1 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 Giӟi thiӋu vӅDNS YjchuyӇn Yng DNS [2/23/2004 9:06:00 AM] Giới thiệu chung DNS (Domain Name System) hệ cõ sở liệu phân tán dùng ðể ánh xạ tên miền ðịa IP DNS ðýa phýõng pháp ðặc biệt ðể trì liên kết ánh xạ thể thống Trong phạm vi lớn hõn, máy tính kết nối với internet sử dụng DNS ðể tạo ðịa liên kết dạng URL (Universal Resource Locators) Theo phýõng pháp này, máy tính không cần sử dụng ðịa IP cho kết nối Các tên DNS tạo theo ðịnh dạng sau , ví dụ infosec.vasc.com.vn Trong danh sách kiểu tên DNS ðýợc thiết kết lại ICANN (Công ty quản lý dịch vụ tên miền), số kiểu thông thýờng bao gồm: edu (dạng website giáo dục) , mil (các website cho quân ðội), org (thuộc dạng tổ chức phi thýõng mại) com (các tổ chức kinh tế), Và có kiểu tên miền ðịnh theo tên nýớc, ví dụ ie (Ireland), jp (Japan), de (Germany) Khi máy tính (một DNS client) muốn tìm kiểm URL, ðýa u cầu (GetHostByName) tới DNS server DNS client sử dụng DNS resolver ðể ðịnh vị DNS server Nếu DNS server không xác ðịnh ðýợc tên miền cần tìm, hay DNS server khơng có chút thơng tin URL ðó vùng nhớ ðệm nó, khơng thể trả lời yêu cầu client Thay vào ðó, DNS server sử dụng DNS forwarder tạo lại yêu cầu theo quy tắc ðệ quy Việc giả mạo DNS liên quan tới việc bắt buộc DNS client tạo yêu cầu tới server mạo danh, ðó client nhận ðýợc trả lời sai từ server giả mạo ðó Có cách thực kiểu công giả mạo DNS này, bao gồm: Giả mạo phản hồi DNS Kẻ cơng sử dụng cõ chế ðệ quy, giả mạo yêu cầu mà DNS server gửi trình tìm kiểm ðịa chỉ, phản hồi thông tin sai trýớc thông tin thật ðến Mỗi gói tin DNS có số ID dạng 16 bit mà DNS server dùng ðể kiểm tra yêu cầu ban ðầu gửi ði Khi sử dụng BIND, phần mềm thông dụng dạng DNS server, số tãng lên sau yêu cầu gửi ðến, việc tạo yêu cầu dễ dàng giả mạo BIND ðã ðýợc sửa lỗi theo phiên gần ðây, mà gói tin DNS ðýợc khởi tạo theo số ngẫu nhiên (phiên BIND v9) Ðể kiểm tra liệu DNS server có lỗ hổng hay không ðối với công giả mạo ðịa DNS, bạn gửi yêu cầu tới server, thẩm ðịnh liệu ðốn số ID gói tin yêu cầu giử tới DNS Nếu u cầu ID ðốn trýớc ðýợc, ðiều có nghĩa vùng nhớ ðệm DNS ánh xạ khơng ðúng tới ðịa IP thật, ðó lỗ hổng bảo mật DNS Giả mạo ðịa vùng nhớ ðệm DNS Sau yêu cầu ðệ quy, ánh xạ ðịa nhận ðýợc tồn DNS cache DNS 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 server dựa vào nhớ ðệm ðể xác ðịnh thông tin cho yêu cầu ðến phản hồi từ client gửi tới, giúp cho việc truy cập thông tin nhanh hõn Ðộ dài thời gian mà kết yêu cầu ðệ quy ðýợc giữ DNS cache (kí hiệu TTL time to live) ðýợc thiết lập Việc ðịa bị giả mạo nằm DNS cache kéo theo việc gửi thông tin ánh xạ không ðúng với thời gian tồn (TTL) dài Vậy nên, thời ðiểm có yêu cầu gửi tới, nhận ðýợc thơng tin sai Việc sai thơng tin bị ảnh hýởng việc nhận liệu từ DNS server từ xa ðó bị giả mạo Có thể giới hạn giả mạo thơng tin cách giảm thời gian thông tin tồn cache (TTL), nhýng ðiều làm giảm hiệu nãng server Một ứng dụng thông dụng DNS dạng phần mềm mã nguồn mở BIND (Berkeley Internet Name Daemon), mà cung cấp hầu hết chức nãng quan trọng DNS server Tuy nhiên, có nhiều lỗ hổng bảo mật BIND, vậy, việc ðảm bảo ðang sử dụng phần mềm BIND với phiên quan trọng Hiện tại, chuẩn DNS ðã khắc phục ðýợc lỗi vùng nhớ ðệm DNS Phá vỡ mức bảo mật môi trýờng Việc công cách giả mạo ðịa DNS phá vỡ mức bảo mật mơi trýờng làm việc mạng DNS server Ví dụ: công dựa theo lỗ hổng dạng tràn vùng ðệm ðối với phiên BIND cũ, mà cho phép kẻ công ðoạt ðýợc quyền root truy cập Khi kẻ công ðoạt ðýợc quyền truy cập mơi trýờng DNS, ðiều khiển ðýợc môi trýờng mạng Ðể giúp ðỡ việc quản lý gỡ rối, hữu ích biết việc truyền thông DNS sử dụng giao thức TCP (Transmission Control Protocol) UDP (User Datagram Protocol), thông thýờng ngýời ta sử dụng firewall ðýợc cấu hình ðứng lọc gói tin trýớc ði qua DNS Một cách ðể ngãn nguy hiểm không ðýợc chứng thực sử dụng hệ thống DNS ðýợc chia theo vùng quản lý Ðiều liên quan tới cài ðặt DNS server bên Khi ðó, DNS bên ngồi ðýợc thiết lập chứa thông tin liên quan host bên ngoài,nhý SMTP gateway, hay NS bên ngồi Hầu hết mail server ðiều khiển SMTP mail tốt (nhý MS Outlook Lotus Lote IBM ðều có SMTP gateway), an tồn hõn có cõ chế riêng rẽ cho việc nhận SMTP mail Sau ðó, mail bên ngồi chuyển ðổi thành cơng, kẻ cơng tự ðộng truy cập tới hệ thống mail bên Týõng lai phát triển DNS DNS có lỗ hổng bị giả mạo gói tin thiếu vắng quyền chứng thực truy cập Ðiều ðýợc khắc phục với DNSSEC Ðây cõ chế bảo mật cách cho phép Website kiểm tra tên miền họ chịu trách nhiệm ðối với ðịa IP theo chữ ký ðiện tử thuật toán mã hố cơng khai Ðiều có nghĩa rằng, DNS client nhận phản hồi từ yêu cầu nó, kiểm tra yêu 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 cầu ðó từ tài nguyên ðýợc chứng thực DNSSEC ðã bắt ðầu ðýợc nhúng BIND 9, số hệ ðiều hành DNSSEC ðòi hỏi nhiều hõn hiệu nãng phần cứng, bãng thơng lớn hõn ðòi hỏi phải thay ðổi ðối với tất DNS server Vì vậy, việc áp dụng cơng nghệ ðang ðýợc triển khai hứa hẹn týõng lai Hơm nay,thơng qua viết Bình triệu ðề cập tới vấn ðề chuyển vùng.Chắc hẳn bạn quan tâm.Mong viết cho bạn hiểu rõ hõn nó,cũng nhý có nhýng kiến thức ðịnh vấn ðề Chuyển vùng (Phҫn Qjy ðѭӧc sýu tұp Fӫa Wic JLҧBinh Trieu - vietnam security) Một cấu hình sai nghiêm trọng mà ngýời quản trị hệ thống mắc phải cho phép ngýời dùng Internet không ðáng tin cậy ðýợc tiến hành chuyển vùng DNS Chuyển vùng (Zone Transfer)cho phép máy phục vụ phụ cập nhật cõ sỡ liệu từ máy chính.Nhý làm dý thừa chạy DNS,nhỡ nhý máy phục vụ tên khơng khả dụng.Nói chung,máy phục vụ DNS phụ cần chuyển vùng DNS.Thế nhýng,nhiều máy phục vụ DNS bị lập cấu hình sai cung cấp vùng cho ngýời yêu cầu.không thiết xấu thông tin cung cấp liên quan ðến hệ thống nối mạng Internet có tên máy chủ hợp lệ,dẫu tạo ðiều kiện dễ dàng cho kẻ cơng tìm thấy ðích.Vấn ðề thực nảy sinh tổ chức khơng áp cụng cõ chế DNS cổng riêng ðể cách ly thơng tin DNS ngồi (cơng khai) với thơng tin DNS trong.Cung cấp thông tin ðịa IP cho ngýời dùng không ðáng tin cậy qua mạng Internet giống nhý cung cấp ðồ tổ chức Chúng ta hãu xem xét vài phýõng pháp chuyển vùng,và loại thơng tin.Tuy có nhiều cơng cụ chuyển vùng,nhýng giới hạn thào luận vài loại phổ biến mà Cách ðõn giản ðể chuyển vùng dùng máy khách “nslookup”thýờng thi hành UNIX NT mang lại.Chúng ta áp dụng “nslookup” chế ðộ týõng tác với nhau: [bash] $ nslookup Default Server: ns1.example.net Address:10.10.20.2 >216.182.1.1 Default Server : [10.10.20.2] Address: 10.10.20.2 Name: gate.tellurian.net Address:10.10.20.2 >set type=any >ls –d tellurian.net >>/tmp/zone_out Ðầu tiên chạy “nslookup” chế ðộ týõng tác.Một khởi ðộng xong,nó cho biết máy phục vụ tên mặc ðịnh,thýờng máy phục vụ DNS tổ chức máy phục vụ DNS ngýời cung cấp dịch vụ Internet.Tuy nhiên,máy phục vụ DNS 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 (10.10.20.2)khơng có thẩm quyềncho vùng ðích,nên khơng có mẫu tin DNS.Bởi vậy,chúng ta cần tự tay cho “nslookup” biết truy vấn máy phục vụ DNS nào.Trong ví dụ này,chúng ta dùng máy phục vụ DNS cho Tellurian network (10.10.20.2) Tiếp theo ðịnh loại mẫu tin “any”.Tác vụ cho phép bạn kéo mẫu tin DNS (man nslookup) cho danh sách hoàn chỉnh Sau cùng,liệt kê toàn mẫu tin liên quan ðến vùng tuỳ chọn “ls”.”-d” liệt kê tất mẩu tin vùng.Chúng ta thêm “.”ở cuối câu ðể cho biết tên vùng hội ðủ ðiều kiện-song ða phần ðể vậy.Hãy ðổi hýớng kết tập tin “/tmp/zone_out” ðể thao tác sau Chuyển vùng xong,chúng ta xem tập tin coi có thơng tin lý thú cho phép nhắm ðến hệ thống cụ thể không.Hãy xem kết sau: [bash] more zone_out acct18 1D IN A 192.168.230.3 1D IN HINFO 1D IN MX tellurianadmin-smtp 1D IN RP- bsmith.rci bsmith.who 1D IN TXT “Location:Telephone Room” ce 1D IN CNAME aesop au 1D IN A 192.168.230.4 1D IN HINFO “aspect” “MS-DOS” 1D IN MX andromeda 1D IN RP jcoy.erebus jcoy.who 1D IN TXT “Location: Library” acct21 1D IN A 192.168.230.5 1D IN HINFO “Gateway2000” “WinWKGRPS” 1D IN MX tellurianadmin-smtp 1D IN RP bsmith.rci bsmith.who 1D IN TXT “Location: Acounting” Chúng ta không ði chi tiết mẫu tin,chỉ lýu ý vài loại quan trọng.Ðối với mục nhập,chúng ta có mẫu tin A cho biết ðịa IP tên hệ thống nằm bên phải.Ngồi ra,mỗi máy chủ ðều có mẩu tin HINFO nhận diện hoặc loại hệ ðiều hành ðang chạy (RFC-952).Mẩu tin HINFO không cần thiết song cung cấp nhiều thông tin cho kẻ cơng.Vì ðã lýu kết chuyển vùng vào tập tin ðầu nên dễ dàng thao tác kết chýõng trình UNIX nhý : grep,sed,awk,hoặc Perl Giả thiết chuyên gia SunOS Solaris,có thể tìm ðịa IP có mẩu tin HINFO liên quan ðến SPARC,Sun,hoặc Solaris [bash] $ grep -i solaris zone_out |wc -1 388 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 Chúng ta có 388 mẩu tin tham chiếu "Solaris".Khỏi phải nói,chúng ta có nhiều mục tiêu Giả sử muốn tìm hệ thống thử nghiệm,vơ tình chọn lựa cho kẻ công.Tại sao? Thật ðõn giản-chúng thýờng khơng kích hoạt nhiều ðặc tính bảo mật,mật mã ðể ðốn,nhà quản trị khơng hay ðể ý bận tâm ðãng nhập chúng.Một chốn lý týởng cho kẻ xâm nhập.Do ðó,chúng ta tìm hệ thống thử nghiệm nhý sau: [bash] $ grep -i test /tmp/zone_out |wc -1 96 Nên có khỏang 96 mục nhập tập tin vùng có chứa từ "test".Phải với số hệ thống thử nghiệm thật.Trên ðây vài ví dụ ðõn giản.Hầu hết kẻ xâm nhập mổ xẻ liệu ðể tập trung vào loại hệ thống cụ thể có chổ yếu ðã biết Có vài ðiểm cần ghi nhớ.Phýõng pháp neu truy cập lần lýợt máy phục vụ tên.Tức bạn phải thực tác vụ cho tất máy phục vụ tên có thẩm quyền ðối với vùng ðích.Chúng ta truy vấn vùng Tellurian.net mà thơi.Nếu có vùng con,sẽ phải thực loại truy vấn cho vùng con(chẳng hạn nhý greenhouse.tellurian.net).Sau bạn nhận thông báo liệt kê vùng từ chối truy vấn.Thýờng ðiều cho thấy máy phục vụ ðã ðýợc lập cấu hình ðể vơ hiệu hóa chuyển vùng ngýời dùng bất hợp pháp.Vì vậy,bạn khó lòng chuyển vùng từ máy phục vụ này.Nhýng có nhiều máy phục vụ DNS,bạn có cõ may tìm ðýợc máy cho phép chuyển vùng Có nhiều cơng cụ ðẩy nhanh tiến trình này,bao gồm: host,Sam Spade,axfr dig(không ðề cập ðây) Lệnh "host" mang nhiều hýõng vị UNIX.Cách dùng lệnh "host"nhý sau: host -1 tellurian.net host -1 -v -t any tellurian.net Nếu cần ðịa IP ðể ðýa vào kịch shell,bạn cut(cắt) ðịa IP khỏi lệnh "host" host -1 tellurian.net |cut -f -d" " >>/tmp/ip_out Không phải chức nãng in dấn chân buộc phải thực qua lệnh UNIX.Một số sản phẩm Windows cung cấp thông tin nhý Sau bạn chuyển vùng công cụ siêu việt,axfr Gaius.Trình tiện ích chuyển thơng tin vùng,cõ sở liệu vùng tập tin máy chủ cho vùng ðýợc truy vấn dýới dạng nén.Thâm chí bạn chuyểnvu2ng cấp cao nhý com edu ðể lấy tất vùng liên quan ðến "com" "edu".Tuy nhiên,không nên làm vậy.Muốn chạy axfr,bạn gõ nhý sau" 232 233 234 235 236 237 238 239 240 241 242 [bash] $ axfr tellurian.net axfr: Using default directory: /root/axfrdb Found name servers for domain "Tellurian.net"; Text deleted Received xxx answer (xxx records) Ðể truy vấn thông tin vừa lấy cõ sở liệu "axfr",bạn gõ nhý sau: [bash] $ axfr tellurian.net ... gói tin trýớc ði qua DNS Một cách ðể ngãn nguy hiểm không ðýợc chứng thực sử dụng hệ thống DNS ðýợc chia theo vùng quản lý Ðiều liên quan tới cài ðặt DNS server bên Khi ðó, DNS bên ngồi ðýợc thiết... quan trọng DNS server Tuy nhiên, có nhiều lỗ hổng bảo mật BIND, vậy, việc ðảm bảo ðang sử dụng phần mềm BIND với phiên quan trọng Hiện tại, chuẩn DNS ðã khắc phục ðýợc lỗi vùng nhớ ðệm DNS Phá vỡ... liệu từ DNS server từ xa ðó bị giả mạo Có thể giới hạn giả mạo thông tin cách giảm thời gian thông tin tồn cache (TTL), nhýng ðiều làm giảm hiệu nãng server Một ứng dụng thông dụng DNS dạng