TÌM HIỂU VÀ MÔ PHỎNG TẤN CÔNG DỊCH VỤ DNS - Tài Liệu Text

Trang chủ » Dịch Vụ Dns Server Sử Dụng Port Bao Nhiêu » TÌM HIỂU VÀ MÔ PHỎNG TẤN CÔNG DỊCH VỤ DNS - Tài Liệu Text

Có thể bạn quan tâm

Tải bản đầy đủ (.docx) (23 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Hệ điều hành
TÌM HIỂU VÀ MÔ PHỎNG TẤN CÔNG DỊCH VỤ DNS

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (576.24 KB, 23 trang )

HỌC VIỆN KỸ THUẬT MẬT MÃKHOA CÔNG NGHỆ THÔNG TINBÁO CÁO ĐỀ TÀI MÔN HỌCAN TOÀN HỆ ĐIỀU HÀNHTÌM HIỂU VÀ MÔ PHỎNG TẤN CÔNG DỊCH VỤ DNSGiảng viên: Đỗ Quang Trung Đồng Thị Thùy LinhSinh viên : Phạm Hữu Thiết Tô Quang Hiền Tạ Thị Thanh Thùy Trần Viết TrọngLớp : AT8BMục lụcDanh mục viết tắtDanh sách hình vẽLỜI MỞ ĐẦUTrong thời đại “phẳng” như ngày nay, vai trò của Công Nghệ Thông Tin và Internet vô cùng quan trọng. Điều này kéo theo nhiều ngành kinh tế phụ thuộc vào máy tính. Chính vì vậy, nhiều ý đồ phá hoại đã nhắm vào hệ thống máy tính.Nhiều website của các doanh nghiệp, công ty bảo mật hàng đầu trên thế giới đều bị hacker tấn công, gây tổn thất lớn về nguồn tài chính cũng như uy tín cho doanh nghiệp. Tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm “báo động đỏ” của an ninh mạng Việt Nam và thế giới khi có nhiều lỗ hổng an ninh mạng nghiêm trọng được phát hiện, hình thức tấn công thay đổi và có rất nhiều cuộc tấn công của giới tội phạm công nghệ cao vào các hệ thống công nghệ thông tin của doanh nghiệp và chính phủ.Với mục đích nghiên cứu và tìm hiểu nguyên lý, cơ chế của các cuộc tấn công của hacker nói chung, và từng kỹ thuật tấn công nói riêng, nhóm chúng em chọn đề tài tìm hiểu và mô phỏng tấn công dịch vụ DNS.Do kinh nghiệm và kiến thức chưa được sâu sắc nên trong báo cáo về đề tài của nhóm mong quý thầy cô góp ý thêm để nhóm có thể hoàn thiện tốt hơn các đề tài nghiên cứu về sau ! Xin chân thành cảm ơn !Chương I. Tổng quan về hệ thống tên miền DNS(Domain Name System)1. Giới thiệu hệ thống tên miền DNS (Domain Name System) DNS là từ viết tắt trong tiếng Anh của Domain Name System, là Hệ thống tên miền được phát minh vào năm 1984 cho Internet, định nghĩa trongcác RFC 1034 và 1035, chỉ một hệ thống cho phép thiết lập tương ứng giữa địa chỉ IP và tên miền. Hệ thống tên miền (DNS) là một hệ thống đặt tên theo thứ tự cho máy vi tính, dịch vụ, hoặc bất kì nguồn lực tham gia vào Internet. Nó liên kết nhiều thông tin đa dạng với tên miền được gán cho những người tham gia. Quan trọng nhất là nó chuyển tên miền có ý nghĩa cho con người vào số định danh (nhị phân), liên kết với các trang thiết bị mạng cho các mục đích định vị và địa chỉ hóa các thiết bị khắp thế giới.Hình 1. DNS trong mô hình TCP/IP DNS dùng cổng 53 để truyền tải thông tin. Tại lớp vận chuyển, DNS sử dụng UDP hoặc TCP. UDP là giao thức ko yêu cầu tính tin cậy của dữ liệu cao, thường được sử dụng cho việc trả lời các query từ các host để đảm bảo tính nhanh chóng, khi sử dụng udp thì hạn chế của gói tin là 512 bytes. Do đó UDP thường được sử dụng để trả lời các query của host. Còn TCP là giaothức đảm bảo thông tin, thường được sử dụng khi các DNS server cập nhật thông tin với nhau, đảm bảo tính chính xác. Thường thì khi các DNS server cập nhật thông tin với nhau, dữ liệu sẽ ko bị hạn chế.2. Chức năng của hệ thống tên miền DNS (Domain Name System) Mỗi Website có một tên (là tên miền hay đường dẫn URL:Uniform Resource Locator) và một địa chỉ IP. Địa chỉ IP gồm 4 nhóm số cách nhau bằng dấu chấm(IPv4). Khi mở một trình duyệt Web và nhập tên website, trình duyệt sẽ đến thẳng website mà không cần phải thông qua việc nhập địa chỉ IP của trang web. Quá trình "dịch" tên miền thành địa chỉ IP để cho trìnhduyệt hiểu và truy cập được vào website là công việc của một DNS server. Các DNS trợ giúp qua lại với nhau để dịch địa chỉ "IP" thành "tên" và ngượclại. Người sử dụng chỉ cần nhớ "tên", không cần phải nhớ địa chỉ IP (địa chỉ IP là những con số rất khó nhớ). Hệ thống tên miền giúp cho nó có thể chỉ định tên miền cho các nhóm người sử dụng Internet trong một cách có ý nghĩa, độc lập với mỗi địa điểm của người sử dụng. Do đó, World Wide Web siêu liên kết và trao đổi thông tin trên Internet có thể duy trì ổn định và cố định ngay cả khi định tuyến dòng Internet thay đổi hoặc những người tham gia sử dụng một thiết bị di động. Tên miền internet dễ nhớ hơn các địa chỉ IP như là 208.77.188.166 (IPv4) hoặc 2001: db8: 1f70:: 999: de8: 7648:6 e8 (IPv6). Mọi người tận dụng lợi thế này khi họ thuật lại có nghĩa các URL và địachỉ email mà không cần phải biết làm thế nào các máy sẽ thực sự tìm ra chúng. Hệ thống tên miền phân phối trách nhiệm gán tên miền và lập bản đồ những tên tới địa chỉ IP bằng cách định rõ những máy chủ có thẩm quyền cho mỗi tên miền. Những máy chủ có tên thẩm quyền được phân công chịu trách nhiệm đối với tên miền riêng của họ, và lần lượt có thể chỉ định tên máy chủ khác độc quyền của họ cho các tên miền phụ. Kỹ thuật này đã thực hiện các cơ chế phân phối DNS, chịu đựng lỗi, và giúp tránh sự cần thiết chomột trung tâm đơn lẻ để đăng kí được tư vấn và liên tục cập nhật.3. Cơ chế phân giải DNS service có 2 chức năng chính là phân giải tên > IP và IP > tên.3.1 Phân giải tên thành địa chỉ IP Root Name Server là máy chủ quản lý các name server ở mức top-level domain. Khi có query về 1 tên domain nào đó thì Root Name Server sẽ cung cấp tên và địa chỉ IP của name server quản lý top-level domain đó (thực tế thì hầu hết các root server cũng chính là máy chủ quản lý top-level domain) và đến lược các name server của top-level domain cung cấp danh sách các name server có quyền trên các secon-level domain mà domain này thuộc vào. Cứ như thế đến khi nào tìm được máy chủ quản lý tên domain cần truy vấn. Qua quá trình trên cho thấy vai trò rất quan trọng của Root Name Server trong quá trình phân giải tên domain. Nếu mọi Root Name Server trên mạng Internet không liên lạc được với nhau thì mọi yêu cầu phân giải tên đều sẽ không được thực hiện. Ví dụ : client cần truy cập trang web www.yahoo.com thì client sẽ yêucầu phân giải địa chỉ IP của web server nào có chứa website www.yahoo.com này. Đầu tiên client sẽ tìm trong cache của nó, nếu cache của nó không có thì nó sẽ gửi request querry đến DNS local (nếu trong mạngnội bộ có DNS server). Sau đó DNS local cũng sẽ tìm trong cache của nó, nếu có nó sẽ gửi địa chỉ IP cần truy vấn đến cho client, nếu cache không có thì lúc này DNS local sẽ gửi request query này đến 1 Root Name Server nào đó gần nó nhất mà nó biết được. Sau đó Root Name Server này sẽ trã lời địa chỉ IP của Name Server quản lý miền .com cho DNS local. DNS local lại hỏitiếp name server quản lý domain .com miền yahoo.com địa chỉ IP là bao nhiêu. Cuối cùng DNS local truy vấn máy chủ quản lý domain www.yahoo.com và nhận được câu trả lời.Có 2 dạng truy vấn (query) :- Truy vấn đệ quy: khi Name Server nhận được truy vấn dạng này, nó bắt buộc phải trả kết quả tìm được hoặc thông báo lỗi nếu như truy vấn này không phân giải được. Name Server không thể tham chiếu đến 1 Name Server khác. Name Server có thể gửi truy vấn dạng truy vấn đệ quy hoặc truy vấn lặp lại đến Name Server khác nhưng phải thực hiện cho đến khi nàocó kết quả mới thôi. DNS server kiểm tra cache và forward lookup zone để gửi lại query. Hình 2. Truy vấn đệ quy- Truy vấn lặp lại: khi Name Server nhận được truy vấn dạng này, nó sẽ trả lời cho thiết bị truy vấn với thông tin tốt nhất mà nó có được vào thời điểm lúc đó. Bản thân Name Server không thực hiện bất cứ 1 truy vấn nào thêm. Thông tin trả về lúc đó có thể lấy từ dữ liệu cục bộ (kể cả cache). Trong trường hợp Name Server không tìm thấy thông tin trong dữ liệu cục bộ nó sẽtrả về tên miền và địa chỉ IP của Name Server nào gần nhất mà nó biết. Hình 3. Truy vấn lặp lạiTóm lại việc truy vấn thường như sau:- Truy vấn giữa Thiết bị truy vấn (host) > DNS Server là Truy vấn đệ quy- Truy vấn giữa DNS Server > DNS Server là truy vấn lặp lại3.2 Phân giải địa chỉ IP thành tên host Để có thể phân giải tên máy tính của 1 địa chỉ IP, trong không gian tên miền người ta bổ sung thêm 1 nhánh tên miền mà được lập chỉ mục theo địa chỉ IP. Phần không gian này có tên miền là in-addr.arpa. Mỗi node trong miền in-addr.arpa có 1 tên nhãn là chỉ số thập phân của địa chỉ IP. Ví dụ miền in-addr.arpa có thể có 256 subdomain tương ứng với 256 giá trị từ 0 > 255 của byte đầu tiên trong địa chỉ IP. Trong mỗi subdomain lại có 256 subdomain con nữa ứng với byte thứ 2. Cứ như thế và đến byte thứ 4 có các bản ghi cho biết tên miền đầy đủ của các máy tính hoặc các mạng có địa chỉ IP tương ứng.4. Cấu trúc của gói tin DNSHình 4. Cấu trúc gói tin DNSTrong phần này, ta đề cập đến 2 thành phần của bản tin DNS: Truy vấn DNS và các bản tin phản hồi. Cả truy vấn và phản hồi đều có dạng tương tự nhau, được chỉ ra trong hình. Ý nghĩa các trường của bản tin được chỉ ra như sau: Phần mở đầu (The message header): 12 bytes, bao gồm các cờ và các giá trị điều khiển quá trình trao đổi. Gồm các thành phần chính:0 1 2 3 4 5 6 7 8 9 10 1112131415Message IDQROPCODE AATCRDRARes1Res2Res3RCODEQDCOUNT (số các items trong một truy vấn-Question)ANCOUNT (số các items trong 1 phản hồi- Answers)NSCOUNT (số các items trong Authority section)ARCOUNT (số items trong Additional section)Hình 5. The message header- ID (Identification): Là một trường 16 bits, chứa mã định danh, Định danhtruy vấn được sinh ra bởi client và được sao chép sang phản hồi của máy chủ. ID được sử dụng để kết hợp truy vấn với trả lời. Nó xác định duy nhất truy vấn nào đi kèm với phản hồi nào. Chính vì vậy mà truy vấn và phản hồi có thể phù hợp với nhau. ID cho phép client gửi nhiều query cùng lúc mà không cần phải chờ trả lời. - QDCOUNT: 16 bit, quy định số lượt truy cập vào trường Truy vấn (Question)- ANCOUNT: 16 bit, quy định số bản ghi trong trường Phản hồi (Answer).Có thể là 0 trong trường hợp không có bản ghi phản hồi trong bản tin.- NSCOUNT: 16 bit, quy định số lượng của tên bản ghi nguồn trong trường Authority section. Có thể bằng 0 trong trường hợp không có bản ghi có thẩm quyền ở thời điểm hiện tại.- ARCOUNT: 16 bit, quy định số lượng các bản ghi nguồn trong trường Additional. Có thể bằng 0 trong trường hợp không có bản ghi thêm vào nào được chỉ ra trong bản tin. Phần truy vấn (The DNS question)Thông thường, chỉ có 1 truy vấn mỗi bản tin, tuy nhiên số lượng truy vấn được chophép 1 cách bất kỳ, xác định bởi QDCOUNT. Cấu trúc chung được cho như sau:- QNAME: tên trường, là tên được truy vấn. Trong DNS, ký hiệu “.” không sử dụng với các tên miền. Mỗi phần của tên miền (thường được thể hiện giữa các dấu chấm) được thể hiện bằng 1 byte chứa chiều dài chuỗi. Tên miền được kết thúc bởi một đánh dấu zero (chuỗi cuối cùng có độ dài 0).- QTYPE: 16 bit, đặc tả kiểu truy vấn. là kiểu RR được yêu cầu trong trả lời.- QCLASS: 16 bit, đặc tả lớp bản ghi nguồn được yêu cầu. Phần phản hồi (The DNS Answer)Chứa 3 thành phần: thành phần trả lời, thành phần máy chủ xác thực và thông tin thêm.Bản thân phần trả lời đã chứa thành phần trả lời. Thành phần máy chủ xác thực tên lưu trữ tên của các máy chủ trong các bộ NS.Thông tin thêm thường lưu địa chỉ IP của các máy chủ xác thực.Các bộ trong thành phần này là các bộ tài nguyên thông dụng như các bộ lưu giữ máy chủ tên và sử dụng các định dạng như sau:- NAME: tên miền, cùng định dạng với trường QNAME trong truy vấn.- TYPE: 16 bit giá trị. Kiểu bộ, cùng định dạng với QTYPE.- CLASS: 16 bit giá trị. Lớp, cùng định dạng với QCLASS.- TTL: 32 bit giá trị. Giới hạn kết thúc RR, thời gian mà trả lời có thể đượclưu trong máy chủ lưu trữ khi có giá trị.- RDLENGHT: 16 bit giá trị. chiều dài RDATA.- RDATA: phần còn lại của RR (địa chỉ IP hay tên miền). Phần quyền truy nhập (Authority section)Authority record có cấu cấu trúc giống hệt với phần phản hồi (Answer). Ngoài ra chúng bao gồm bản ghi của các server bắt buộc khác. Phần bản ghi bổ sung (Additional Information)Tương tự với phần trên, phần bản ghi bổ sung có cấu trúc giống với phần phản hồi.Ngoài ra nó chứa các bản ghi hữu ích khác.Ví dụ: phần Câu trả lời trong Phản hồi cho một truy vấn MX bao gồm bản ghi nguồn cung cấp tên máy chủ theo quy tắc của một mail server. Phần thêm vào ở đây bao gồm bản ghi Kiểu A cung cấp địa chỉ IP cho tên máy chủ theo quy tắc của mail server.Chương II. Vấn đề bảo mật trong DNS1. Các điểm yếu của DNS Do một client bình thường tin tưởng các thông tin phân giải do DNS Server cung cấp. Do đó, nếu DNS Server bị tấn công vì mục đích nào đó nhằm thay đổi các thông tin phân giải trả về cho client. Điền này thật nguy hiểm cho client khi nhận được những thông tin phân giải đã bị “nhiễm bẩn”. 1.1. Tấn công đầu độc cache (cache poisoning attack)Hình 6. DNS cache poisioning Như đã đề cập trong phần lý thuyết bên trên, các DNS Server sau khi trả thông tin đã phân giải được vào cache (cache trên DNS Server), mục đích là để tối ưu cho việc phân giải lần sau. Lợi dụng cơ chế này, các attacker tiến hành đầu độc cache của DNS Server. Có vài cách để thực hiện việc này :- Cách thứ nhất : thiết lập một DNS Server giả mạo với các record độc hại.Mục đích của kẻ tấn công là muốn dẫn các client khi phân giải một cái tên nào đó về địa chỉ IP giả mạo, ví dụ khi client cần phân giải địa chỉ www.cnn.com thì được trả về địa chỉ IP giả là 66.66.66.66. Khi nào record giả còn tồn tại trong cache của DNS Server nạn nhân, các truy vấn của www.cnn.com sẽ được chuyển hướng đến 66.66.66.66, đây có thể là một máy tính được đặc dưới sự kiểm soát củaattacker, các thông tin đến www.cnn.com sẽ được attacker forward đến đối tượng thật sự www.cnn.com và ngược lại. Do đó client cuối cùng không biết có sự tồn tạicủa máy “man in the middle”.- Cách thứ 2 : Gửi một spoofed reply đến client nạn nhân thông qua sự giúp đỡ của 1 sniffer Thay vì thiết lập một DNS Server giả mạo, nếu attacker có thể đặt mình vào vị trí giữa client và DNS Server, attacker có thể ngăn chặn các request của client gửi đến DNS Server và sau đó gửi gói tin reply với thông tin sai đến client. Xin nhắc lại là client chỉ chấp nhận các gói tin reply với cùng các thông số đã gửi đi ban đầu như Transaction ID, địa chỉ IP và số port. Để biết các thông số này, attacker có thể nghe lén để capture lại các gói tin trong mạng. Sau khi đã có các thông số đầy đủ, attacker có thể tạo gói tin reply DNS giả để gửi đến cho client. Nội dung gói tin chứa thông tin sai trái phục vụ cho mục đích đen tối của attacker. Tuy nhiên hạn chế của phương pháp này là gói tin reply phải của attacker phải đến trước gói tin hợp lệ của DNS Server. Nếu gói tin hợp lệ của DNS Server đến trước thì cách tấn công này sẽ không thực hiện được. Đó là do client chỉ chấp nhận gói tin reply nào hợp lệ đến trước, và sẽ làm ngơ (ignore) các gói tin đến sau. Có nhiều cách để thực hiện ý đồ này của attacker, và để tăng khả năng thành công của phương pháp này, attacker có thể tiến hành tấn công từ chối dịch vụ (DOS) để làm chậm hoạt động của DNS Server. Do phải capture các gói tin để lấy các thông số của gói tin request DNS, việc capture các gói tin này khó có thể thực hiện trong môi trường mạng switch (switched netword). Do đó, kỹ thuật tấn công ARP snoofing phải được thực hiện trước.- Cách thứ 3 : gửi một lượng lớn snoofing reply đến client nạn nhân. Hình 7. DNS spoofing Kỹ thuật tấn công dựa vào số ID DNS snoofing đòi hỏi kẻ tấn công phải biếtchính xác số ID giao dịch giữa client và server. Điều này có thể được thực hiện bằng cách gửi một lượng rất lớn các gói tin reply chứa số Transaction ID khác nhau đến client, hy vọng một trong số các gói tin gửi đến client sẽ hợp lệ. Trên thực tế, số ID này chỉ chiếm 2 byte bộ nhớ, cho nên nó chỉ có tất cả 65525 trường hợp. Vì vậy, bằng cách gửi 65525 gói tin reply (mỗi gói tin có số ID khác nhau), một trong số chúng chắc chắn sẽ phù hợp với số Transaction ID giao dịch giữa client và server, đồng thời có thể làm ngập lụt (fool) máy nạn nhân. Với cách tấn công này, attacker không cần phải nghe lén số Transaction ID giao dịch giữa client và server. Nhưng vấn đề của nó là khi nào thì nên tiến hành thực hiện tấn công? Đó là, làm thế nào để biết khi nào client thực hiện truy vấn DNS? Đây là việc gây khó khăn cho phương thức tấn công này.- Cách thứ 4 : attacker gửi một lượng lớn snoofed reply đến DNS Server. Trong cách thứ 3, attacker không thể biết khi nào client thực hiện một truy vấn. Tuy nhiên, thật tế, attacker có thể tự thực hiện truy vấn và sau đó gửi gói tin reply giả mạo đến DNS Server. Sau đó, DNS Server sẽ chứa thông tin bị đầu độc.Trở ngại của phương pháp này đó là gói tin reply phải chứa cùng số Transaction IDvà số port mà DNS Server victim đã sử dụng. Để giải quyết vấn đề này, đối với số Transaction ID thì attacker sử dụng phương pháp birthday attack. Trên DNS Serverthì source port sử dụng hầu như không đổi đối với từng client. Lợi dụng điều này, đầu tiên attacker yêu cầu DNS Server victim phân giải một địa chỉ tên domain nào đó của attacker. Trên máy này, sau khi nhận được truy vấn attacker có thể biết được source port nào đang được sử dụng trên DNS Server victim. Dựa trên sự tính toán này, cùng với số source port đã biết, attacker thực hiện gửi 650 request và 650reply giả mạo đến DNS Server victim. Xác suất thành công của phương pháp tấn công này đạt khoản 96% tỉ lệ thành công.1.2. Tấn công tràn bộ đệm (buffer overflow attack) Là dạng tấn công vào vùng nhớ đệm của máy chủ DNS Server để thực thi các dòng lệnh trên máy chủ đó. Đây không phải là gói tin response chứa thông tin độc hại (như chứa tên quá dài, hoặc chiều dài gói tin quá lớn) nhưng có thể làm cho việc ghi đè lên vùng nhớ đệm của victim trở nên quá tải, cho phép thực thi việcleo thang chiếm quyền trên máy tính đó. Với quyền truy cập chiếm được, attacker có thể sửa đổi các thông tin trên file zone.1.3. Tấn công trong quá trình zone transfer (Zone transfer attack) Mục đích của việc tấn công này là để đưa thông tin không đúng lên server dựphòng (slave server) thông qua tiến trình zone transfer bình thường giữa server chính và server dự phòng. Để ngăn chặn việc này, các DNS Server sử dụng access control list. Danh sách đó chỉ chứa địa chỉ IP của những máy server chính nào được phép zone transfer.1.4. Tấn công từ chối dịch vụ (Denial of Service Attack) Là kiểu tấn công phổ biến với các request dồn dập để làm ngập lục server, làmcho server chậm chạm để có thể chấp nhận các request hợp lệ.Tuy nhiên, trong DNS, việc thực hiện DoS có thể đạt được bằng cách sử dụng vài loại resource record trong file zone. Cụ thể, Name Server (NS) record thì được dùng để xác định chứng nhận name server cho một domain, ví dụ : “ibm.com IN NS ns.ibm.com”. Nếu attacker có thể đầu độc cache của một DNS Server với một NS record ví dụ như “ibm.com IN NS ns.attacker.com”, server sẽ tham chiếu đến ns.attacker.com để phục vụ bất kỳ yêu cầu truy vấn nào của client về địa chỉ của máy ibm.com. Lúc này nó sẽ từ chối tất cả các client có cùng tên dịch vụ được cung cấp bởi ibm.com.Mặc khác, Canonical Name (CNAME) record, dùng để ánh xạ tên bí danh với tên thật, cũng có thể được sử dụng. Cụ thể, một attacker có thể đầu độc cache của một DNS Server với một CNAME record như “www.vnnetpro.com IN CNAME www.vnnetpro.com”, với việc tham chiếu đến chính nó, khi một client yêu cầu truy vấn địa chỉ www.vnnetpro.com, truy vấn có thể bị lặp vô tận.1.5. Tấn công phương thức cập nhật động (Dynamic update attack) Trong vài trường hợp, sau khi chỉnh sửa các zone file trên DNS Server, server khởi động lại để những thay đổi có hiệu lực. Nhưng khi khối lượng cần thayđổi quá lớn, khi đó các hoạt động của server không hoạt động bình thường như trước. Để thay đổi vùng dữ liệu một cách hiệu quả, tính năng dynamic update đượcsử dụng (xem RFC 2136 [3]), cho phép tự động thay đổi (chẳng hạn như việc thêmvà xóa) các record của DNS Server trong khi dịch vụ vẫn hoạt động bình thường không bị gián đoạn. Với tính năng này, name server chấp nhận các nguồn thông tincập nhật từ bên ngoài hoặc các ứng dụng cho các thông tin cá nhân được cập nhật một cách tự động. Chức năng dynamic update này chủ yếu được sử dụng cho các máy chạy dịch vụ DHCP, sau khi gán IP mới cho một client, DHCP Server sẽ sử dụng giao thức cập nhật động (dynamic update protocol) để cập nhật tên máy với địa chỉ IP phù hợp. Thật không may, tiến trình cập nhật động thì không được bảo mật. Attacker có thể dễ dàng thay đổi vùng zone data trên DNS Server bằng cách gửi các gói tin cậpnhật động một cách liên tục (bằng giao thức UDP).2. BIỆN PHÁP PHÒNG CHỐNG TẤN CÔNG DNS Khá khó phòng chống việc giả mạo DNS vì có khá ít các dấu hiệu tấn công. Thông thường, bạn không hề biết DNS của mình bị giả mạo cho tới khi điều đó xảy ra. Những gì bạn nhận được là một trang web khác hoàn toàn so với những gì mong đợi. Trong các tấn công với chủ đích lớn, rất có thể bạn sẽ không hề biết rằng mình đã bị lừa nhập các thông tin quan trọng của mình vào một website giả mạo cho tới khi nhận được cuộc gọi từ ngân hàng hỏi tại sao bạn lại rút nhiều tiền đến vậy. Mặc dù khó nhưng không phải không có biện pháp nào có thể phòng chống các kiểu tấn công này, đây là một sô thứ bạn cần thực hiện: Bảo vệ các máy tính bên trong của bạn: Các tấn công giống như trên thường đượcthực thi từ bên trong mạng của bạn. Nếu các thiết bị mạng của an toàn thì sẽ bạn sẽgiảm được khả năng các host bị thỏa hiệp và được sử dụng để khởi chạy tấn công giả mạo.- Sử dụng DNSSEC: DNSSEC là một giải pháp thay thế mới cho DNS, sử dụng các bản ghi DNS có chữ ký để bảo đảm sự hợp lệ hóa của đáp trả truy vấn. Tuy DNSSEC vẫn chưa được triển khải rộng rãi nhưng nó đã được chấp thuận là “tương lai của DNS”, chống tấn công vào cache.- Đặt mật khẩu mạnh cho các DNS server.- Tắt tính năng đệ quy trên các server được ủy quyền (Delegated Name Servers) bằng cách check vào ô Disable recursion (đồng nghĩa với việc disable tính năng forwarder) trong thẻ Advanced. Theo mặc định thì name server hỗ trợ tính năng recursive, chúng ta tắt tính năng này đi vì bản thân các name server liên lạc với nhau theo kiểu nonrecursive.- Ngăn không cho thực hiện chuyển vùng trái phép bằng cách sử dụng Access control list, chỉ những máy tính nào có địa chỉ IP nằm trong danh sách này được thực hiện quá trình chuyển vùng với DNS Server chính.- Sử dụng IDS: Một hệ thống phát hiện xâm nhập, khi được đặt và triển khai đúng, có thể vạch mặt các hình thức giả mạo ARP cache và giả mạo DNS.- Không dựa vào DNS cho các hệ thống bảo mật: Trên các hệ thống an toàn và có độ nhạy cảm cao, không duyệt Internet trên nó là cách thực hiện tốt nhất để không sử dụng đến DNS. Nếu bạn có phần mềm sử dụng hostname để thực hiện một số công việc của nó thì chúng cần phải được điều chỉnh những gì cần thiết trong file cấu hình thiết bị.Chương 3. Demo tấn công DNS spoofHình 8. Attacker tấn công chuyển hướng trang tuoitre.vn sang pisico.vnKẾT LUẬNVấn đề an toàn bảo mật ngày nay đang được các cơ quan, nhà bảo mật và đặt biệt là các doanh nghiệp quan tâm hàng đầu, an toàn dữ liệu, thông tin người dùng, và tài chính của công ty, mọi vấn đề đều cần được quan tâm. Đối với doanh nghiệp, thì quan trọng nhất là thông tin cá nhân, tài khoản của người dùng, ví dụ như ngân hàng chẳng hạn, các thông tin này phải được bảo mật tuyệt đối, vì thế vấn đề bảo mật đang là một thách thức lớn cho các nhà doanh nghiệp.Thông qua kỹ thuật tấn công dịch vụ DNS, chúng ta có thể hiểu được phần nào, nguyên lý, cơ chế tấn công của hacker khi muốn ăn cắp thông tin tài khoản của người dùng, với các kỹ thuật như tấn công đầu độc DNS, ARP hoặc DHCP sẽ giúp cho kẻ tấn công có thể dễ dàng lấy được thông tin của người dùng khi họ không để ý, hoặc không cẩn thận khi trao đổi dữ liệu trong môi trường mạng công cộng. Hơn thế nữa, nếu thông tin cá nhân của người dùng hoặc công ty bị hacker ăn cắp thì nguy cơ mất dữ liệu hoặc dữ liệu bị truyền ra ngoài sẽ gây một thất thoátlớn cho công ty, và sẽ làm tổn hại nguồn tài chính của công ty hoặc doanh nghiệp.Để khắc phục và ngăn chặn kịp thời các trường hợp bị tấn công hoặc ăn cắp dữ liệu bởi hacker, thì các doanh nghiệp cần quan tâm và chú trọng hơn nữa về vấnđề bảo mật. Dùng Firewall cứng hoặc mềm để ngăn chặn, giảm bớt sự tấn công từ bên ngoài, hoặc cấu hình bảo mật port cho switch để ngăn chặn sniffer, cấu hình các dịch vụ phát hiện và chống xâm nhập trên Server để kịp thời phát hiện các sự cố khi bị hacker tấn công. Ngoài ra, các doanh nghiệp cần backup dữ liệu của khách hàng để đề phòng trường hợp bị mất dữ liệu.TÀI LIỆU THAM KHẢO[1]. Slide An Ninh Mạng – Trường CNTT Hữu Nghị Việt Hàn[2]. Advisory to Exploit Using Metasploit - Bannedit[3]. Forum.itlab.com.vn[4]. Hvaonline.net

Tài liệu liên quan

  • Tìm hiểu và mô phỏng các kỹ thuật nhận dạng vân tay Tìm hiểu và mô phỏng các kỹ thuật nhận dạng vân tay
    • 58
    • 1
    • 5
  • Tìm hiểu và triển khai một số dịch vụ mạng của viễn thông hà tĩnh Tìm hiểu và triển khai một số dịch vụ mạng của viễn thông hà tĩnh
    • 54
    • 554
    • 0
  • TÌM HIỂU và ĐÁNH GIÁ CHẤT LƯỢNG DỊCH vụ của NHÀ HÀNG TRỞ về TÌM HIỂU và ĐÁNH GIÁ CHẤT LƯỢNG DỊCH vụ của NHÀ HÀNG TRỞ về
    • 32
    • 780
    • 1
  • Tìm hiểu và mô phỏng quá trình truyền dữ liệu công nghệ wimax 802 16d Tìm hiểu và mô phỏng quá trình truyền dữ liệu công nghệ wimax 802 16d
    • 105
    • 744
    • 0
  • Tìm hiểu và mô phỏng voice over ip trên hệ thống asterisk Tìm hiểu và mô phỏng voice over ip trên hệ thống asterisk
    • 112
    • 769
    • 0
  • tìm hiểu và mô phỏng hệ thống mimo antenna bằng phần mềm cst2009 tìm hiểu và mô phỏng hệ thống mimo antenna bằng phần mềm cst2009
    • 31
    • 984
    • 3
  • tìm hiểu và mô phỏng mã hóa kênh ở hệ thống cdma2000-1x tìm hiểu và mô phỏng mã hóa kênh ở hệ thống cdma2000-1x
    • 26
    • 766
    • 0
  • tìm hiểu và mô phỏng các phương pháp tách sóng trong mc-cdma tìm hiểu và mô phỏng các phương pháp tách sóng trong mc-cdma
    • 155
    • 842
    • 1
  • tìm hiểu và mô phỏng các phương pháp tách sóng trong mc – cdma tìm hiểu và mô phỏng các phương pháp tách sóng trong mc – cdma
    • 155
    • 952
    • 5
  • Tìm hiểu và mô phỏng các giải thuật định tuyến mạng wan Tìm hiểu và mô phỏng các giải thuật định tuyến mạng wan
    • 101
    • 466
    • 2

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

(1.77 MB - 23 trang) - TÌM HIỂU VÀ MÔ PHỎNG TẤN CÔNG DỊCH VỤ DNS Tải bản đầy đủ ngay ×

Từ khóa » Dịch Vụ Dns Server Sử Dụng Port Bao Nhiêu