trị mạng – Trong loạt bài này chúng tôi sẽ giới thiệu cho các bạn một số vấn đề trong bảo
mật DNS và cách bảo mật các máy chủ DNS đã bị thỏa hiệp.
Không thể phủ nhận được tầm quan trọng của DNS đối với các hoạt động mạng thông thường
cho mạng nội bộ và Internet, do đó việc phát hiện các vấn đề và tìm ra cách khắc phục là một
điều cần thiết. Sau đây chúng ta sẽ cùng nhau đi xem xét một số vấn đề nói chung đối với các
máy chủ DNS:
• Thỏa hiệp file vùng DNS
• Lỗ hổng thông tin vùng DNS
• Nâng cấp động bị thỏa hiệp
• Gây lụt máy khách DNS (từ chối dịch vụ)
• Giả mạo Cache
Thỏa hiệp file vùng DNS
Máy chủ DNS sẽ được cấu hình trên một số phiên bản Windows Server. Quản trị viên DNS có
thể thiết lập cấu hình vùng và các bản ghi bằng dòng lệnh hoặc giao diện DNS mmc. Một trong
những cách hay gặp phải và cũng dễ dàng nhất để thỏa hiệp cơ sở hạ tầng DNS là chỉnh sửa trực
tiếp cấu hình máy chủ DNS hoặc bản thân các bản ghi trên máy chủ DNS hay từ một máy tính ở
xa.
Kiểu tấn công này có thể được thực hiện bởi bất cứ người nào có một chút kiến thức về DNS và
có thể truy cập máy chủ. Kẻ tấn công có thể ngồi trực tiếp trước màn hình máy chủ, kết nối
thông qua RDP hay thậm chí đăng nhập qua Telnet. Thủ phạm ở đây có thể là người bên trong tổ
chức hay có thể là quản trị viên mắc lỗi. Cách thức bảo mật ở đây là khóa chặn máy chủ DNS,
chỉ những người có trách nhiệm mới được truy cập vào cấu hình DNS, bất cứ phương pháp truy
cập từ xa nào đến máy chủ DNS cần được hạn chế cho những người thực sự cần thiết.
Lỗ hổng thông tin vùng DNS
Các file vùng DNS trên máy chủ DNS sẽ chứa các tên máy tính trong vùng đó, tên máy tính này
sẽ được cấu hình một cách thủ công hay cấu hình thông qua các nâng cấp động. Các máy chủ
DNS trong mạng nội bộ thường chứa tên của tất cả các máy chủ trên mạng (hoặc tối thiểu cũng
là các máy chủ bạn muốn truy cập thông qua tên). Trên máy chủ Internet, thông thường chúng ta
chỉ nhập vào các tên máy chủ muốn truy cập – tuy nhiên một số có thể tồn tại trong một location
được cấu hình bởi ISP và một trong số có thể nằm trong mạng nội bộ.
Lỗ hổng thông tin vùng có thể xảy ra khi kẻ đột nhập khai thác được các thông tin quan trọng về

các vai trò máy chủ trên mạng qua tên của các máy chủ đó. Cho ví dụ, nếu bạn có một máy chủ
có thể truy cập thông qua tên PAYROLL, thông tin này sẽ rất giá trị đối với kẻ tấn công. Đây là
thứ mà chúng ta có thể tạm gọi là “dấu vết”.
Kẻ tấn công có thể khai thác tên của các máy tính khác trên mạng bằng nhiều phương pháp khác
nhau. Cho ví dụ, nếu cho phép tất cả các máy có khả năng chuyển vùng, kẻ đột nhập có thể
download toàn bộ cơ sở dữ liệu vùng đến máy tính của anh ta thông qua cơ chế chuyển vùng.
Thậm chí nếu không cho phép chuyển vùng, kẻ tấn công cũng có thể lợi dụng các truy vấn DNS
ngược để dò tìm ra tên máy tính trong mạng. Từ đó chúng có thể tạo một sơ đồ toàn diện về
mạng từ dữ liệu DNS này.
Ngoài ra kẻ xâm nhập có thể lượm lặt thông tin và xác định được đâu là các địa chỉ không được
sử dụng trong mạng. Sau đó sử dụng các địa chỉ không được sử dụng này để thiết lập máy chủ
DNS giả mạo, điều này là vì trong một số trường hợp, điều khiển truy cập mạng được thiết lập
cho toàn bộ ID mạng hoặc tập các ID nào đó thay vì các địa chỉ IP riêng biệt.
Cuối cùng, một thực tế chung trong cách hosting DNS của các doanh nghiệp nhỏ (nơi đang
hosting các dịch vụ DNS riêng) là việc kết hợp các vùng chung và riêng trên cùng một máy chủ
DNS trong khi đó cơ sở hạ tầng DNS lại chia tách. Trong trường hợp này, bạn sẽ để lộ cả tên bên
trong và bên ngoài trong cùng một vùng, điều cho phép kẻ tấn công dễ dàng tìm ra không gian
địa chỉ bên trong và các thỏa thuận đặt tên. Thông thường, chúng sẽ phải đột nhập vào bên trong
mạng để khám phá thông tin vùng bên trong, tuy nhiên khi cùng một máy chủ hosting cả thông
tin chung và riêng trên cùng máy chủ DNS thì kẻ tấn công lúc này sẽ có cơ hội lớn để tấn công
bạn.
Nâng cấp động bị thỏa hiệp
Các nâng cấp động DNS rất thuận tiện cho quản trị viên DNS. Thay vì phải tự tạo các bản ghi
cho tất cả máy khách và máy chủ, tất cả những gì bạn cần thực hiện lúc này là kích hoạt các nâng
cấp DNS động trên cả máy chủ và máy khách. Khi sử dụng máy khách và máy chủ DNS
Windows, bạn có thể cấu hình DHCP để hỗ trợ chức năng nâng cấp DNS động. Với nâng cấp
động này, chỉ cần bật chức năng và để cho các máy tính tự đăng ký trong DNS; bạn không cần
phải tự tạo bản ghi DNS.
Rõ ràng tất cả mọi thứ đều có giá của nó và trong trường hợp này cũng vậy, sự thuận tiện này
cũng kéo theo nguy cơ bảo mật tiền ẩn đối với DNS động. Có rất nhiều cách có thể thực hiện các

nâng cấp DNS động này, có thể phân loại chúng thành hai mảng: nâng cấp an toàn và không an
toàn. Với các nâng cấp an toàn, hệ thống khách cần phải được thẩm định (cho ví dụ, sử dụng tài
khoản máy tính chứa trong Active Directory) trước khi có thể tự nâng cấp. Các nâng cấp không
an toàn xuất hiện khi bạn cho phép bất cứ host nào cũng có thể đăng ký địa chỉ của nó trong
DNS mà không yêu cầu thẩm định.
Tuy nhiên các nâng cấp động an toàn không phải tất cả đều giống nhau. Cho ví dụ, nếu bạn hạn
chế chỉ những quản trị viên miền hay quản trị viên bảo mật mới có thể gia nhập miền, khi đó các
nâng cấp DNS động tỏ ra khá an toàn trong môi trường Windows. Tuy nhiên nếu cho phép bất
cứ ai cũng có thể join máy tính của họ vào miền, bạn vấn đề bảo mật ở đây sẽ bị giảm đi đáng
kể.
Khi nâng cấp động bị thỏa hiệp, kẻ tấn công có thể thay đổi các thông tin trong bản ghi để các
tên máy tính sẽ được redirect đến các máy chủ mà kẻ tấn công thiết lập nhằm đạt được các mục
đích của chúng (chẳng hạn như load phần mềm mã độc vào máy tính để biến nó trở thành một
phần trong botnet mà kẻ tấn công đang điều khiển). Một vấn đề khác kẻ tấn công có thể thực
hiện trong tình huống này là thực hiện tấn công từ chối dịch vụ mức đơn giản bằng cách xóa bản
ghi chính, chẳng hạn như các bản ghi cho máy chủ DNS hay bộ điều khiển miền.
Từ chối dịch vụ DNS bằng cách gây lụt máy khách
Nói đến DoS, nếu chưa bao giờ gặp phải kiểu tấn công này thì hãy xem đó như một may mắn đối
với bạn. Do các truy vấn DNS không được thẩm định nên máy chủ DNS luôn cố gắng trả lời các
truy vấn mà nó nhận được. Điều này có nghĩa rất dễ có thể thực hiện một tấn công từ chối dịch
vụ đối với một máy chủ DNS. Có khá nhiều botnet có thể tạo các kiểu tấn công DDoS để vô hiệu
hóa máy chủ DNS đủ lâu cho kẻ tấn công thiết lập máy chủ DNS giả mạo để trả lời các truy vấn.
Người dùng không có cách nào biết được máy chủ DNS mới là máy chủ giả mạo, họ sẽ bị
redirect đến máy chủ của kẻ tấn công. Các site này thường được thiết kế để giống các site thật và
sử dụng sự tin tưởng của người dùng vào các site thực ể tăng sự truy cập vào thông tin nhận dạng
cá nhân, sau đó là thực hiện các tấn công kiểu này.
Giả mạo cache
Máy chủ DNS này sẽ truy vấn máy chủ DNS khác để lấy thông tin. Để cải thiện hiệu suất cho
toàn bộ cơ sở hạ tầng DNS, các máy chủ DNS sẽ lưu các kết quả truy vấn trong một khoảng thời
gian trước đó vào các bản ghi để cung cấp sự phân giải tên. Nếu truy vấn thứ hai có cùng tên

trước khi timeout, máy chủ DNS sẽ đáp trả các thông tin mà nó đã lưu trong DNS cache thay vì
truy vấn sang máy chủ DNS khác.
Tuy có thể cải thiện đáng kể được hiệu suất tổng thể nhưng cách thực hiện này gây ra một lỗ
hổng bảo mật. Lỗ hổng bảo mật bị khai thác ở đây được gọi là “DNS cache poisoning” có nghĩa
là giả mạo DNS. Việc giả mạo DNS diễn ra khi máy chủ DNS gửi một truy vấn đến máy chủ
DNS khác và máy chủ DNS đó trả về các thông tin không đúng. Trong hầu hết các trường hợp,
máy chủ DNS trả về các thông tin sai là các máy chủ đã bị thỏa hiệp.
Việc giả mạo cache có thể diễn ra vì các máy chủ DNS không kiểm tra sự hợp lệ của các đáp trả,
cũng như không thực hiện thẩm định các đáp trả mà chúng nhận được từ máy chủ DNS khác.
Máy chủ DNS “khách” sẽ nhận được thông tin trong đáp trả và lưu thông tin đó, sau đó cung cấp
thông tin sai đến các máy được cấu hình là máy khách DNS của máy chủ này.
Kết luận
Trong phần này chúng tôi đã giới thiệu cho các bạn một số vấn đề trong bảo mật DNS và cách
bảo mật các máy chủ DNS bị thỏa hiệp như thế nào. Trong phần hai, chúng tôi sẽ giới thiệu kỹ
hơn về một số mẹo giúp cải thiện bảo mật DNS và xem xét kỹ tính năng bảo mật trong Windows
Server 2008, DNSSEC. Bên cạnh đó chúng ta cũng sẽ đi cấu hình một vùng an toàn bằng
DNSSEC và xem xét cách sử dụng DNSSEC để cải thiện bảo mật DNS cho tổ chức.
Văn Linh (Theo Windowsecurity)
Xem thêm: bảo mật, dns, domain name system, cache poisoning, máy chủ, máy trạm, dhcp