Tấn công DNS là gì và Tấn công DNS hoạt động như thế nào?

Tấn công chuỗi cung ứng

Anh đến thăm em đêm ba mươi
Còn đêm nào vui bằng đêm ba mươi
Anh nói với người phu quét đường
Xin chiếc lá vàng làm bằng chứng yêu em.

Nhưng do không biết địa chỉ nên anh lạc vào động …

Nếu máy tính của các bạn bị dẫn đường sai vì DNS bị tấn công, khai thác thì chúng ta sẽ gặp nguy hiểm hơn rất nhiều so với tình huống trên …

DNS Attack là một loại tấn công mạng lợi dụng điểm yếu hoặc lỗ hổng của tên miền. Internet ngày nay đã trở thành một phần quan trọng trong cuộc sống của chúng ta. Mỗi khía cạnh trong cuộc sống của chúng ta đều xoay quanh internet, từ ngân hàng đến mua sắm cho đến du lịch.

Kể từ khi Web được sử dụng phổ biến, an ninh mạng là mối quan tâm chính của hầu hết người dùng web bởi vì chúng ta thường nghe tin tức về các cuộc tấn công mạng trên truyền thông báo đài …

Các cuộc tấn công mạng đang ngày càng phổ biến hiện nay. Ngay cả đối với nhiều công ty và doanh nghiệp CNTT, chúng đang trở thành một vấn đề đau đầu. Một số tên tuổi lớn như Google, New York Times, v.v., đã trải qua các cuộc tấn công mạng trong những năm gần đây. Điển hình trong thời gian qua là vụ tấn công vào Solarwinds và máy chủ Exchange Server

Trong bài đăng này chúng ta sẽ tìm hiểu về các cuộc tấn công DNS, cách chúng hoạt động và cách chống lại chúng như thế nào.

Mục lục

  • Tấn công DNS là gì?
  • DNS hoạt động như thế nào?
  • Tin tặc sử dụng DNS như thế nào?
  • Các kiểu tấn công DNS
  • Tấn công DDoS DNS

Tấn công DNS là gì?

Một cuộc tấn công DNS đang xảy ra khi một hacker có thể nhận ra các lỗ hổng trong hệ thống tên miền (DNS). Tin tặc sử dụng các lỗ hổng để kích hoạt cuộc tấn công DNS. Để hiểu cách thức hoạt động của các cuộc tấn công DNS, trước tiên bạn cần tìm hiểu cách thức hoạt động của DNS.

Hệ thống tên miền là một giao thức thông dịch một tên miền theo bảng chữ cái thành địa chỉ IP . Tóm lại, chức năng chính là biến một tên miền thân thiện với người dùng thành một địa chỉ IP thân thiện với máy tính. Hay dễ hiểu hơn, chúng ta chỉ dùng tên miền như cehvietnam.com còn máy tính thì chỉ hiểu địa chỉ IP như là 11.22.33.44

DNS hoạt động như thế nào?

Nếu người dùng nhập tên miền trên trình duyệt, địa chỉ IP của tên miền sẽ được truy xuất bởi một chương trình có trong hệ điều hành được gọi là DNSresolver.

Đầu tiên, bộ phân giải DNS sẽ tìm kiếm bộ nhớ cache cục bộ của chúng và kiểm tra xem đã có địa chỉ IP cho tên miền này hay chưa. Nếu thông tin tên miền có trong bộ nhớ cache cục bộ, máy chủ DNS được yêu cầu xác minh rằng chúng biết địa chỉ IP chính xác cho miền. Các máy chủ DNS hoạt động theo vòng lặp, do đó chúng có thể quét lẫn nhau để tìm ra một máy chủ DNS biết đúng địa chỉ IP của tên miền cần phân giải và trả kết quả cho người dùng hay trình duyệt.

Như vậy, khi trình phân giải DNS phát hiện địa chỉ IP, địa chỉ IP sẽ được trả lại cho ứng dụng yêu cầu. Để sử dụng trong tương lai, DNS cũng lưu địa chỉ miền vào bộ nhớ đệm.

Trong khi hệ thống tên miền ngày càng mạnh mẽ, chúng lại có vẻ ít được định hướng bảo mật hơn. Có lẽ đây là lý do tại sao chúng ta thấy có nhiều kiểu tấn công DNS khác nhau.

Quản trị viên máy chủ phải thực hiện một số bước thích hợp để giảm thiểu nguy cơ bị tấn công DNS. Bạn có thể sử dụng phiên bản DNS nâng cấp và các máy chủ nhân bản định kỳ. Người dùng nên xóa bộ nhớ cache DNS của họ để ngăn ngừa rủi ro bảo mật ở cấp độ cá nhân. 

Tin tặc sử dụng DNS như thế nào?

Vấn đề chính với DNS là nếu tin tặc có thể tìm cách thay thế địa chỉ IP của Trang web được ủy quyền bằng địa chỉ IP giả mạo trên bất kỳ tài khoản nào, thì bất kỳ người dùng nào cố gắng truy cập trang đó sẽ bị gửi một địa chỉ giả. Người dùng sẽ không biết rằng địa chỉ được truy cập là không chính xác.

Giống như các bạn đi thăm nhà bạn gái mà bị dẫn đến nhà thổ và có khi mất cả “đời boy” …

Một trong những vấn đề lớn với việc thiết lập máy chủ DNS là không biết cấu hình mặc định của chúng. Và những kẻ tấn công được lợi từ kẽ hở này.

Các kiểu tấn công DNS

Trong những năm gần đây ngày càng có sự gia tăng đột ngột của các cuộc tấn công DNS và mối đe dọa này không chỉ giới hạn ở các trang web nhỏ. Một số trang web nổi tiếng như Reddit, Spotify và Twitter cũng đã phản đối về việc hàng nghìn khách hàng của họ không thể truy cập được

Vì các cuộc tấn công DNS đang trở nên quá thường xuyên, chúng ta nên học cách xác định các cuộc tấn công DNS để có thể xử lý tình huống tốt hơn. Chúng ta hãy xem xét các hình thức tấn công DNS.

Tấn công zero-day – Trong kiểu tấn công này, kẻ tấn công khai thác một lỗ hổng chưa từng biết trước đây trong mã máy chủ DNS hoặc ngăn xếp giao thức.

Fast Flux DNS – tin tặc hoán đổi các bản ghi DNS tần suất cao vào và ra để chuyển hướng các yêu cầu DNS. Chiến lược này cũng cho phép kẻ xâm nhập thoát khỏi sự phát hiện

DNS-Spoofing – Giả mạo DNS được gọi là sự lây nhiễm của bộ nhớ cache DNS. Nó là một hình thức hack bảo mật máy tính. Những kẻ tấn công hoặc tin tặc làm hỏng toàn bộ máy chủ DNS bằng cách thay thế địa chỉ IP được cấp phép bằng địa chỉ IP không có thật trong bộ nhớ cache của máy chủ. Bằng cách này, họ chuyển hướng toàn bộ lưu lượng truy cập đến một trang web ác ý và thu thập thông tin quan trọng. Với những công cụ như ettercap thì tin tặc có thể làm điều này khá dễ dàng.

Đây là một trong những kỹ thuật lừa đảo phổ biến nhất mà kẻ tấn công sử dụng để đánh cắp dữ liệu. Vì người dùng nhập địa chỉ miền chính xác trong trình duyệt của họ, họ không bao giờ biết rằng họ đang truy cập một trang web giả mạo hoặc lừa đảo

Do đó, rất khó để phát hiện cuộc tấn công này. Thường thì người dùng không thể tìm thấy vấn đề cho đến khi thời gian sống (TTL) hết hạn.  Phương pháp tốt nhất để ngăn chặn các cuộc tấn công nhiễm độc bộ nhớ cache DNS là nên xóa bộ nhớ cache DNS theo thời gian

Tấn công DDoS DNS

Cuộc tấn công từ DDoS được gọi là cuộc tấn công Phân tán từ chối dịch vụ. Nó thường xảy ra khi nhiều hệ thống làm ngập tài nguyên của hệ thống được nhắm mục tiêu. Những kẻ tấn công có thể sử dụng cách tấn công này trên nhiều loại hệ thống khác nhau, bao gồm cả máy chủ DNS.

Một cuộc tấn công DDoS có thể làm sập toàn bộ máy chủ DNS và ngăn người dùng truy cập web. Tuy nhiên, nếu chúng được lưu trong bộ nhớ cache cục bộ, chúng có thể truy cập các trang web mà chúng đã truy cập gần đây.

Tấn công máy chủ DNS có thể là một vấn đề lớn về an ninh mạng. Do đó, nó không nên được xem nhẹ bởi các công ty. Chúng ta cần các biện pháp bảo vệ hiện đại nhất để giảm thiểu và ngăn chặn hậu quả của các cuộc tấn công như vậy. Cách bạn bảo vệ cuộc tấn công này phụ thuộc vào vai trò môi trường của hệ thống của bạn. 

Hãy tham khảo về một số giải pháp bảo vệ cho dịch vụ DNS và máy chủ trong các bài viết sau. Xin chào và hẹn gặp lại.

MINH – NG / CEH VIETNAM – Chuyên đào tạo An Toàn Thông Tin – Hacker Thiện Chí – Chuyên Gia Điều Tra Số Trực Tuyến

Comments