HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA CƠNG NGHỆ THƠNG TIN
----------

BÁO CÁO KẾT THÚC HỌC PHẦN
CHỦ ĐỀ: TÌM HIỂU VỀ DNS
Giảng viên hướng dẫn: TS Hồng Xn Dậu
Nhóm 4:
Vũ Hồng Dương

B16DCAT042

Tống Đình Hồn

B16DCAT062

Ngơ Thành Cơng

B16DCAT017

Nguyễn Thị Hà Trang

B16DCAT057

Nguyễn Thùy Dương

B16DCAT041

Hà Nội, ngày 16 tháng 11 năm 2020
1

download by :


MỤC LỤC
LỜI NĨI ĐẦU................................................................................................................... 4
PHẦN 1: TÌM HIỂU VỀ HỆ THỐNG DNS......................................................................5
1.1. DNS là gì ?........................................................................................................... 5
1.2. Kiến trúc của DNS................................................................................................ 5
1.2.1.

DNS Zone và DNS File Zone.....................................................................5

1.2.2.

Resource Record (Các bản ghi DNS)..........................................................6

1.3. Cơ chế hoạt động của DNS.................................................................................14
PHẦN 2: CÁC DẠNG TẤN CÔNG VÀO DNS..............................................................17
2.1. DNS Spoofing.....................................................................................................17
2.2. DNS Hijacking....................................................................................................18
2.3. NXDOMAIN Attacks.........................................................................................19
PHẦN 3: CÁC CƠ CHẾ BẢO MẬT DNS......................................................................21
3.1. DNSSEC.............................................................................................................21
3.1.1.

Tổng quan về DNSSEC............................................................................21

3.1.2.

Cơ chế bảo mật của DNSSEC...................................................................22


3.2. Domain Key Identify Mail..................................................................................29
3.2.1.

Tổng quan.................................................................................................29

PHẦN 4: CÀI ĐẶT VÀ QUẢN TRỊ DNS SERVER TRÊN WINDOWS SERVER 2012
R2..................................................................................................................................... 32
4.1. Mơ hình bài Lab..................................................................................................32
4.2. Các bước thực hiện.............................................................................................32
PHẦN 5: CÀI ĐẶT QUẢN TRỊ DNS SERVER SỬ DỤNG BIND9..............................43
5.1. Mơ hình bài lab...................................................................................................43
5.2. Các bước cài đặt.................................................................................................43
PHẦN 6: DEMO MỘT DẠNG TẤN CÔNG HỆ THỐNG DNS.....................................47
TÀI LIỆU THAM KHẢO................................................................................................54

2

download by :


DANH MỤC HÌNH ẢNH
Hình 1: Cấu trúc bản ghi SOA.....................................................................................................................8
Hình 2: Mơ hình hoạt động của DNS........................................................................................................15
Hình 3: Mơ hình tấn cơng DNS Spoofing..................................................................................................17
Hình 4: NXDOMAIN Attack.....................................................................................................................19
Hình 5. Zone-Signing Key.........................................................................................................................22
Hình 6: Key-Signing Key..........................................................................................................................23
Hình 7: Key-Signing Key Identified..........................................................................................................24
Hình 8: Zone Identify................................................................................................................................25

Hình 9: DS Record....................................................................................................................................26
Hình 10: Trust of chain..............................................................................................................................28
Hình 11: Domain Key Identify Mail..........................................................................................................29
Hình 12: IP config Windows Server 2012.................................................................................................32
Hình 13: Giao diện Server Manager..........................................................................................................33
Hình 14: Tạo Role and Feature..................................................................................................................33
Hình 15: Thêm DNS Server.......................................................................................................................34
Hình 16: Tạo DNS Server..........................................................................................................................34
Hình 17: Giao diện DNS Server................................................................................................................37
Hình 18: Tạo Forward Zone......................................................................................................................37
Hình 19: Nhập tên Forward Zone..............................................................................................................38
Hình 20: Tạo các bản ghi trong Zone........................................................................................................38
Hình 21: Nhập địa chỉ IP cho bản ghi A....................................................................................................39
Hình 22: Tạo Reverse Zone.......................................................................................................................40
Hình 23: Tạo bản ghi PTR.........................................................................................................................40
Hình 24: Đặt địa chỉ DNS Server cho máy client......................................................................................41
Hình 25: Kiểm tra dịch vụ trên máy client.................................................................................................42
Hình 26: Cấu trúc file trong Bind9 DNS Server.......................................................................................43
Hình 27: Sửa file name.config.local..........................................................................................................44
Hình 28: Chỉnh sửa file name.conf.options...............................................................................................44
Hình 29: Tạo Forward Zone và khai báo các bản ghi................................................................................45
Hình 30: Tạo reverse zone và khai báo các bản ghi...................................................................................45
Hình 31: Kiểm tra dịch vụ Bind9...............................................................................................................46
Hình 32: Kiểm tra dịch vụ DNS bằng máy client......................................................................................46
Hình 33: Mơ hình tấn cơng DNS Spoofing................................................................................................47
Hình 34: Sử dụng cơng cụ Setoolkit..........................................................................................................48
Hình 35: Clone site thành cơng..................................................................................................................49
Hình 36: Cấu hình ettercap........................................................................................................................50
Hình 37: Kích hoạt ARP Spoofing.............................................................................................................51
Hình 38: Kích hoạt plugin dns_spoofing...................................................................................................51

Hình 39: Fake google website...................................................................................................................52
Hình 40: DNS spoof thành cơng................................................................................................................52
Hình 41: Thu thập thơng tin đăng nhập.....................................................................................................53

3

download by :


LỜI NĨI ĐẦU
Trong thế giới cơng nghệ nói chung và thiết kế website nói riêng, DNS là khái
niệm đóng vai trị vơ cùng quan trọng. Chắc hẳn trong chúng ta, kể cả đối với những
người không học chuyên sâu về công nghệ thông tin đều đã nghe tới cụm từ viết tắt này.
Dịch vụ DNS đóng vai trị như xương sống trong thế giới Internet, như một cuốn
từ điển khổng lồ, dịch vụ DNS giúp chúng ta có thể duyệt web hay gửi mail một cách dễ
dàng hơn mà không cần phải nhớ hàng tá những địa chỉ IP.
Trong báo cáo này, nhóm 4 chúng em tìm hiểu về những kiến thức xoay quanh
DNS, các phương thức tấn công cũng như bảo mật cho hệ thống này. Trong báo cáo
không thể tránh khỏi những thiếu xót, mong thầy góp ý để nhóm em hồn thiện báo cáo
một cách tốt nhất. Xin cảm ơn thầy.

4

download by :


PHẦN 1: TÌM HIỂU VỀ HỆ THỐNG DNS
1.1.

DNS là gì ?


DNS là Hệ thống phân giải tên miền, viết tắt của Domain Name
Servers, nó "dịch" tên miền Internet và tên máy chủ sang địa chỉ IP
(giúp các máy chủ và thiết bị mạng có thể hiểu được) và ngược lại. Trên
Internet, DNS tự động chuyển đổi các tên miền chúng ta gõ vào thanh
địa chỉ trên trình duyệt web thành địa chỉ IP.
Khi “dịch” như thế, trình duyệt sẽ hiểu và đăng nhập vào được. Và
khi người dùng đăng nhập vào một website, thay vì phải nhớ và nhập
một dãy số địa chỉ IP của hosting, thì chỉ cần nhập tên website là trình
duyệt tự động nhận diện.
Mỗi máy tính trên Internet đều có một địa chỉ IP duy nhất. Địa chỉ
IP này được dùng để thiết lập kết nối giữa server và máy khách để khởi
đầu một kết nối. Bất kỳ khi nào, bạn truy cập vào một website tùy ý
hoặc gửi một email, thì DNS đóng vai trị rất quan trọng trong trường
hợp này.
Trong vô vàn trang web trên thế giới, sẽ khơng có ai có thể nhớ hết
từng dãy số địa chỉ IP trong mỗi lần đăng nhập. Do đó, khái niệm tên
miền được đưa ra, từ đó mỗi trang web sẽ được xác định với tên duy
nhất.
Tuy nhiên, địa chỉ IP vẫn được sử dụng như một nền tảng kết nối
bởi các thiết bị mạng. Đó là nơi DNS làm việc phân giải tên domain
thành địa chỉ IP để các thiết bị mạng giao tiếp với nhau. Đồng thời, bạn
cũng có thể tải một website bằng cách nhập trực tiếp địa chỉ IP thay vì
nhập tên domain của website đó.

5

download by :



1.2.

Kiến trúc của DNS

1.2.1. DNS Zone và DNS File Zone
DNS Zone là vùng DNS, một phần của không gian tên DNS được
quản lý bởi một tổ chức hoặc quản trị viên cụ thể. Vùng DNS là không
gian quản trị cho phép kiểm soát chi tiết hơn các thành phần DNS,
chẳng hạn như máy chủ định danh có thẩm quyền.
Các miền không gian tên là một cây phân cấp, với các tên miền
DNS root ở đầu trang. Vùng DNS bắt đầu từ một miền trong cây và
cũng có thể mở rộng xuống các miền phụ để nhiều miền phụ có thể
được quản lý bởi một thực thể.
DNS file zone là một tệp văn bản thuần túy được lưu trữ trong
máy chủ DNS chứa bản đại diện thực tế của vùng và chứa tất cả các
bản ghi cho mọi miền trong vùng. DNS file zone phải luôn bắt đầu bằng
bản ghi Start of Authority (SOA), bản ghi này chứa thông tin quan trọng
bao gồm thông tin liên hệ cho người quản trị vùng.

1.2.2. Resource Record (Các bản ghi DNS)
RR hay còn gọi là Resource Record là mẫu thông tin sử dụng để
miêu tả những thông tin về DNS, những mẫu thông tin này được lưu
trong các zone file nằm ở các DNZ zone.
Mỗi DNS Zone có một zone file. Zone file cũng có thể được xem
giống như là cơ sở dữ liệu DNS.
Các zone file có 1 hoặc nhiều resource records – bản ghi tài
nguyên. Các bản ghi DNS phải được cập nhật thường xuyên, định kỳ
khi các tên miền mới được thêm vào hoặc có sự thay đổi ở các tên
miền cũ. Nếu khơng có q trình này thì hệ thống sẽ trở nên chậm


6

download by :


chạp và lỗi thời. Do đó khả năng chuyển vùng giữa các DNS server là
thực sự cần thiết.
Resource Record là một bản ghi đơn mô tả chi tiết phần thông tin
trong cơ sở dữ liệu DNS. Các bản ghi này có dạng văn bản đơn giản,
giống như là:
Owner

TTL

Class

Type

RDATA

Mỗi trường này phải được phân tách bằng ít nhất một khoảng
trắng
Các loại Resource Record
a. SOA (Start of Authority)
Thông thường, mỗi tên miền sẽ sử dụng 1 cặp DNS nào đó để trỏ
về 1 hoặc nhiều máy chủ DNS, và ở đây, các máy chủ DNS có trách
nhiệm cung cấp thơng tin bản ghi DNS của hệ thống cho tên miền này
để nó hoạt động. SOA được coi như dấu hiệu nhận biết của hệ thống về
tên miền này. Một cấu trúc của bản ghi SOA thông thường sẽ bao gồm:
[tên miền] IN SOA [tên-server-dns] [địa-chỉ-email]

(serial number;
refresh number;
retry number;
experi number;
time-to-live number)
Ví dụ:
$TTL 86400
7

download by :


@

IN SOA

masterdns.hiennt.com.
2014090401

admin.hiennt.com. (
; serial

3600

; refresh

1800

; retry


604800
86400 )

; expire
; TTL

Hình 1: Cấu trúc bản ghi SOA
Trong đó:
masterdns.hiennt.com.: Giá trị DNS chính của tên miền hoặc máy
chủ.
admin.hiennt.com. : Chuyển đổi từ dạng , thể
hiện chủ thể sở hữu tên miền này.

8

download by :


Serial: Áp dụng cho mọi dữ liệu trong zone và có định dạng
YYYYMMDDNN với YYYY là năm, MM là tháng, DD là ngày, NN là số lần
sửa đổi dữ liệu zone trong ngày. Luôn luôn phải tăng số này lên mỗi lần
sửa đổi dữ liệu zone. Khi Slave DNS Server liên lạc với Master DNS
Server, trước tiên nó sẽ hỏi số serial. Nếu số serial của Slave nhỏ hơn
số serial của máy Master tức là dữ liệu zone trên Slave đã cũ và sau đó
Slave sẽ sao chép dữ liệu mới từ Master thay cho dữ liệu đang có.
Refresh:Chỉ ra khoảng thời gian Slave DNS Server kiểm tra dữ liệu
zone trên Master để cập nhật nếu cần. Giá trị này thay đổi tùy theo
tuần suất thay đổi dữ liệu trong zone.
Retry: Nếu Slave DNS Server không kết nối được với Master DNS
Server theo thời hạn mơ tả trong refresh (ví dụ Master DNS Server bị

shutdown vào lúc đó thì Slave DNS Server phải tìm cách kết nối lại với
Master DNS Server theo một chu kỳ thời gian mô tả trong retry. Thông
thường, giá trị này nhỏ hơn giá trị refresh).
Expire:Nếu sau khoảng thời gian này mà Slave DNS Server không kết
nối được với Master DNS Server thì dữ liệu zone trên Slave sẽ bị quá
hạn. Khi dữ liệu trên Slave bị q hạn thì máy chủ này sẽ khơng trả lời
mỗi truy vấn về zone này nữa. Giá trị expire này phải lớn hơn giá trị
refresh và giá trị retry.
Minimum TTL: Chịu trách nhiệm thiết lập TTL tối thiểu cho 1 zone.
b. NS (Name Server)
Bản ghi NS dùng để khai báo máy chủ tên miền cho một tên
miền. Nó cho biết các thông tin về tên miền này được khai báo trên
máy chủ nào. Với mỗi một tên miền phải có tổi thiểu hai máy chủ tên

9

download by :


miền quản lý, do đó yêu cầu có tối thiểu hai bản ghi NS cho mỗi tên
miền.
Cú pháp của bản ghi NS:
<tên miền> IN NS <tên của máy chủ tên miền>
Ví dụ:
thuyhiend.space IN NS ns1.zonedns.vn
thuyhiend.space IN NS ns2.zonedns.vn
Với khai báo trên, tên miền thuyhiend.space sẽ do máy chủ tên
miền có tên ns1.zonedns.vn và ns2.zonedns.vn quản lý. Điều này có
nghĩa, các bản ghi như A, CNAME, MX … của tên miền thuyhiend.space
và các tên miền cấp dưới của nó sẽ được khai báo trên máy chủ

ns1.zonedns.vn và ns2.zonedns.vn.
c. Record A
Là một record căn bản và quan trọng, dùng để ánh xạ từ một
domain thành địa chỉ IP cho phép có thể truy cập website. Đây là chức
năng cốt lõi của hệ thống DNS. Record A có dạng như sau:
domain IN A <địa chỉ IPv4 của máy>
Ví dụ về 1 khai báo bản ghi A
thuyhiend.space

A

103.101.161.201
10

download by :


Tên miền con (subdomain):
sub.thuyhiend.space

A

103.101.161.201

d. Record AAAA
Có nhiệm vụ tương tự như bản ghi A, nhưng thay vì địa chỉ IPv4 sẽ
là địa chỉ IPv6.
e. PTR(Pointer Records)
Bản ghi PTR (pointer) trỏ một địa chỉ IP đến một bản ghi A trong
chế độ ngược (reverse) và được sử dụng trong kiểu tên miền

infrastructure TLD.
Ví dụ về dạng thức một bản ghi PTR như sau:
90.163.101.103.in-addr.arpa

IN PTR

masterdns.thuyhiend.space.
đối với IPv4, hoặc đối với IPv6:

0.0.0.0.0.0.0.0.0.0.0.0.d.c.b.a.4.3.2.1.3.2.1.0.8.c.d.0.1.0.
0.2.ip6.arpa

IN PTR masterdns.thuyhiend.space.

f. SRV(Service)
Bản ghi SRV được sử dụng để xác định vị trí các dịch vụ đặc biệt
trong 1 domain, ví dụ tên máy chủ và số cổng của các máy chủ cho
các dịch vụ được chỉ định. Ví dụ:

11

download by :


_ldap._tcp.thuyhiend.space. 3600

IN

SRV


10

0

389

ldap01.thuyhiend.space.
Một Client trong trường hợp này có thể nhờ DNS nhận ra rằng,
trong tên miền thuyhiend.space có LDAP Server ldap01, mà có thể liên
lạc qua cổng TCP Port 389 .
Các trường trong record SRV :
 Tên dịch vụ service.
 Giao thức sử dụng.
 Tên miền (domain name).
 TTL: Thời gian RR được giữ trong cache
 Class: standard DNS class, luôn là IN
 Ưu tiên: ưu tiên của host, số càng nhỏ càng ưu tiên.
 Trọng lượng: khi cùng bực ưu tiên, thì trọng lượng 3 so với trọng
lượng 2 sẽ được lựa chọn 60% (hỗ trợ load balancing).
 Port của dịch vụ (tcp hay udp).
 Target chỉ định FQDN cho host hỗ trợ dịch vụ.
g. CNAME (Canonical Name)
Bản ghi CNAME cho phép một máy tính có thể có nhiều tên. Nói
cách khác bản ghi CNAME cho phép nhiều tên miền cùng trỏ đến một
địa chỉ IP cho trước.
Để có thể khai báo bản ghi CNAME, bắt buộc phải có bản ghi kiểu
A để khai báo tên của máy. Tên miền được khai báo trong bản ghi kiểu
A trỏ đến địa chỉ IP của máy được gọi là tên miền chính (canonical
domain). Các tên miền khác muốn trỏ đến máy tính này phải được khai
báo là bí danh của tên máy (alias domain).

Cú pháp của bản ghi CNAME:
12

download by :


alias-domain IN CNAME canonical domain.
Ví dụ:
www.thuyhiend.space IN CNAME home.thuyhiend.space.
Tên miền www.thuyhiend.space sẽ là tên bí danh của tên miền
home.thuyhiend.space , hai tên miền www.thuyhiend.space và
home.thuyhiend.space sẽ cùng trỏ đến địa chỉ IP 103.101.161.201.
h. MX(Mail Exchange)
Bản ghi MX có tác dụng xác định, chuyển thư đến domain hoặc
subdomain đích. Bản ghi MX có dạng
thuyhiend.space

MX

mail.thuyhiend.space

10
A

mail.thuyhiend.space.
103.101.161.201

Độ ưu tiền càng cao thì số càng thấp. Ví dụ nếu khai báo
thuyhiend.space MX 10 mail_1.thuyhiend.space
thuyhiend.space MX 20 mail_2.thuyhiend.space

thuyhiend.space MX 30 mail_3.thuyhiend.space
Thì

tất

cả

các

thư

điện

tử

có

cấu

trúc

địa

chỉ

trước hết sẽ được gửi đến trạm chuyển tiếp thư
điện tử mail_1.thuyhiend.space. Chỉ trong trường hợp máy chủ
13

download by :



mail_1.thuyhiend.space khơng thể nhận thư thì các thư này mới lần
lượt

được

chuyển

đến

trạm

chuyển

tiếp

thư

điện

tử

mail_2.thuyhiend.space và mail_3.thuyhiend.space.
Bản ghi MX không nhất thiết phải trỏ đến hosting – VPS- Server
của người dùng. Nếu người dùng đang sử dụng dịch vụ mail của bên
thứ ba như Gmail thì cần sử dụng bản nghi MX do họ cung cấp.
i. TXT (Text)
Bản ghi TXT(text) được sử dụng để cung cấp khả năng liên kết
văn bản tùy ý với máy chủ. Chủ yếu dùng trong mục đích xác thực máy

chủ với tên miền.
j. DKIM (DomainKeys Identified Email)
Là bản ghi dùng để xác thực người gửi bằng cách mã hóa một
phần email gửi bằng một chuỗi ký tự, xem như là chữ ký.
Khi email được gửi đi máy chủ mail sẽ kiểm so sánh với thông tin
bản ghi đã được cấu hình trong DNS để xác nhận. Bản ghi DKIM có
dạng:
mail._domainkey.thuyhiend.space

TXT

k=rsa;p=MIIBIjANBgkqhkiG9w0BA
k. SPF (Sender Policy Framework)
Record SPF được tạo ra nhằm đảm bảo các máy chủ mail sẽ chấp
nhận mail từ tên miền của khách hàng chỉ được gửi đi từ server của
khách hàng. Sẽ giúp chống spam và giả mạo email. Bản ghi SPF thể
hiện dưới dạng:

14

download by :


thuyhiend.space

SPF

"v=spf1 ip4:103.101.162.0/24

-all" 3600

Tùy vào hệ thống DNS mà có thể hiển thị bản ghi SPF hoặc TXT Với
bản ghi SPF, máy chủ tiếp nhận mail sẽ kiểm tra IP của máy chủ gửi và
IP của máy chủ đã đăng kí bản ghi SPF example.com. Nếu Khách hàng
có nhiều máy chủ mail nên liệt kê tất cả trong bản ghi SPF giúp đảm
bảo thư đến được chính xác và đầy đủ.1.3. Cơ chế hoạt động của DNS

1.3.

Cơ chế hoạt động của DNS

DNS hoạt động theo từng bước theo cấu trúc của DNS. Bước đầu
tiên gọi là DNS query, một truy vấn để lấy thơng tin.
Tình huống tìm kiếm website bằng cách gõ tên miền vào trong
web browser (ví dụ: qldt.ptit.edu.vn). Đầu tiên, DNS server sẽ tìm
thơng tin phân giải trong filehosts – một file text trong hệ điều hành
chịu trách nhiệm chuyển hostname thành địa chỉ IP. Nếu không thấy
thông tin, nó sẽ tìm trọng cache – bộ nhớ tạm của phần cứng hay phần
mềm. Nơi phổ biến nhất lưu thông tin cache này là bộ nhớ tạm của
trình duyệt và bộ nhớ tạm của Internet Service Providers (ISP). Nếu
không nhận được thông tin, bạn sẽ thấy mã lỗi hiện lên.
Trong trường hợp máy chủ tên miền cục bộ khơng có cơ sở dữ liệu
về tên miền này nó sẽ hỏi lên các máy chủ tên miền ở mức cao nhất
(máy chủ tên miền làm việc ở mức ROOT). Máy chủ tên miền ở mức
ROOT này sẽ chỉ cho máy chủ tên miền cục bộ địa chỉ của máy chủ tên
miền quản lý các tên miền có đi .vn.
Tiếp đó, máy chủ tên miền cục bộ gửi yêu cầu đến máy chủ quản
lý tên miền Việt Nam (.VN) tìm tên miền matbao.vn.

15


download by :


Máy chủ tên miền cục bộ sẽ hỏi máy chủ quản lý tên miền vnn.vn
địa chỉ IP của tên miền qldt.ptit.edu.vn. Do máy chủ quản lý tên miền
vnn.vn có cơ sở dữ liệu về tên miền qldt.ptit.edu.vn nên địa chỉ IP của
tên miền này sẽ được gửi trả lại cho máy chủ tên miền cục bộ.
Cuối cùng, máy chủ tên miền cục bộ chuyển thơng tin tìm được
đến máy của người sử dụng. Người sử dụng dùng địa chỉ IP này để kết
nối đến server chứa trang web có địa chỉ qldt.ptit.edu.vn.

Hình 2: Mơ hình hoạt động của DNS
Tổng cộng có khoảng 4 loại server tham gia vào trong hệ thống phân
giải tên miền
DNS Recursor

16

download by :


DNS recursor là server đóng vai trị liên lạc với các server khác để
thay nó làm nhiệm vụ phản hồi cho client (trình duyệt người dùng). Nó
như một nhân viên cần mẫn nhận nhiệm vụ lấy và trả thông tin cho
client (trình duyệt) để tìm đúng thơng tin chúng cần. Để lấy được thơng
tin, DNS recursor có thể sẽ cần gọi đến Root DNS Server để trợ giúp.
Root Nameserver
Root DNS Server, cũng thường được gọi là nameserver, là server
quan trọng nhất trong hệ thống cấp bậc của DNS. Nó khơng có tên cụ
thể. Bạn có thể hiểu nó là một thư viện để định hướng tìm kiếm giúp

bạn.
Trên thực tế, DNS recursive resolver sẽ chuyển yêu cầu tới Root
Nameserver. Sau đó, server này sẽ phản hồi rằng nó cần tìm trong các
top-level domain name servers (TLD nameserver) cụ thể nào.
TLD Nameserver
Khi bạn muốn truy cập Google hay Facebook, thường phần mở
rộng của bạn sẽ dùng là .com. Nó là một trong các top-level domain.
Server cho loại top-level domain này gọi là TLD nameserver. Nó chịu
trách nhiệm quản lý tồn bộ thơng tin của một phần mở rộng tên miền
chung.
Ví dụ như khi bạn gõ www.google.com trên trình duyệt, TLD .com
sẽ phản hồi từ một DNS resolver để giới thiệu cho nó một Authoritative
DNS server. Authoritative Name Server là nơi chính thức chứa nguồn dữ
liệu của tên miền đó.
Authoritative Nameserver
Khi một DNS resolver tìm thấy một authoritative nameserver, đây
là việc phân giải tên miền diễn ra. Authoritative nameserver có chứa
17

download by :


thơng tin tên miền gắn với địa chỉ nào. Nó sẽ đưa cho recursive
resolver địa chỉ IP cần thiết tìm thấy trong danh mục các bản ghi của
nó.

18

download by :



PHẦN 2: CÁC DẠNG TẤN CÔNG VÀO DNS
2.1.

DNS Spoofing

a. Khái niệm
DNS Cache Poisoning (hoặc còn gọi là Spoofing): chiếm quyền
điều khiển DNS Cache và tiến hành thay đổi giá trị, thơng tin trong đó
thành thơng tin của giả mạo.

b. Kịch bản tấn cơng

Hình 3: Mơ hình tấn cơng DNS Spoofing
Người dùng gõ địa chỉ www.facebook.com vào thanh địa chỉ
của trình duyệt, hệ thống sẽ tiến hành xác nhận thông tin địa chỉ IP
tương ứng với tên miền www.facebook.com và trả thơng tin lại cho máy
tính (kết quả là website www.facebook.com hiển thị đầy đủ trên trình
duyệt).
1 tên miền có thể chứa nhiều địa chỉ IP, và khi bạn truy cập vào
www.facebook.com thường xuyên thì hệ thống sẽ ghi nhận đây là
19

download by :


website cần ghi nhớ, để rút ngắn thời gian cho những lần truy cập sau.
Tuy nhiên, lợi dụng việc này, kẻ tấn công sẽ thay đổi giá trị của DNS
cache, trang web www.facebook.com với địa chỉ IP là 69.171.250.35 sẽ
bị thay đổi và điều hướng đến một địa chỉ IP khác chứa trang web độc

hại của Attacker.

2.2.

DNS Hijacking

a. Khái niệm
b. Kịch bản tấn công
c. Các bước tấn công
DNS Hijacking là 1 hình thức chuyển hướng địa chỉ website mà
người dùng truy cập vào. Hay hiểu nôm na là bạn gõ địa
chỉ abc.com vào trình duyệt, nhưng thực tế bạn đang "bị" điều hướng
sang địa chỉ khác, ví dụ xyz.com.
Có thể thấy rằng, phần lớn tên miền - Domain của các trang web
được đặt dưới dạng text (ví dụ quantrimang.com), với đối với mỗi
URL đều có 1 địa chỉ IP tương ứng với URL đó, và nhiệm vụ chính của
DNS là phân giải, chuyển đổi các ký tự text (quantrimang.com) thành
IP tương ứng (các bạn mở lệnh RUN > gõ "ping" đến domain là sẽ ra
địa chỉ IP của website đó). Ví dụ cụ thể:

20

download by :


Cách thức thường gặp nhất của Hacker trong trường hợp này là
gì? Chúng sẽ dụ người dùng cài 1 phần mềm độc hại nào đó vào máy
tính, thơng thường là Malware, và malware này sẽ có nhiệm vụ chính là
thay đổi DNS của hệ thống máy tính. Mỗi khi người dùng nhập địa chỉ
của bất kỳ website nào đó, hệ thống sẽ tự động kết nối tới server DNS

giả mạo của hacker (thay vì DNS thật sự được sử dụng bởi ICANN The Internet Corporation for Assigned Names and Numbers) và
điều hướng người dùng đến website giả mạo của hacker.

2.3.

NXDOMAIN Attacks

Cuộc tấn công NXDOMAIN là một biến thể DDoS khi máy chủ DNS tràn ngập
các truy vấn đến các tên miền không tồn tại, làm ngập bộ nhớ cache của máy chủ tên có
thẩm quyền và dừng hồn tồn các yêu cầu DNS hợp pháp.

21

download by :


Hình 4: NXDOMAIN Attack
Như bạn đã biết, việc truy cập các trang web của bạn có thể thực
hiện được nhờ DNS chuyển đổi tên miền thành địa chỉ IP. Giả sử bạn
nhập asdasdasdasd.com vào thanh địa chỉ của mình. Điều gì sẽ xảy ra
sau đó là DNS sẽ khơng tìm thấy địa chỉ IP tương ứng vì nó khơng tồn
tại và trả lại thơng báo lỗi. Tuy nhiên, trình giải quyết vẫn cố gắng tìm
kiếm kết quả, dành phần nghìn giây quý giá để xem qua bộ nhớ cache,
sử dụng sức mạnh xử lý của CPU, v.v. Nói cách khác, trước khi trả về
thông báo lỗi, yêu cầu đã được xử lý cùng với các yêu cầu chính hãng
khác.
Bây giờ, hãy tưởng tượng rằng kẻ tấn công điều khiển một mạng
botnet chứa hàng nghìn người dùng. Mỗi người trong số họ gửi một yêu
cầu cho một miền không tồn tại. Điều này có thể làm tắc nghẽn bộ nhớ
cache của máy chủ DNS khá nhanh, từ chối dịch vụ cho người dùng

muốn truy cập một trang web hợp pháp.

22

download by :


Trong thời gian gần đây, một số Nhà cung cấp Dịch vụ Internet
(ISP) đã bắt đầu lợi dụng tình trạng này một cách có hại. Thay vì trả lại
thơng báo lỗi, chúng hướng các yêu cầu này đến các máy chủ có
quảng cáo nhúng, do đó tận dụng các yêu cầu không hợp lệ.

23

download by :


PHẦN 3: CÁC CƠ CHẾ BẢO MẬT DNS
3.1.

DNSSEC

3.1.1. Tổng quan về DNSSEC
DNSSEC là cơng nghệ an tồn mở rộng cho hệ thống DNS. Trong
đó DNSSEC sẽ cung cấp một cơ chế xác thực giữa các máy chủ DNS với
nhau và xác thực cho từng zone dữ liệu để đảm bảo tồn vẹn dữ liệu.
Trong khi giao thức DNS thơng thường khơng có cơng cụ để xác
thực nguồn dữ liệu. Trước nguy cơ dữ liệu DNS bị giả mạo và bị làm sai
lệch trong các tương tác giữa máy chủ DNS với các máy trạm (resolver)
hoặc máy chủ chuyển tiếp (forwarder), công nghệ bảo mật mới

DNSSEC đã được nghiên cứu, triển khai áp dụng để hỗ trợ cho DNS bảo
vệ chống lại các nguy cơ giả mạo làm sai lệch nguồn dữ liệu. Trong đó
DNSSEC sẽ cung cấp một cơ chế xác thực giữa các máy chủ DNS với
nhau và xác thực cho từng zone dữ liệu để đảm bảo toàn vẹn dữ liệu.
DNSSEC là cơng nghệ an tồn mở rộng của DNS, về bản chất
DNSSEC cung cấp các cơ chế có khả năng chứng thực và đảm bảo tồn
vẹn dữ liệu cho hệ thống DNS, theo đó DNSSEC đưa ra 4 loại bản ghi
mới:
 Bản ghi khóa cơng cộng DNS (DNSKEY - DNS Public Key): sử dụng
để chứng thực zone dữ liệu.
 Bản ghi chữ ký tài nguyên (RRSIG - Resource Record Signature):
sử dụng để chứng thực cho các bản ghi tài nguyên trong zone dữ
liệu.
 Bản ghi bảo mật kế tiếp (NSEC - Next Secure): sử dụng trong quá
trình xác thực đối với các bản ghi có cùng sở hữu tập các bản ghi

24

download by :


tài nguyên hoặc bản ghi CNAME. Kết hợp với bản ghi RRSIG để
xác thực cho zone dữ liệu.
 Bản ghi ký ủy quyền (DS - Delegation Signer): thiết lập chứng
thực giữa các zone dữ liệu, sử dụng trong việc ký xác thực trong
quá trình chuyển giao DNS.
Mục tiêu đặt ra là DNSSEC khơng làm thay đổi tiến trình truyền
dữ liệu DNS và quá trình chuyển giao từ các DNS cấp cao xuống các
DNS cấp thấp hơn, mặt khác đối với các máy trạm (resolver) cần yêu
cầu đáp ứng hỗ trợ các cơ chế mở rộng này. Một zone dữ liệu được ký

xác thực sẽ chứa đựng một trong các bản ghi RRSIG, DNSKEY, NSEC và
DS.
Như vậy bằng cách thức tổ chức thêm những bản ghi mới và
những giao thức đã được chỉnh sửa nhằm chứng thực nguồn gốc và
tính tồn vẹn dữ liệu cho hệ thống, với DNSSEC, hệ thống DNS đã được
mở rộng thêm các tính năng bảo mật và được tăng cường độ an toàn,
tin cậy, khắc phục được những nhược điểm của thiết kế sơ khai ban
đầu. Vừa đáp ứng được các yêu cầu thông tin định tuyến về tên miền,
giao thức làm việc giữa các máy chủ DNS với nhau, vừa đáp ứng được
các yêu cầu bảo mật, tăng cường khả năng dự phòng cho hệ thống.

3.1.2. Cơ chế bảo mật của DNSSEC
a. Q trình kí vùng bằng khóa Zone-Signing Key
Mỗi vùng trong DNSSEC có một cặp khóa ký vùng (ZSK): phần
riêng của khóa ký điện tử từng RRset trong vùng, trong khi phần công
khai xác minh chữ ký. Để kích hoạt DNSSEC, một nhà khai thác vùng
tạo chữ ký số cho từng RRset bằng ZSK riêng và lưu trữ chúng trong
máy chủ định danh của họ dưới dạng bản ghi RRSIG

25

download by :