một hệ thống bộ nhớ đặc biệt) để truy cập nhanh hơn
- Khi 1 DNS server thực hiện 1 ánh xạ nó sẽ học ánh xạ đó
4 RESOURCE RECORD & DNS ZONE
Một tài nguyên bản ghi (RR) là một cấu trúc cơ sở dữ liệu DNS tiêu chuẩn chứa thông tin được sử dụng để xử lý các truy vấn DNS
RR là mẫu thông tin dùng để miêu tả các thông tin về cơ sở dữ liệu DNS, các mẫu tin này được lưu trong các file cơ sở dữ liệu DNS (\systemroot\system32\dns)
Một zone là một phần của cơ sở dữ liệu DNS chứa các RR
Các loại RR:
Trang 8Các loại zone
Loại bản ghi Mô tả
A Phân giải 1 host name ra địa chỉ IP
PTR Phân giải địa chỉ IP ra host name
Authority)
Bản ghi đầu tiên trong 1 file zone bất kì Trong mỗi tập tin cơ sở dữ liệu phải có một và chỉ một record SOA (start of authority) Bảng ghi SOA chỉ ra rằng máy chủ Name Server là nơi cung cấp thông tin tin cậy từ dữ liệu có trong zone
SRV Phân giải tên của máy chủ cung cấp dịch vụ
NS Xác định các máy chủ DNS cho từng zone
MX
Mail server Mail server: là máy chủ dùng để nhận và gửi mail, với các chức năng chính:
- Quản lý account
- Nhận mail của người gửi (của những người có account) và gửi cho người nhận hoặc mail server của người nhận
- Nhận mail từ mail server của người gửi (từ bên ngoài) và phân phối mail cho người trong hệ thống Tùy thuộc vào việc cài đặt mà mail-server cho phép người dùng sử dụng web-mail (web) để nhận mail (giống yahoo), hay cho phép sử dụng outlook (application), hay cả 2 (giống như gmail)
Nguồn bài viết: http://www.itviet360.com/2013/01/mail-server-
la-gi-tim-hieu-dich-vu-mail-server.html#ixzz2R6ogf0Ij CNAME
Canonical Name Phân giải 1 host name ra 1 host name
Trang 95 Chuyển
vùng DNS – DNS Transfer
Chuyển vùng DNS là việc đồng bộ hóa các dữ liệu giữa các máy chủ DNS
a Full zone transfer (AXFR)
Ban đầu khi xây dựng thống DNS, người ta đã thiết kế một kiểu zone transfer gọi
là full zone transfer, tức là sẽ transfer toàn bộ thông tin cơ sở dữ liệu của dns server chính
về cho server phụ Việc này được thực hiện thông qua việc kiểm tra serial number của SOA Resource Record Nếu serial number của server chính lớn hơn(mới hơn) thì server phụ sẽ yêu cầu server chính gửi toàn bộ thông tin về zone cho nó Đây chính là full zone transfer Thời gian các server phụ kiểm tra xem đã có sự thay đổi hay chưa đc định nghĩa bởi giá trị refresh của SOA RR
AFXR hoạt động trên TCP port 53
b.Incremental zone transfer (IXFR)
Full zone transfer bộc lộ một điểm yếu là nếu chỉ có 1 RR thay đổi thì việc full zone transfer là gây lãng phí cả về băng thông mạng và tốn nhiều thời gian RFC 1995 đã đưa ra một giao thức cho phép chỉ transhfer những RR có sự thay đổi
Cách thức làm việc của IXFR khá giống với AXFR Slave dns server gửi request đến master dns server mỗi lần hết giá trị refresh Nếu serial number của SOA RR là mới hơn thì nó sẽ gửi yêu cầu xem có thể sử dụng IXFR hay không Nếu cả slave và master server đều hỗ trợ IXFR thì sẽ sử dụng cách này để transfer zones Nếu thất bại sẽ sử dụng AXFR
IXFR sử dụng TCP port 53
b Thông điệp DNS
Giá trị refresh được định nghĩa trong SOA RR thường là vài giờ đồng hồ Điều đó
có nghĩa, nếu như có bất kỳ sự thay đổi nào từ master server thì slave server vẫn sẽ không biết được cho đến khi hết giá trị refresh đó
RFC 1996 định nghĩa một cơ chế cho phép master server gửi một thông điệp DNS đến các slave servers mỗi khi nó đc load hoặc đc cập nhật mới Thông điệp DNS này sẽ chỉ ra rằng, đã có một sự thay đổi nào đó đối với các RR Các slave nhận đc thông điệp
Primary Đọc/ ghi bản copy CSDL DNS
Secondary Chỉ đọc bản copy CSDL DNS
Stub Bản copy 1 zone với hạn chế các bản ghi
Trang 10DNS sẽ gửi đến master server yêu cầu kiểm tra SOA RR Nếu serial number lớn hơn so với serial hiện tại, slave server sẽ đưa ra yêu cầu là AXFR hoặc IXFR
6 Tấn công DNS
a Giả mạo DNS
b Giả mạo địa chỉ trong vùng nhớ đệm trong DNS
Giải pháp
c Loại hình tấn công Man in the middle (Kẻ nghe trộm)
Một trong những hình thức tấn công mạng, hoạt động bằng cách thiết lập các kết nối đến máy tính nạn nhân và relay các message giữa chúng
Trong trường hợp bị tấn công, nạn nhân cứ tin tưởng là họ đang truyền thông một cách trực tiếp với nạn nhân kia, trong khi đó sự thực thì các luồng truyền thông lại bị thông qua host của kẻ tấn công
Kẻ tấn công không chỉ thông dịch dữ liệu nhạy cảm mà nó còn gửi xen
vào cũng như thay đổi luồng dữ liệu để kiểm soát sâu hơn những nạn nhân của
nó
- Giả mạo ARP cache
- Giả mạo DNS
Giả mạo ARP cache
Tấn công này cho phép kẻ tấn công (nằm trên cùng một subnet với các nạn nhân của nó) có thể nghe trộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân
Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của giao thức ARP
Các máy tính đã gửi request khi nhận được ARP reply “vu vơ”, máy
tính request này sẽ nghĩ rằng đó chính là đối tượng mình đang tìm kiếm để truyền thông, tuy nhiên thực chất họ lại đang truyền thông với một kẻ tấn công
Giả mạo DNS
Giả mạo DNS là một kỹ thuật MITM được sử dụng nhằm cung cấp thông tin DNS sai để người dùng duyệt đến một địa chỉ nào đó