DNS (Domain Name System – Hệ thống tên miền) là giao thức tầng ứng dụng cho phép ánh xạ địa chỉ tương ứng giữa địa chỉ IP và tên miền. Giao thức DNS hoạt động theo mô hình khách-chủ. Các thành phần của giao thức DNS bao gồm:
1. Không gian tên miền (Domain Name Space) và bản ghi tài nguyên (Resource Record): là một cây (không gian) các tên miền. Mỗi nút trong cây chứa thông tin liên kết với tên miền.
2. Máy chủ tên miền: là chương trình, ứng dụng lưu trữ các bản ghi tài nguyên để ánh xạ giữa tên miền và địa chỉ IP khi có yêu cầu của máy khách.
3. Máy khách: gửi yêu cầu phân giải tới máy chủ tên miền khi cần phân giải. Trong hoạt động của mạng botnet, giao thức DNS đóng vai trò rất quan trọng. Thông trường để truy cập tới các máy chủ điều khiển các bot có thể sử dụng địa chỉ IP hoặc tên miền của máy chủ đó. Việc sử dụng trực tiếp địa chỉ IP có một số nhược điểm:
- Số lượng địa chỉ IP dành cho máy chủ điều khiển là giới hạn.
- Dễ bị phát hiện. Khi bị phát hiện cần phải sử dụng địa chỉ IP mới. Như vậy rất tốn kém và không hiệu quả.
Vì vậy tin tặc thường đăng ký một loạt các tên miền, sau đó ánh xạ tên miền này tới một hoặc nhiều địa chỉ IP (một tên miền ánh xạ tới nhiều địa chỉ IP và một địa chỉ IP có thể được ánh xạ cho nhiều tên miền). Khi một tên miền hoặc một địa chỉ IP bị phát hiện hoặc bị chặn thì tin tặc có thể dễ dàng chuyển qua một tên miền khác. Hình vẽ dưới đây minh hoạ mối liên hệ giữa địa chỉ IP và tên miền được sử dụng cho một mạng lưới máy chủ C&C của mạng botnet.
27
Hình 10: Minh hoạ không gian tên miền và địa chỉ IP của mạng botnet
Như hình trên, địa chỉ IP 86.124.199.55 có thể ánh xạ thành 10 tên miền gồm: 1. m5aydx.góu.dnsdojo.net 2. vtcgp.fine.leitungsen.de 3. vux.da.knowsitall.infou 4. aiku.futty.dynalias.com 5. fa6xp.drag.istmein.de 6. l4bx.futty.dynalias.com 7. zwfl.drag.istmein.de 8. 6x2i.wach.dvrdns.org 9. fbttky.hex.dyn-o-saur.com 10.hcn7.mars.blogdns.org Và trong thực tế những tên miền này có thể ánh xạ tới nhiều địa chỉ IP (khác địa chỉ 86.124.199.55).
28
8.8.8.8 của Google. Máy client muốn nhận lệnh từ máy chủ điều khiển (có địa chỉ IP 112.175.79.57) bằng tên miền moit.conimes.com cần thông qua các bước sau:
1. Client gửi yêu cầu phân giải tên miền tới máy chủ DNS 8.8.8.8.
2. Máy chủ DNS thực hiện tìm kiếm, nếu có câu trả lời sẽ trả lời cho client địa chỉ IP (112.175.79.57) tương ứng với tên miền moit.conimes.com. Nếu không có câu trả lời nó sẽ gửi về thông tin địa chỉ của máy chủ DNS cấp trên nó mà máy client nên hỏi. Sau đó máy client lại tiếp tục hỏi máy chủ DNS này.
3. Khi có thông tin về địa chỉ IP của máy chủ điều khiển client sẽ kết nối tới máy chủ điều khiển thông qua địa chỉ IP mà máy chủ DNS cung cấp.