Chỉ huy và điều khiển Botnet theo DNS

Một phần của tài liệu NGHIÊN CỨU, XÂY DỰNG VÀ PHÒNG CHỐNG BOTNET (Trang 30 - 32)

Trong khi các kiến trúc chỉ huy và điều khiển được liệt kê ở trên là phổ biến nhất thì cộng đồng kẻ tấn cơng lại tiếp tục thích ứng và tìm kiếm các kênh truyền thơng Botnet mới[3].

Hầu hết các phần mềm độc hại đều tạo ra lưu lượng truy cập qua các kênh IRC, HTTP nên chúng cĩ thể bị phát hiện và bị chặn ở cấp độ mạng bằng tường lửa hoặc các hệ thống phịng chống xâm nhập. Tuy nhiên, thơng qua DNS (Domain Name System) thì khơng như vậy[11]. Máy chủ xác thực DNS (DNS server authoritative)

phản hồi miền truy vấn với một câu trả lời chứa thơng tin mã hĩa của hệ thống. Điều này làm cho lưu lượng chỉ huy và điều khiển trơng giống như lưu lượng DNS hợp pháp. Lợi thế lớn nhất để sử dụng DNS như một cơ chế chỉ huy và điều khiển là tất cả mọi người đều sử dụng DNS và được phép đi qua hầu hết các tường lửa.

Giao thức DNS thường được sử dụng cho một chức năng quan trọng cần sự chính xác cao, đĩ là dịch từ tên máy chủ sang địa chỉ IP và ngược lại. Chính vì điều này, lưu lượng truy cập DNS khơng bị lọc hoặc bị kiểm tra qua các giải pháp giám sát lưu lượng và cho phép lưu thơng tự do qua hầu hết các mạng.

Ngay cả khi một máy chủ DNS cục bộ được sử dụng và truy vấn DNS bị khĩa bởi tường lửa thì máy chủ DNS vẫn cĩ thể chuyển tiếp truy vấn đến máy chủ xác thực và luồng chỉ huy và điều khiển sẽ vẫn đi qua được tường lửa. Máy tính bị lây nhiễm thậm chí khơng cần phải cĩ kết nối ra bên ngồi. Miễn là máy đĩ cĩ thể giải quyết tên máy chủ thơng qua một máy chủ DNS cục bộ thực hiện tra cứu đệ quy trên Internet, cĩ thể giao tiếp với kẻ tấn cơng.

Một phần của tài liệu NGHIÊN CỨU, XÂY DỰNG VÀ PHÒNG CHỐNG BOTNET (Trang 30 - 32)

Tải bản đầy đủ (DOCX)

(54 trang)
w