CHƯƠNG 2 PHÂN TÍCH CÁC CÁCH THỨC TẤN CÔNG VÀO DNS
2.1.2.Đối tượng để Attacker tấn công:
- Đối tượng tin tặc nhắm đến là các DNS server có các đặc điểm sau đây: Phục vụ nhiều người dùng.
Có chức năng hỏi hộ (recursive) và lưu giữ kết quả (caching).
Có điểm yếu: chấp nhận xử lý đồng thời nhiều yêu cầu truy vấn (query) của một tên miền duy nhất.
Sử dụng 1 port nguồn (UDP hay TCP) cố định và duy nhất cho tất cả các request. (Tuỳ chọn) không kiểm tra chặt chẽ tính chính xác và logic của phần thông tin thêm (addition records) trong các DNS reply trả về.
- DNS luôn có nguy cơ tiềm ẩn khi hệ thống không sử dụng DNS tách rời.
Bước đầu tiên của kẻ tấn công là tìm một server DNS có thể truy cập từ bên ngoài cho công ty này và các dữ liệu thuộc miền DNS có sử dụng chức năng zone transfer.
Dựa vào các thông tin này, kẻ tấn công có thể tạo ra một bản đồ hoàn chỉnh cho hệ thống mạng của công ty. Nếu một trong các server của họ đã có hai địa chỉ IP, và một server là địa chỉ công cộng thì điều này có nghĩa là server này đồng thời kết nối với hệ thống mạng nội bộ và internet mà không có bức tường lửa bảo vệ.
Kẻ tấn công chỉ việc kết nối vào server này để đi qua bức tường lửa và để khám phá nguy cơ bị xâm nhập của server để có thể nắm quyền kiểm soát. Sau đó sử dụng server đó để vào hệ thống mạng. Trong thời gian ngắn đã có thể kiểm soát được hoàn toàn Doman Admin.
- Lỗ hổng bảo mật xuất hiện trong quá trình truyền thông tin từ Primary DNS và Secondary DNS.
Nếu không thiết lập đường truyền cho quá trình truyền dữ liệu "zone transfer" giữa Primary DNS và Secondary DNS bằng một đường truyền riêng trong hệ thống hoặc từ site to site không có kênh VPN riêng và thông tin được truyền đi không được mã hoá cũng chính là tạo kẽ hở cho hacker tấn công.
- Một số server cuối của hệ thống nội bộ có thể truy cập trực tiếp từ mạng internet. Khi kẻ tấn công áp dụng zone transfer để xác định tên và địa chỉ IP cho hàng trăm máy tính của một hệ thống. Nghiên cứu kỹ các tên được mô tả sẽ xác định được một số server cuối của hệ thống nội bộ có thể truy cập trực tiếp từ mạng internet. Rõ ràng đây là một lỗ hổng trong chế độ bảo mật của hệ thống đó.