Ngộ độc và giả mạo bộ nhớ đệm DNS - Nó là gì?

DNS là viết tắt của Domain Name System và điều này giúp trình duyệt tìm ra địa chỉ IP của một trang web để nó có thể tải nó trên máy tính của bạn. Bộ nhớ cache DNS(DNS cache) là một tệp trên máy tính của bạn hoặc ISP của bạn có chứa danh sách địa chỉ IP của các trang web được sử dụng thường xuyên. Bài viết này giải thích ngộ độc bộ nhớ cache DNS và giả(DNS) mạo DNS là gì.(DNS)

Ngộ độc bộ nhớ cache DNS

Mỗi khi người dùng nhập URL trang web vào trình duyệt của họ, trình duyệt sẽ liên hệ với tệp cục bộ ( DNS Cache ) để xem có mục nhập để phân giải địa chỉ IP của trang web hay không. Trình duyệt cần địa chỉ IP của các trang web để có thể kết nối với trang web. Nó không thể chỉ sử dụng URL để kết nối trực tiếp với trang web. Nó phải được phân giải thành địa chỉ IP IPv4 hoặc IPv6 thích hợp . Nếu bản ghi ở đó, trình duyệt web sẽ sử dụng nó; nếu không, nó sẽ chuyển đến máy chủ DNS để lấy địa chỉ IP. Đây được gọi là tra cứu DNS(DNS lookup) .

Bộ đệm DNS được tạo trên máy tính của bạn hoặc máy chủ (DNS)DNS của ISP để lượng thời gian truy vấn DNS của một URL được giảm bớt. Về cơ bản(Basically) , bộ đệm DNS là các tệp nhỏ chứa địa chỉ IP của các trang web khác nhau thường được sử dụng trên máy tính hoặc mạng. Trước khi liên hệ với máy chủ DNS , các máy tính trên mạng liên hệ với máy chủ cục bộ để xem có mục nhập trong bộ đệm DNS hay không. (DNS)Nếu có, các máy tính sẽ sử dụng nó; nếu không máy chủ sẽ liên hệ với máy chủ DNS và tìm nạp địa chỉ IP. Sau đó, nó sẽ cập nhật DNS cục bộ(DNS)bộ đệm với địa chỉ IP mới nhất cho trang web.

Mỗi mục nhập trong bộ nhớ cache DNS có một giới hạn thời gian được đặt ra, tùy thuộc vào hệ điều hành và độ chính xác của độ phân giải (DNS)DNS . Sau khi hết thời gian, máy tính hoặc máy chủ chứa DNS cache sẽ liên hệ với máy chủ DNS và cập nhật mục nhập để thông tin chính xác.
Tuy nhiên, có những người có thể đầu độc bộ nhớ cache DNS cho hoạt động tội phạm.(DNS)

Đầu độc bộ nhớ cache(Poisoning the cache) có nghĩa là thay đổi giá trị thực của URL(URLs) . Ví dụ: tội phạm mạng có thể tạo một trang web giống như say, xyz.com và nhập bản ghi DNS của nó vào bộ nhớ cache DNS của bạn. (DNS)Do đó, khi bạn gõ xyz.com vào thanh địa chỉ của trình duyệt, sau đó sẽ chọn địa chỉ IP của trang web giả mạo và đưa bạn đến đó, thay vì trang web thật. Đây được gọi là Pharming . Sử dụng phương pháp này, tội phạm mạng có thể lấy cắp thông tin đăng nhập của bạn và các thông tin khác như chi tiết thẻ, số an sinh xã hội, số điện thoại, v.v. để đánh cắp danh tính(identity theft) . DNSđầu độc cũng được thực hiện để đưa phần mềm độc hại vào máy tính hoặc mạng của bạn. Khi bạn truy cập vào một trang web giả mạo bằng cách sử dụng bộ nhớ cache DNS bị nhiễm độc , bọn tội phạm có thể làm bất cứ điều gì chúng muốn.

Đôi khi, thay vì bộ nhớ đệm cục bộ, bọn tội phạm cũng có thể thiết lập máy chủ DNS giả để khi bị truy vấn, chúng có thể đưa ra địa chỉ IP giả. Đây là tình trạng nhiễm độc DNS mức độ cao và làm hỏng hầu hết các bộ nhớ đệm DNS trong một khu vực cụ thể, do đó ảnh hưởng đến nhiều người dùng hơn.

Đọc về(Read about) : Comodo Secure DNS | OpenDNS | DNS công cộng của Google(Google Public DNS) | DNS bảo mật của Yandex(Yandex Secure DNS) | DNS thiên thần.

Giả mạo bộ nhớ cache DNS

Ngộ độc và giả mạo bộ nhớ đệm DNS

DNS spoofing is a type of attack that involves impersonation of DNS server responses in order to introduce false information. In a spoofing attack, a malicious user attempts to guess that a DNS client or server has sent a DNS query and is waiting for a DNS response. A successful spoofing attack will insert a fake DNS response into the DNS server’s cache, a process known as cache poisoning. A spoofed DNS server has no way of verifying that DNS data is authentic, and will reply from its cache using the fake information.

DNS Cache Spoofing nghe có vẻ giống với DNS Cache Poisoning , nhưng có một sự khác biệt nhỏ. Giả mạo bộ nhớ cache DNS(DNS Cache Spoofing) là một tập hợp các phương pháp được sử dụng để đầu độc bộ nhớ cache DNS . Đây có thể là một mục bắt buộc vào máy chủ của mạng máy tính để sửa đổi và thao tác bộ đệm DNC . Điều này có thể đang thiết lập một máy chủ DNS giả để các phản hồi giả được gửi đi khi được truy vấn. Có nhiều cách để đầu độc bộ nhớ cache DNS và một trong những cách phổ biến là (DNS)giả mạo bộ nhớ cache DNS(DNS Cache Spoofing) .

Đọc(Read) : Cách tìm hiểu xem cài đặt DNS của máy tính của bạn có bị xâm phạm hay không bằng cách sử dụng ipconfig.

Ngộ độc bộ nhớ đệm DNS - Ngăn ngừa

Không có nhiều phương pháp có sẵn để ngăn chặn ngộ độc DNS Cache . Phương pháp tốt nhất là mở rộng quy mô hệ thống bảo mật của bạn(scale up your security systems) để không có kẻ tấn công nào có thể xâm phạm mạng của bạn và thao túng bộ đệm DNS cục bộ. Sử dụng tường lửa tốt(good firewall) có thể phát hiện các cuộc tấn công nhiễm độc bộ nhớ cache DNS . Xóa bộ nhớ cache DNS(Clearing the DNS cache)(Clearing the DNS cache) thường xuyên cũng là một tùy chọn mà một số bạn có thể cân nhắc.

Ngoài việc mở rộng hệ thống bảo mật, quản trị viên nên cập nhật chương trình cơ sở và phần mềm của họ(update their firmware and software) để giữ cho hệ thống bảo mật luôn cập nhật. Hệ điều hành nên được vá bằng các bản cập nhật mới nhất. Không được có bất kỳ liên kết gửi đi của bên thứ ba nào. Máy chủ phải là giao diện duy nhất giữa mạng và Internet và phải có tường lửa tốt.

Mối quan hệ tin cậy của các máy chủ(trust relations of servers) trong mạng nên được chuyển lên cao hơn để chúng không chỉ yêu cầu bất kỳ máy chủ nào về độ phân giải DNS . Bằng cách đó, chỉ những máy chủ có chứng chỉ chính hãng mới có thể giao tiếp với máy chủ mạng trong khi phân giải máy chủ DNS .

Khoảng thời gian(period) của mỗi mục nhập trong bộ đệm DNS phải ngắn để các bản ghi DNS được tìm nạp thường xuyên hơn và được cập nhật. Điều này có thể có nghĩa là khoảng thời gian kết nối với các trang web lâu hơn (đôi khi) nhưng sẽ làm giảm khả năng sử dụng bộ nhớ cache bị nhiễm độc.

Khóa DNS Cache(DNS Cache Locking) phải được định cấu hình 90% trở lên trên hệ thống Windows của bạn . Khóa bộ đệm(Cache) trong Windows Server cho phép bạn kiểm soát xem thông tin trong bộ đệm DNS có thể bị ghi đè hay không. Xem TechNet để biết thêm về điều này.

Sử dụng DNS Socket Pool vì nó cho phép máy chủ DNS sử dụng ngẫu nhiên hóa cổng nguồn khi đưa ra các truy vấn DNS . TechNet cho biết điều này cung cấp bảo mật nâng cao chống lại các cuộc tấn công nhiễm độc bộ nhớ cache .

Phần mở rộng Bảo mật Hệ thống Tên miền (DNSSEC)(Domain Name System Security Extensions (DNSSEC)) là một bộ phần mở rộng dành cho Windows Server nhằm bổ sung bảo mật cho giao thức DNS . Bạn có thể đọc thêm về điều này ở đây(here) .

Có hai công cụ có thể khiến bạn quan tâm(There are two tools that may interest you) : F-Secure Router Checker sẽ kiểm tra việc chiếm quyền điều khiển DNS và Công cụ Bảo mật WhiteHat giám sát các hành vi xâm nhập DNS.

Bây giờ hãy đọc: (Now read:) Hijacking DNS là(What is DNS Hijacking) gì?

Quan sát và nhận xét được hoan nghênh.(Observation and comments are welcome.)



My Thư

About the author

Tôi là kỹ sư phần mềm với hơn 10 năm kinh nghiệm thiết kế, xây dựng và bảo trì các ứng dụng dựa trên Windows. Tôi cũng là một chuyên gia thành thạo về xử lý văn bản, xử lý bảng tính và thuyết trình. Tôi có thể viết mô tả rõ ràng và ngắn gọn về mã, giải thích các khái niệm phức tạp cho các nhà phát triển mới làm quen và khắc phục sự cố nhanh chóng cho khách hàng.


Related posts