Tấn công DNS Hijacking là gì và cách ngăn chặn nó
DNS rất quan trọng trong việc phân giải các URL(URLs) bạn nhập vào thanh địa chỉ của trình duyệt. Rất nhiều công việc đi vào giải pháp tên miền(Domain Name Resolution) . Đây là một loại hoạt động đệ quy giúp trình duyệt của bạn nhận được địa chỉ IP của trang web mà bạn đang cố gắng truy cập. Nếu quan tâm, bạn có thể đọc thêm về Tra cứu DNS và Máy chủ(DNS Lookup and Servers) .
Thuật ngữ DNS Cache đề cập đến bộ đệm cục bộ chứa các địa chỉ IP đã được phân giải của các trang web mà bạn thường xuyên sử dụng. Ý tưởng của DNS Cache là để tiết kiệm thời gian nếu không sẽ dành cho việc liên hệ với các máy chủ DNS sẽ bắt đầu một tập hợp các hoạt động đệ quy để tìm ra địa chỉ IP thực của URL mà bạn cần truy cập. Nhưng bộ đệm này có thể bị đầu độc bởi tội phạm mạng chỉ đơn giản bằng cách thay đổi các mục nhập trong bộ đệm DNS của bạn thành địa chỉ IP giả cho các trang web bạn sử dụng.
DNS Hijacking là gì
Như tên cho thấy, Tấn công hoặc Chuyển hướng (Redirection)DNS(DNS Hijacking) là một phương pháp được tội phạm mạng sử dụng để chiếm đoạt nỗ lực phân giải địa chỉ IP của trang web bạn muốn tải của trình duyệt. Để dễ sử dụng, các URL(URLs) chúng tôi sử dụng có định dạng văn bản. Đối với mỗi URL , có một địa chỉ IP và một tập hợp các thao tác chuyển đổi URL văn bản thành địa chỉ IP số. Vì có nhiều hoạt động liên quan đến việc phân giải địa chỉ IP, tội phạm mạng có thể lợi dụng sự chậm trễ và gửi đến máy tính của bạn một địa chỉ IP giả thuộc về chúng.
Phương pháp phổ biến nhất cho DNS Hijacking(common method for DNS Hijacking) là cài đặt phần mềm độc hại trên máy tính của bạn để thay đổi DNS để bất cứ khi nào trình duyệt của bạn cố gắng phân giải một URL , nó sẽ liên hệ với một trong những máy chủ DNS giả mạo thay vì máy chủ DNS thực được ICANN sử dụng (cơ quan của Internet chịu trách nhiệm đăng ký miền, quản lý, cung cấp địa chỉ IP, duy trì địa chỉ liên hệ và hơn thế nữa). Các máy chủ DNS trực tiếp mà máy tính của bạn tiếp xúc là các máy chủ DNS do Nhà cung cấp dịch vụ Internet của bạn vận hành -(Internet Service Provider –)trừ khi bạn đã thay đổi chúng thành một cái gì đó khác. Khi kết nối Internet được mua, các máy chủ DNS đang sử dụng là của ISP - được ICANN công nhận .
Phần mềm độc hại trên máy tính của bạn thay đổi DNS(DNS) mặc định được máy tính của bạn tin cậy để trỏ đến một số địa chỉ IP khác. Bằng cách đó, khi trình duyệt của bạn cố gắng phân giải một địa chỉ IP, máy tính của bạn sẽ liên hệ với một máy chủ DNS giả mạo cung cấp cho bạn địa chỉ IP sai. Điều này dẫn đến việc trình duyệt của bạn tải một trang web độc hại có thể xâm nhập máy tính của bạn hoặc lấy cắp thông tin đăng nhập của bạn, v.v.
Đánh cắp DNS(DNS Hijacking) so với Ngộ độc bộ nhớ cache DNS(DNS Cache)
Mặc dù cả hai đều xảy ra ở cấp địa phương, nhưng nguồn gốc của chúng là từ các máy chủ DNS giả mạo . Trong khi chiếm quyền điều khiển DNS liên quan đến phần mềm độc hại(DNS hijacking involves malware) , ngộ độc DNS Cache liên quan đến việc ghi đè bộ đệm DNS cục bộ của bạn bằng các giá trị giả mạo(DNS Cache poisoning involves overwriting your local DNS cache with fake values) chuyển hướng trình duyệt của bạn đến các trang web độc hại. DNS Cache Poisoning hoặc Spoofing(DNS Cache Poisoning or Spoofing) liên quan đến các kỹ thuật như bắn phá các địa chỉ IP giả mà máy tính của bạn nhận được trong khi các máy chủ DNS chính hãng vẫn đang bận phân giải URL . Có nghĩa là, trong khoảng thời gian mà các máy chủ DNS chính hãng cần để phân giải một URL , tội phạm mạng sẽ gửi nhiều phản hồi cho rằng URL đó với các địa chỉ IP giả.
Ví dụ: bạn nhập thewindowsclub.com trong trình duyệt của mình. Vào thời điểm máy chủ DNS chính hãng tra cứu địa chỉ, máy tính của bạn sẽ nhận được nhiều hơn một độ phân giải mà trang web ở địa chỉ IP XYZ(XYZ IP) . Điều này sẽ làm cho máy tính của bạn tin rằng trang web ở XYZ mặc dù máy chủ DNS chính hãng gửi địa chỉ IP chính hãng vì máy chủ DNS của tội phạm mạng đã gửi nhiều phản hồi có chứa IP giả cho thewindowsclub.com .
Sự khác biệt về thời gian này được sử dụng một cách hiệu quả bởi tội phạm mạng có nhiều máy chủ DNS giả mạo để đưa máy tính của bạn ghi chú các địa chỉ IP sai và độc hại vào bộ nhớ đệm. Vì vậy, một trong số mười độ phân giải DNS giả được gửi bởi các máy chủ (DNS)DNS của tội phạm mạng sẽ được ưu tiên hơn một độ phân giải DNS chính hãng được gửi bởi các máy chủ DNS chính hãng . Các phương pháp khác để ngăn chặn và nhiễm độc DNS Cache(DNS Cache Poisoning) được liệt kê trong liên kết được cung cấp ở trên.
Mặc dù DNS Cache Poisoning và DNS Hijacking được sử dụng thay thế cho nhau, nhưng có một sự khác biệt nhỏ giữa chúng. Phương pháp của DNS Cache Poisoning không liên quan đến việc đưa phần mềm độc hại vào hệ thống máy tính của bạn mà dựa trên các phương pháp khác nhau như phương pháp đã giải thích ở trên, trong đó các máy chủ DNS giả mạo gửi độ phân giải URL nhanh hơn máy chủ DNS chính hãng và do đó bộ đệm bị nhiễm độc. Khi bộ nhớ cache bị nhiễm độc, khi bạn sử dụng một trang web bị nhiễm độc, máy tính của bạn sẽ bị xâm nhập. Trong trường hợp DNS Hijacking , bạn đã bị nhiễm virus. Phần mềm độc hại thay đổi DNS(DNS) mặc định của bạnnhà cung cấp dịch vụ cho một cái gì đó mà tội phạm mạng muốn. Và từ đó, chúng kiểm soát độ phân giải URL của bạn ( tra cứu DNS ), và sau đó chúng tiếp tục đầu độc bộ nhớ cache DNS của bạn.(DNS)
Cách ngăn chặn DNS Hijacking
Chúng ta đã thảo luận về cách ngăn chặn ngộ độc DNS(prevent DNS poisoning) rồi. Để ngăn chặn hoặc ngăn chặn DNS Hijacking , bạn nên sử dụng phần mềm bảo mật tốt(good security software) giúp tránh xa phần mềm độc hại như trình thay đổi DNS . Sử dụng một Tường lửa(Firewall) tốt . Mặc dù tường lửa dựa trên phần cứng là tốt nhất, nhưng nếu bạn không có nó, ít nhất bạn có thể bật tường lửa bộ định tuyến của mình.
Nếu bạn cho rằng mình đã bị nhiễm, tốt hơn là xóa nội dung của tệp HOSTS(HOSTS file) và đặt lại Tệp Máy chủ(reset the Hosts File) . Sau khi thực hiện việc này, hãy tiếp tục và sử dụng phần mềm chống phần mềm độc hại giúp bạn loại bỏ DNS Changers .
Kiểm tra xem có bất kỳ trình thay đổi DNS nào đã thay đổi DNS của bạn hay không . Nếu có, bạn nên thay đổi cài đặt DNS của mình(change your DNS settings) . Bạn có thể kiểm tra nó tự động. Ngoài ra, bạn có thể kiểm tra DNS theo cách thủ công. Bắt đầu bằng cách kiểm tra DNS được đề cập trong Bộ định tuyến(Router) và sau đó trong các máy tính riêng lẻ trong mạng của bạn. Tôi khuyên bạn nên xóa Windows DNS Cache(flush your Windows DNS Cache) của mình và thay đổi DNS bộ định tuyến của bạn thành một số DNS khác như DNS Comodo , Open DNS, Google Public DNS, Yandex Secure DNS, Angel DNS, v.v. Một DNS an toàn(DNS)trong bộ định tuyến tốt hơn cấu hình từng máy tính.
Có những công cụ có thể bạn quan tâm(There are tools that may interest you) : F-Secure Router Checker sẽ kiểm tra việc xâm nhập DNS , công cụ trực tuyến này kiểm tra DNS Hijacking và WhiteHat Security Tool giám sát các hành vi xâm nhập DNS.
Bây giờ hãy đọc(Now read) : Đánh cắp tên miền là gì và cách khôi phục tên miền bị tấn công.
Related posts
Best Các dịch vụ Dynamic DNS miễn phí trên web bạn nên sử dụng
Windows không thể giao tiếp với các device or resource (DNS server)
DNSLookupView là một DNS Lookup Tool miễn phí cho máy tính Windows
Cách bật DNS trên HTTPS trong Windows 10
Làm thế nào để thay đổi thiết lập DNS Server trên Xbox One để làm cho nó nhanh hơn
Public DNS Server Tool là DNS changer miễn phí cho Windows 10
RSAT Missing DNS server Công cụ trong Windows 10
Không thể thay đổi Static IP address & DNS server trên Windows 10
DNS Lookup And How DNS Lookup Works
Cách Clear, Reset, Flush DNS Cache trong Windows 10
Release TCP/IP, Flush DNS, Reset Winsock, Reset Proxy với Batch File
DNS Lookup Tools & Online services miễn phí
Làm thế nào để Fix DNS Server không đáp ứng lỗi
Máy chủ DNS của bên thứ ba là gì? 8 lý do để sử dụng máy chủ DNS công cộng
DNS_PROBE_FINISHED_NXDOMAIN error trong Chrome trên Windows 10
DNS Server của bạn có thể không có sẵn trong Windows 10
Kích hoạt DNS trên HTTPS trong Firefox, Chrome, Edge, Opera, Android, iPhone
Cách thay đổi cài đặt DNS trong Windows 10 dễ dàng
Làm cách nào để kiểm tra xem Router của bạn bị hack hay DNS bị tấn công?
Cách chuyển sang OpenDNS or Google DNS trên Windows