Lỗ hổng bảo mật DNS trên Internet
Cuối tháng 7/2008 PAViệt nam – một công ty chuyên cho thuê và cung cấp các dịch vụ hosting (quản lý máy chủ), mail server (máy chủ gửi mail)…đã bị tấn công khiến hàng loạt các website khách hàng không thể truy cập nhiều ngày liên tục. Đây là vụ tấn công tên miền lớn nhất từ trước đến giờ tại Việt Nam, gây nên hậu quả rất nghiêm trọng: các hệ thống mail không thể sử dụng để trao đổi, các thông tin và các dịch vụ không thể cung cấp đến với khách hàng, rất nhiều giao dịch không thể thực
hiện,….Vụ tấn công này đã làm thức tỉnh các nhà cung cấp dịch vụ Internet (ISP - Internet Service Provider) trong việc bảo mật hệ thống tên miền DNS (Domain Name System) và cũng làm cho người ta liên tưởng đến lỗ hổng bảo mật trong DNS mà chuyên gia Dan Kaminsky - Giám đốc Trung tâm Penentration Testing của Hãng bảo mật IOActive công bố đầu tháng 7/2008.
Lỗ hổng bảo mật DNS đang đặt các hệ thống máy chủ DNS tại Việt Nam cũng như trên toàn thế giới trước nguy cơ bị tin tặc tấn công đầu độc trên diện rộng. Đây là một lỗ hổng đặc biệt nghiêm trọng, nhất là khi hacker đã có phương thức mới để có khả năng khai thác thành công lỗ hổng này. Điều này gây hoang mang cho nhiều quản trị mạng khi không có công cụ để kiểm tra xem hệ thống máy chủ DNS của mình có mắc lỗi này hay không và cách khắc phục như thế nào.
Như đã mô tả ở trên, DNS là hệ thống phân giải tên miền, dùng để ánh xạ giữa tên miền (domain name) sang địa chỉ Internet (IP). Theo giao thức này, máy chủ DNS khi nhận được yêu cầu phân giải địa chỉ (request) từ máy trạm, nó sẽ tra cứu trong bộ đệm (cache) và trả về địa chỉ IP tương ứng với tên miền mà máy trạm yêu cầu. Tuy nhiên, nếu không tìm thấy trong bộ đệm, máy chủ DNS sẽ chuyển tiếp yêu cầu phân giải này tới một máy chủ DNS khác để tìm ra địa chỉ mà máy trạm yêu cầu.
Với cách hoạt động như trên, hacker sẽ tấn công bằng cách can thiệp vào quá trình tham chiếu giữa địa chỉ IP và tên miền của máy chủ DNS nhằm trả về một địa chỉ IP sai lệch nằm trong sự kiểm soát của chúng.
Mục đích tấn công của mỗi hacker rất khác nhau: khi hệ thống DNS đã bị tấn công, ta có thể truy cập sang một trang web không mong muốn, có thể đó là một trang web độc hại hoặc một trang giả mạo nào đó với giao diện hoàn toàn giống. Sau khi ta điền các thông tin cá nhân như password, tệ hơn nữa là các thông tin liên quan đến thẻ tín dụng,….khi đó tất cả các thông tin này được hacker sử dụng và ta sẽ mất tiền, mất quyền truy cập vào tài khoản của mình,…các website của doanh nghiệp có thể không hoạt động được ….
Kỹ thuật tấn công kiểu này gọi là tấn công đầu độc bộ nhớ cache DNS (DNS cache poisoning).
Giả mạo DNS(DNS Cache Poisoning) là một kỹ thuật tấn công MITM, theo đó dữ liệu sai sẽ được đưa vào hệ thống tên miền (DNS) cho một máy chủ, để khi người dùng duyệt đến một địa chỉ nào đó sẽ bị chuyển sang một địa chỉ khác mà không hề hay biết. Ví dụ nhưngười dùng duyệt đến địa chỉ www.abc.com có IPlà
XXX.XX.XX.XX, thìtrình duyệt sẽ được chuyển đến một địa chỉ www.abc.com giả mạo cư trú ở địa chỉ IPYYY.YY.YY.YYvới giao diện hoàn toàn giống với giao diện khi dùng địa chỉ thật, đây là địa chỉ mà kẻ tấn công đã tạo trước để đánh cắp các thông tin người dùng, chẳng hạn như tài khoản ngân hàng trực tuyến của người dùng… 2. Tấn công giả mạo DNS (DNS Cache Poisoning)
Hiện có hai cơ chế tấn công giả mạoDNS của hacker như sau: Giả mạo các phản hồi DNS
Hình 12 – Sơ đồ tấn công giả mạo phản hồi DNS
Hacker gửi hàng loạt yêu cầu phân giải địa chỉ (DNS Requests) tới máy chủ DNS nạn nhân (DNS Server A).
Các tên miền cần phân giải đã được hacker tính toán sao cho DNS Server A không thể tìm thấy trong bộ đệm (Cache) của nó và buộc phải chuyển tiếp (Request forwarding) tới máy chủ DNS tiếp theo (DNS Server B). Máy A và B có thể thuộc cùng một tổ chức hoặc các tổ chức khác nhau nhưng được thiết lập để làm việc được với nhau. Mỗi trao đổi phân giải (tức là yêu cầu tìm đúng địa chỉ IP cho một tên miền) giữa A và
B được xác thực thông qua một mã số giao dịch TID (Transaction ID) ngẫu nhiên. Thuật toán sinh ra các mã số này được thiết lập sẵn cho các máy phân giải địa chỉ. Tuy nhiên, điểm yếu ở đây chính là việc số TID này chỉ là một số 16 bit (giá trị nhỏ hơn 65535) và mọi trao đổi giữa A và B đều diễn ra trên một cổng cố định của A. Sở dĩ nói đây là một điểm yếu bởi vì với phạm vi giá trị nhỏ hơn 65535 và cổng giao dịch cố định thì hacker có thể biết được chính xác mã số giao dịch nào đang được trao đổi giữa A và B.
Sau đó, trước khi máy A kịp nhận các gói tin trả lời từ máy B, hacker đã gửi liên tiếp các gói tin giả mạo (fake responses) bản tin trả lời của máy B (tức là một địa chỉ IP do hacker quản lý) tới cổng cố định nói trên của A. Chỉ cần một trong các gói tin giả mạo này có TID trùng với TID mà máy A đang chờ thì máy A sẽ chấp nhận. Lúc này, gói tin trả lời thật từ máy B (response) sẽ không được máy A xử lý nữa, mà máy A sẽ gửi trả lại cho máy người dùng một địa chỉ IP sai lệch (của hacker).
Giả mạo địa chỉ DNS
Hình 13 - Tấn công giả mạo DNS bằng phương pháp giả mạo DNS ID
Theo như hình 13, cơ chế tấn công giả mạo địa chỉ DNS sẽ như sau:
Giả sử DNS Cache Server (như trên hình) đã có lưu thông tin địa chỉ của trang
example.jp, nhưng Hacker (Malicious User) lại thực hiện thay đổi địa chỉ này bằng địa chỉ của một trang giả mạo khác (Bogus Website).
Khi máy tính nạn nhân (Internal User) tiến hành gửi yêu cầu đến DNS Cache Server, thì DNS Cache Server sẽ vô tình gửi trả lại (response) thông tin địa chỉ của example.jp đã bị giả mạo cho nạn nhân.
Sau khi nhận được địa chỉ đã giả mạo từ DNS Cache Server, nạn nhân sẽ vô tình truy cập vào website độc hại (Bogus Website) mà kẻ tấn công đã tạo ra nhằm lấy cắp thông tin mật.
Như vậy chúng ta có thể thấy, chính sự trao đổi giữa các máy chủ DNS trong quá trình phân giải tên miền là một lỗ hổng để các hacker can thiệp vào, kết quả là trả về các ứng dụng không mong muốn cho khách hàng, hoặc các ứng dụng ăn cắp thông tin mà khách hàng không hề biết. Theo đánh giá của Dan Kaminsky có đến 84% máy chủ mà ông kiểm tra đều dính phải lỗ hổng nguy hiểm này. Và hiện tại còn 31% server có nguy cơ bị tấn công và ở Việt Nam, tình trạng các máy chủ DNS vẫn có nguy cơ bị tấn công rất cao.
Lỗ hổng DNS cache poisoning đã xuất hiện lần đầu tiên vào những năm 90. Từ đó đến nay, hacker đã sử dụng nhiều phương pháp khác nhau để khai thác lỗ hổng này.Đây là lỗi trong thiết kế của giao thức DNS.Với mỗi phương pháp khai thác, các nhà sản xuất phần mềm DNS Server cũng đã cung cấp các bản vá để ngăn chặn và vấn đề đã được khắc phục.Tuy nhiên, gần đây hacker đã tìm ra được phương thức tấn công mới, tiếp tục khai thác lỗ hổng DNS cache poisoning.
Subdomain Exploit DNS Cache Poisoning – Kiểu tấn công DNS Cache Poisoning thời gian gần đây
Tấn công Subdomain Exploit DNS Cache Poisoning thực chất vẫn là tấn công DNS Cache Poisoning. Nhưng điểm quan trọng nhất trong phương pháp khai thác lỗ hổng DNS cache poisoning lần này là việc hacker sử dụng các tên miền con (subdomain) để tạo ra các yêu cầu phân giải địa chỉ hợp lệ. Các tên miền con được tạo ngẫu nhiên với số lượng lớn, điều này đảm bảo các tên miền này chưa từng tồn tại trong cache của máy chủ A và buộc A phải tạo ra cùng số lượng tương ứng các yêu cầu chuyển tiếp tới máy chủ B. Kết quả là xác suất một gói tin giả mạo trả lời của B do hacker tạo
ra có TID trùng với TID mà máy A đang chờ được nâng cao lên nhiều lần. Cơ hội đầu độc thành công bộ đệm của máy chủ A cũng vì thế được nâng cao.