BỘ CÔNG THƯƠNG TRƯỜNG CAO ĐẲNG KINH TẾ ĐỐI NGOẠI KHOA QUẢN TRỊ KINH DOANH ‫٭٭٭٭٭٭٭٭٭٭٭٭٭٭‬ ֎֎֎֎֎֎֎֎֎֎֎֎֎ MÔN MẠNG MÁY TÍNH LỚP TIN HỌC 18 NHÓM GIẢNG VIÊN: HOÀNG THANH HÒA ĐỀ TÀI: DỊCH VỤ DNS & DỊCH I Tên miền Mỗi thiết bị kết nối vào mạng Internet gán cho địa IP riêng biệt không trùng lẫn với thiết bị khác giới Tương tự với website có địa IP riêng biệt Tuy nhiên để nhớ số địa IP website việc khó khăn Vì người ta chuyển đổi số thành chuỗi ký tự mang ý nghĩa, dễ nhớ cho người sử dụng Chuỗi ký tự gọi tên miền (domain) II Dịch vụ DNS Giới thiệu - DNS (Domain Name System), hệ thống phân giải tên phát minh vào năm 1984 cho Internet, cho phép thiết lập tương ứng địa IP tên miền DNS hệ thống đặt tên theo thứ tự cho máy vi tính, dịch vụ, nguồn lực tham gia vào Internet -Nó liên kết nhiều thông tin đa dạng với tên miền gán cho người tham gia -Quan trọng nhất, chuyển tên miền có ý nghĩa cho người vào số định danh (nhị phân), liên kết với trang thiết bị mạng cho mục đích định vị địa hóa thiết bị khắp giới -DNS triển khai sử dụng hai thành phần máy chủ DNS (DNS server) máy trạm DNS (DNS client) -DNS server sở liệu chứa thông tin cấu trúc hệ thống DNS phân giải truy vấn xuất phát từ client +Root name server: máy chủ gốc đại diện cấp cao hệ thống phân cấp DNS có chứa sở sở liệu đầy đủ tên miền địa IP tương ứng chúng +Local name server: Các máy chủ địa phương đại diện cho máy chủ DNS mức thấp sở hữu trì nhiều tổ chức kinh doanh nhà cung cấp dịch vụ Internet (ISP) Các máy chủ địa phương phân giải tên miền thường sử dụng vào địa IP tương ứng nhớ đệm thông tin gần Bộ nhớ cache cập nhật làm cách thường xuyên Chức Chức DNS server dịch tên miền thành địa IP trình duyệt hiểu truy cập vào website Vì nhập tên website, trình duyệt đến thẳng website mà không cần thông qua việc nhập địa IP trang web Cấu trúc phân loại a.Cấu trúc Hệ thống tên miền xếp theo cấu trúc phân cấp - Gốc (Domain root): Nó đỉnh nhánh tên miền Có thể biểu diễn đơn giản dấu “.” - Dưới tên miền gốc có hai loại tên miền là: tên miền cấp cao dùng chung gTLDs (generic Top Level Domains) tên miền cấp cao quốc gia ccTLDs (Country code Top Level Domains) - Tên miền cấp (Top-level-domain): Gồm vài ký tự xác định nước khu vực tổ chức - Tên miền cấp hai (Second-level-domain): Nó đa dạng, tên tổ chức, công ty hay cá nhân - Tên miền cấp nhỏ (Subdomain): Chia thêm tên miền cấp hai trở xuống, thường sử dụng chi nhánh, phòng ban quan hay chủ đề b.Phân loại com: tên miền sử dụng cho tổ chức thương mại .edu: tên miền sử dụng cho tổ chức giáo dục .gov: tên miền sử dụng cho tổ chức phủ .org:tên miền sử dụng cho tổ chức phi lợi nhuận .net: tên miền sử dụng cho tổ chức mạng lớn .mil: tên miền sử dụng cho tổ chức quân đội .info: tên miền sử dụng cho tổ chức thông tin .int: tên miền sử dụng cho tổ chức quốc tế “.” ROOt ccTLDs UK Anh com Tổ chức thương mại JP Nhật gov Tổ chưc phủ Việt Nam edu Tổ chúc giáo dục Các quốc gia khác … com.vn gTLDs net.vn edu.vn Nguyên tắc hoạt động Giả sử người dùng muốn tới trang www.google.com Khi người dùng gõ địa địa trình duyệt, máy tính gửi yêu cầu đến Local name server để phân giải tên miền thành địa IP tương ứng Local name server kiểm tra sở liệu có chứa sở liệu chuyển đổi từ tên miền sang địa IP tên miền mà người sử dụng yêu cầu không Trong trường hợp Local name … server có sở liệu này, gửi trả lại địa IP máy có tên miền nói Trong trường hợp Local name server sở liệu tên miền hỏi lên máy chủ tên miền mức cao ( máy chủ tên miền làm việc mức ROOT) Root name server cho Local name server địa máy chủ tên miền quản lý tên miền có đuôi com Local name server gửi yêu cầu đến máy chủ quản lý tên miền có đuôi (.com) tìm tên miền www.google.com Máy chủ tên miền quản lý tên miền com gửi lại địa máy chủ quản lý tên miền goole.com Local name server hỏi máy chủ quản lý tên miền goole.com địa IP tên miền www.google.com Do máy chủ quản lý tên miền goole.com có sở liệu tên miền www.google.com nên địa IP tên miền gửi trả lại cho Local name server Local name server chuyển thông tin tìm đến máy người dùng Máy tính người dùng sử dụng địa IP để kết nối tới server chứa trang web có địa www.google.com III Dịch vụ DHCP Giới thiệu DHCP (Dynamic Host Configuration Protocol) giao thức cấu hình động máy chủ cho phép cấp phát địa IP cách tự động với cấu hình liên quan khác subnet mark gateway mặc định • Subnet mark: phân chia logic địa TCP/IP • Gateway: cho phép nối ghép hai loại giao thức với Ví dụ: mạng bạn sử dụng giao thức IP mạng sử dụng giao thức IPX” Là giao thức thuộc lớp mạng (network layer) mô hình mạng lớp OSI IPX giao thức sử dụng hệ điều hành mạng Netware hãng Novell Nó tương tự giao thức IP (Internet Protocol) TCP/IP IPX chứa địa mạng (netword Address) cho phép gói thông tin chuyển qua mạng phân mạng (subnet) khác IPX không bảo đảm việc chuyển giao thông điệp gói thông tin hoàn chỉnh, IP, gói tin "đóng gói" theo giao thức IPX bị "đánh rơi" (dropped) Router ("thiết bị dẫn đường" mạng xin xem sau) mạng bị nghẽn mạch Do vậy, 'các ứng dụng có nhu cầu truyền tin "bảo đảm" (giống "gửi hư bảo đảm" ) phải sử dụng giao thức SPX thay IPX.”Novell, DECnet, SNA… giao thức Gateway chuyển đổi từ loại giao thức sang loại khác Nếu DHCP, máy cấu hình IP thủ công (cấu hình IP tĩnh) Ngoài việc cung cấp địa IP, DHCP cung cấp thông tin cấu hình khác, cụ thể DNS Hiện DHCP có version: cho IPv4 IPv6 Chức  DHCP tự động quản lý địa IP loại bỏ lỗi làm liên lạc  Tự động gán lại địa chưa sử dụng  Giúp máy chủ DHCP đánh địa IP cho nhiều mạng  Giúp tránh trường hợp hai máy tính khác lại có địa IP  Máy tính cấu hình cách tự động giảm việc can thiệp vào hệ thống mạng  Cung cấp CSDL trung tâm để theo dõi tất máy tính hệ thống mạng Nguyên tắc hoạt động Dịch vụ DHCP hoạt động theo mô hình Client / Server Theo trình tương tác DHCP client server diễn theo bước sau:  Khi máy Client khởi động, máy gửi broadcast gói tin DHCP DISCOVER, yêu cầu Server phục vụ Gói tin chứa địa MAC client Nếu client không liên lạc với DHCP Server sau lần truy vấn không thành công tự động phát sinh địa IP riêng cho nằm dãy 169.254.0.0 đến 169.254.255.255 dùng để liên lạc tạm thời Và client trì việc phát tín hiệu Broad cast sau phút để xin cấp IP từ DHCP Server  Các máy Server mạng nhận yêu cầu Nếu khả cung cấp địa IP, gửi lại cho máy Client gói tin DHCP OFFER, đề nghị cho thuê địa IP khoảng thời gian định, kèm theo Subnet Mask địa Server Server không cấp phát đia IP vừa đề nghị cho client thuê trông  “khác chứ”suốt thời gian thương thuyết Máy Client lựa chọn lời đền nghị ( DHCPOFFER) gửi broadcast lại gói tin DHCPREQUEST chấp nhận lời đề nghị Điều cho phép lời đề nghị không chấp nhận Server rút lại dùng để cấp phát cho  Client khác Máy Server Client chấp nhận gửi ngược lại gói tin DHCP ACK lời xác nhận, cho biết địa IP đó, Subnet Mask thời hạn cho sử dụng thức áp dụng Ngoài server gửi kèm thông tin bổ xung địa Gateway mặc định, địa DNS Server… Bảo mật Tuy có nhiều ưu điểm, giao thức DHCP hoạt động lại đơn giản, suốt trình trao đổi thông điệp DHCP Server DHCP Client xác thực hay kiểm soát truy cập DHCP Server biết liên lạc với DHCP Client bất hợp pháp hay không, ngược lại DHCP Client biết DHCP Server liên lạc có hợp pháp không Như có hai tình xảy ra: - Khi DHCP”Client có nên them zô không” máy trạm bất hợp pháp: Khi kẻ công thỏa hiệp thành công với DHCP Client hợp pháp hệ thống mạng, sau thực việc cài đặt, thực thi chương trình Chương trình liên tục gửi tới DHCP Server gói tin yêu cầu xin cấp địa IP với địa MAC nguồn thực, dải IP có sẵn DHCP Server cạn kiệt bị thuê hết Điều dẫn tới việc DHCP Server không địa IP DHCP Client hợp pháp thuê, khiến dịch vụ bị ngưng trệ, máy trạm khác truy nhập vào hệ thống mạng để truyền thông với máy tính mạng Trường hợp công làm cho máy tính đăng nhập vào hệ thống mạng (sau bị công) sử dụng dịch vụ DHCP, dẫn đến không vào hệ thống mạng Còn máy trạm khác đăng nhập trước hoạt động bình thường Đây kiểu công từ chối dịch vụ DHCP dễ dàng mà kẻ công thực Kẻ công cần thời gian băng thông thực công - Khi DHCP server máy chủ bất hợp pháp: Khi kẻ công phá vỡ hàng rào bảo vệ mạng đoạt quyền kiểm soát DHCP Server, tạo thay đổi cấu hình DHCP Server theo ý muốn Kẻ công công hệ thống mạng theo cách sau: + Tấn công theo kiểu DNS redirect: Kẻ công đổi thiết lập DNS để chuyển hướng yêu cầu phân dải tên miền Client tới DNS giả mạo, kết Client bị dẫn dụ tới website giả mạo xây dựng nhằm mục đích đánh cắp thông tin tài khoản người dùng website có chứa mã độc, virus, trojan tải máy Client + Tấn công theo kiểu Man-in-the-middle: Kẻ công thay đổi Gateway mặc định trỏ máy chúng, để toàn thông tin mà Client gửi hệ thống mạng chuyển tới máy thay tới Gateway mặc định thực Sau xem nội dung thông tin, gói tin chuyển tiếp đến Gateway thực mạng Client truyền bình thường với máy mạng mà người dùng họ để lộ thông tin cho kẻ công Với cách công này, kẻ công xem trộm nội dung thông tin gói tin gửi mạng mà xem nội dung thông tin gói tin gửi cho Client từ bên mạng *Các phương pháp bảo vệ công DHCP Với công từ chối dịch vụ cách sử dụng DHCP Client bất hợp pháp, ta khắc phục cách sử dụng switch có tính bảo mật cao, giúp hạn chế số lượng địa MAC sử dụng cổng Mục đích để ngăn chặn việc có nhiều địa MAC sử dụng cổng khoảng thời gian giới hạn, vượt qua giới hạn cổng bị đóng lại Thời gian cổng hoạt động trở lại tùy thuộc vào giá trị mặc định người quản trị mạng thiết lập Với công theo kiểu Man- in- the-Middle sử dụng DHCP Server giả mạo, ta khắc phục cách sử dụng switch có tính bảo mật DHCP snooping Tính cho kết nối đến DHCP cổng tin cậy định Chỉ có cổng cho phép gói tin DHCP Response hoạt động Cổng người quản trị mạng kết nối đến DHCP Server thật hệ thống với mục đích ngăn chặn không cho DHCP Server giả mạo hoạt động cổng lại Ngoài ra, sử dụng phương pháp bảo mật cho DHCP Server gồm: Bảo mật mặt vật lý cho DHCP Server; Sử dụng hệ thống file NTFS “NTFS hệ thống tập tin tiêu chuẩn Windows NT, bao gồm phiên sau Windows Windows 2000, Windows XP“để lưu trữ liệu hệ thống; Triển khai sử dụng giải pháp Anti - virus mạnh cho hệ thống; Thường xuyên cập nhật vá lỗi “bản vá phần mềm dùng để sửa lỗ hổng chương trình phần mềm “cho phần mềm Windows; Các dịch vụ hay phần mềm không sử dụng nên gỡ bỏ; Thực việc Quản lý DHCP với người dùng có quyền hạn tối thiểu nhất; DHCP Server phải đặt phía sau Firewall(tường lửa); Đóng tất cổng không sử dụng đến; Sử dụng việc lọc địa MAC; Giám sát hoạt động DHCP cách xem file log xem thông tin thống kê hệ thống DHCP Server