5. Kết cấu của đề tài
3.2 Phòng chống thiết lập DNS Server giả mạo với các record độc hại
3.2.1 Thử nghiệm tấn công
Hình 3.11 Mô hình thiết lập DNS Server giả mạo với các record độc hại
Có 3 máy:
- Router wifi (Cấp DHCP, DNS cho máy client)
Thay vì cấp DNS 8.8.8.8 thì ở đây DNS là DNS server giả mạo IP 192.168.0.111 do hacker tạo ra
- DNS server giả mạo với các record độc hại bao gồm có lhu.edu.vn, … (windows server 2012 R2)
IP 192.168.0.111; GW 192.168.0.1 - Một máy victim (windows 10)
IP DHCP 192.168.229.102; GW 192.168.0.1; DNS 192.168.0.1
Tiến trình cài dặt chạy thử nghiệm
27
Hình 3.12 Router SSID cafewifi
Bước 2: tạo DNS server giả mạo với các record độc hại bao gồm có lhu.edu.vn, …
Hình 3.13 DNS server giả mạo
Bước 3: client (windows 7) truy cập vào wifi giả mạo (SSID: cafewifi)
28 Khi client cần phân giải địa chỉ nào đó thì nó sẽ gữi đến DNS local trước, sau đó DNS sẽ kiểm tra có thuộc địa chỉ này không, nếu không có trong DNS local nó sẽ hỏi tiếp server tiếp theo. Thay vì đến địa chỉ thật thì ở đây DNS là DNS server giả mạo IP 192.168.0.111 với các record độc hại do hacker tạo ra. Nếu mà yêu cầu phân giải có trong DNS giả mạo của hacker thì nó sẽ trả về client địa chỉ giả mạo. Trong thử nghiệm này client cần phân giải điạ chỉ lhu.edu.vn, nhưng không may DNS server này có record giả mạo địa chỉ lhu.edu.vn, lúc này client sẽ bị đưa đến địa chỉ giả mạo nhưng có giao diện không khác gì địa chỉ thật.
Hình 3.15 Web lhu.edu.vn giả mạo
3.2.2 Cách phòng chống tấn công
Để ngăn chặn việc này, chúng ta cần thiết lập địa chỉ DNS server trỏ về các DNS server tin cậy Google’s free Public DNS servers hoặc Open DNS server.
Ví dụ: 208.67.222.222; 208.67.220.220; 8.8.8.8; 8.8.4.4.
Có nghĩa là chúng ta cần cầu hình DNS bằng tay (Use the following DNS server address), thay vì dung chế độ tự động (Obtion DNS server address automatically).
29
Hình 3.16 config DNS
Chi tiết Demo link: https://youtu.be/FSZNWSPKaaE
3.3 Phòng chống sửa file hosts
3.3.1 Thử nghiệm sửa file hosts
Khi tải phần mềm miễn phí, chiếc bẫy đầu tiên mà bạn gặp phải có thể là một hoặc nhiều đường link download giả mạo. Thường bạn sẽ tìm thấy các nút lớn, màu sắc sặc sỡ với dòng chữ “Free Download” hoặc “Download Now”. Đây thường chỉ là những banner quảng cáo được thiết kế bắt chước các link download thật, để lừa bạn click vào chúng và cài đặt một phần mềm khác. Khi mà cài đặt file đó thì virus sẽ chèn thêm địa chỉ website trong file hosts, rồi khi chúng ta đăng nhập vào một trong những địa chỉ đã được thêm vào thì lúc đó nó sẽ chuyển hướng đi tới website do hacker tạo ra.
30
Hình 3.17 Hosts file bị sửa
Hình 3.18 nslookup
3.3.2 Cách phòng chống file hosts
Cách 1
Một giải pháp rất đơn giản để giúp ngăn ngừa các thay đổi trái phép vào hosts file, là đánh dấu nó là chỉ đọc (Read only). Bằng cách này virus sẽ không sửa được hosts của bạn.
Hình 3.19 hosts Properties
31 Cách 2
Cài đặt và sử dụng ANTIVIRUS. Một số chương trình có chức năng phòng chống tấn công file hosts. Tuy nhiên bên cạnh đó cũng có một số chương trình không thể phát hiện được. Những công cụ được giới thiệu cho phép cài đặt và sử dụng miễn phí.
Hình 3.20 Những ANTIVIRUS miễn phí.
Sau khi cài đặt, các tính năng bảo mật, phòng chống tấn công file hosts đã được tích hợp sẵn trong các chương trình ANTIVIRUS sẽ bảo vệ người dùng trước các cuộc tấn công, đảm bảo an toàn cho người khi sử dụng, truy cập internet.
32
KẾT LUẬN
Vấn đề an toàn bảo mật ngày nay đang được các cơ quan, nhà bảo mật và đặc biệt là các doanh nghiệp quan tâm hàng đầu. Hacker có thể lợi dụng việc tấn công hệ thống tên miền và máy chủ DNS để thực hiện các mục đích xấu như ăn cắp thông tin, lừa đảo, giả mạo. Do đó cần chú trọng vào bảo mật hệ thống DNS, sử dụng nhiều giải pháp hỗ trợ để đạt được hiệu quả tối đa như các biện pháp kỹ thuật. Ngoài ra cần nâng cao nhận thức, kỹ năng của người quản trị, người dùng, bởi vì điểm yếu không những nằm ở yếu tố kỹ thuật của hệ thống DNS mà còn ở yếu tố con người, mà đây cũng chính là điểm yếu dễ khai thác nhất. Bảo vệ các máy tính bên trong, các tấn công giống như trên thường được thực thi từ bên trong mạng. Nếu các thiết bị mạng được bảo vệ an toàn thì sẽ giảm được khả năng bị tấn công.
DNSSEC là một giải pháp thay thế mới cho DNS, sử dụng các bản ghi DNS có chữ ký để bảo đảm sự hợp lệ hóa của đáp trả truy vấn. Tuy DNSSEC vẫn chưa được triển khải rộng rãi nhưng nó đã được chấp thuận là tương lai của DNS
TÀI LIỆU THAM KHẢO
TÀI LIỆU INTERNET
[1] Hệ thống DNS https://www.vnnic.vn/dns/congnghe/hệ-thống-tên-miền [2] DAI https://www.cisco.com/c/en/us/td/docs/switches/lan/.../dynarp.html [3] Tìm hiểu DNS http://itprofes.forumvi.net/t416-topic [4] Tìm hiểu DNS tấn công https://123doc.org/document/2563875-tim-hieu-va-mo-phong-tan-cong-dich-vu-dns.ht m
[5] Understanding, Preventing, and Defending Against Layer 2 Attacks
https://www.cisco.com/c/dam/global/en_ae/assets/exposaudi2009/assets/docs/layer2-at tacks-and-mitigation-t.pdf
