MẠNG MÁY TÍNH VÀ BẢO MẬT
1. Nhắc lại về địa chỉ IP:
Địa chỉ IP (IP là viết tắt của từ tiếng Anh: Internet Protocol - giao thức Internet) là một địa chỉ
đơn nhất mà những thiết bị điện tử hiện nay đang sử dụng để nhận diện và liên lạc với nhau trên
mạng máy tính bằng cách sử dụng giao thức Internet.
Mỗi địa chỉ IP là duy nhất trong cùng một cấp mạng.
a. IPv4
Tổ hợp 32 bit, chia làm 4 octet, thường được viết dạng 4 số thập phân có dấu chấm
phân cách
(ví dụ: 192.168.1.8)
b. IPv6
Địa chỉ IP theo phiên bản IPv6 sử dụng 128 bit để mã hoá dữ liệu, nó cho phép sử dụng
nhiều địa chỉ hơn so với IPv4. Ước tính địa chỉ IP phiên bản IPv6 cho phép cung cấp
(4*10^4)^4 (4 tỉ mũ 5) địa chỉ IP cùng lúc .
Địa chỉ IP phiên bản IPv6 đang dần được đưa vào áp dụng bởi nguồn tài nguyên IPv4
đang cạn kiệt do sự phát triển rất nhanh của công nghệ thông tin. Tuy nhiên vì lý do
tương thích với thiết bị cũ, nên có thể thay thế hết cho IPv4, các tổ chức đã đề xuất lộ
trình chuyển đổi IPv4 sang IPv6 bắt đầu từ năm 2019 đến năm 2033.
2. Tổng quan về DNS – Hệ thống tên miền
Hiện nay các máy tính nối mạng toàn cầu liên lạc với nhau, tìm đường trên mạng
và nhân diện nhau bằng địa chỉ IP. Về phía người sử dụng để có thể sử dụng được các
dịch vụ trên mạng họ phải nhớ được địa chỉ của các máy chủ cung cấp dịch vụ này. Do
người sử dụng phải nhớ được địa chỉ IP với dạng chữ số dài như vậy khi nối mạng là rất
khó khăn và vì thế có nhu cầu một địa chỉ thân thiện, mang tính gợi mở và dễ nhớ hơn
cho người sử dụng đi kèm. Và từ yêu cầu đó đã hình thành hệ thống tên miền.
Ban đầu với mạng máy tính còn nhỏ của Bộ quốc phòng Mỹ thì chỉ cần một tệp
HOSTS.txt chứa các thông tin về chuyển đổi địa chỉ và tên mạng. Nhưng khi mạng máy
tính ngày càng phát triển thì với một tệp HOSTS.txt là không khả thi.
Do vậy đến năm 1984 Paul Mockpetris thuộc viện USC’s Information Sciences
Institute phát triển một hệ thống quản lý tên miền mới lấy tên là Hệ thống tên miền –
Domain Name System và ngày càng phát triển

 DNS (Hệ thống tên miền )là cơ sở dữ liệu phân tán được thực hiện theo tổ chức phân
cấp của nhiều Name Server
 Các dịch vụ DNS:
 Dịch tên host ra địa chỉ IP
 Bí danh Host
 Bí danh Mail Server
 Phân phối tải
Các Web Server bản sao: nhiều địa chỉ IP tương ứng cho một tên đúng chuẩn
 Tại sao không tập trung hóa DNS?
 Một điểm chịu lỗi
 Lưu lượng
 Khoảng cách CSDL tập trung
 Cấu trúc của tên miền
 Cách đặt tên miền
 Tên miền sẽ có dạng : Label.label.label….label
 Độ dài tối đa của một tên miền là 255 ký tự
 Mỗi một label tối đa là 63 ký tự bao gồm cả dấu “.”
 Phân loại tên miền
 Các loại tên miền được phân chia thành các loại sau:
com: Tên miền này được dùng cho các tổ chức thương mại
edu: Tên miền này được dùng cho các cơ quan giáo dục, trường học
net: Tên miền này được dùng cho các tổ chức mạng lớn
gov: Tên miền này được dùng cho các tổ chức chính phủ
org: Tên miền này được dùng cho các tổ chức khác
int: Tên miền này dùng cho các tổ chức quốc tế
info: Tên miền này dùng cho việc phục vụ thông tin
arpa: Tên miền ngược (Hệ thống tên miền thông thường cho phép chuyển
đổi từ tên miền sang địa chỉ IP. Trong thực tế, một số dịch vụ Internet đòi
hỏi hệ thống máy chủ DNS phải có chức năng chuyển đổi từ địa chỉ IP sang
tên miền. Tên miền ngược ra đời nhằm phục vụ mục đích này.)

mil: Tên miền dành cho các tổ chức quân sự, quốc phòng
Mã các nước trên thế giới tham gia vào mạng internet, các quốc gia này
được qui định bằng hai chữ cái theo tiêu chuẩn ISO-3166 (Ví dụ : Việt Nam
là .vn, Singapo la sg,….)
 Tổ chức ICANN đã thông qua hai tên miền mới là:
travel: Tên miền dành cho tổ chức du lịch
post: Tên miền dành cho các tổ chức bưu chính
 Các tên miền dưới mức root này đươc gọi là Top –Level – Domain
Domain name cấp cao nhất là tên miền bạn đăng ký trực tiếp với các nhà
cung cấp Domain name. Theo sau ngay phần tên bạn tùy chọn là phần TLD
(Top Level Domain) có dạng: .com, .net, .org, .gov, .edu, .info, .tv, .biz,…
hoặc các TLD kết hợp với ký hiệu viết tắt của quốc gia: .com.vn, .net.vn,
.org.vn, .gov.vn,…
Ví dụ:
www.pavietnam.vn
www.raovat.com
www.yahoo.com
www.vnn.vn
Được coi là các tên miền cấp cao nhất. Các tên miền cấp cao nhất thể hiện
sự chuyên nghiệp và uy tín trong kinh doanh trên Internet của các doanh
nghiệp.
Domain name thứ cấp
Là tất cả những loại Domain name còn lại mà domain đó phải phụ thuộc vào
một Domain name cấp cao nhất. Để đăng ký các Domain name kiểu này,
thông thường bạn phải liên hệ trực tiếp với người quản lý Domain name cấp
cao nhất.
Ví dụ:


Được coi là những tên miền thứ cấp.


 DNS Server
Quá trình "dịch" tên miền thành địa chỉ IP để cho trình duyệt hiểu và truy cập được vào
website là công việc của một DNS server
 Root Server DNS
 Là server quản lý toàn bộ cấu trúc của hệ thống tên miền
 Root Server không chứa dữ liệu thông tin về cấu trúc hệ thống DNS mà nó chỉ
chuyển quyền quản lý xuống cho các server cấp thấp hơn
 Hiện nay trên thế giới có khoảng 13 root server quản lý toàn bộ hệ thống
Internet
Sự thật về 13 Root Server
Dạo gần đây có tin đồn rằng nhóm hacker Anonymous đe dọa sẽ đánh sập
internet bằng cách sẽ DDoS chết "13 máy chủ tên miền gốc" ( 13 Root DNS server ).
Vậy 13 máy chủ tên miền gốc này là gì ? có thực sự tồn tại 13 máy chủ tên miền gốc
này và chúng đều thuộc kiểm soát của Hoa Kỳ ?
Lời đồn huyền thoại
Lời đồn về sự tồn tại của 13 máy chủ tên miền gốc xuất phát từ một dải gồm 13
tên miền được hardcode bên trong mã nguồn của chương trình quản lý máy chủ tên
miền nổi tiếng của đại học Berkeley - BIND và được đề cập trong RFC 2929:
a.root-servers.net
b.root-servers.net
c.root-servers.net
d.root-servers.net
e.root-servers.net
f.root-servers.net
g.root-servers.net
h.root-servers.net
i.root-servers.net
j.root-servers.net
k.root-servers.net

l.root-servers.net
m.root-servers.net
Lời đồn cho rằng mỗi dòng trên đây ứng với một máy chủ tên miền gốc và máy
chủ tên miền gốc này là một siêu máy tính được đặt tại một nơi nào đó thuộc Hoa Kỳ
hoặc đồng minh của Hoa Kỳ.
Lời đồn này có vẻ được giới truyền thông hiểu lầm và đăng lại suốt một thời
gian dài dẫn tới nhiều ngộ nhận tức cười về khả năng tổn thương của internet và
quyền lực tác động của chính phủ Hoa Kỳ đối với internet. Điển hình là hàng ngàn
cuộc tấn công lớn nhỏ xuyên suốt chiều dài lịch sử của internet vào 13 Root servers
này, đỉnh cao là tin đồn về việc Anonymous huy động lực lượng tấn công vào 13
Root servers nhằm "đánh sập hoàn toàn internet" vào ngày 31/3/2012.
Sự thật ?
Sự thật là có 13 Root Servers thật. Nhưng đó không phải chỉ là 13 cái máy siêu
máy chủ mà là 13 mạng lưới máy chủ bao gồm hàng trăm máy chủ DNS được phân
rải khắp nơi trên thế giới, kể cả tại các quốc gia thù địch với Hoa Kỳ như Nga và
Trung Quốc (f.root-servers.net). 13 mạng lưới máy chủ này được thiết kế để mỗi máy
chủ trong mạng lưới ( có thể hiểu nôm na như vậy ) đều có vai trò giống nhau, không
có cái nào quan trọng hơn, bản thân chúng được thiết kế để trở thành mirror của các
máy chủ hidden DNS master. Mỗi một máy chủ hoặc nhiều hoặc thậm chí cả trăm cái
cùng chết một lúc thì những cái khác vẫn còn đủ dữ liệu và sẵn sàng thay thế tức thì.
Tới đây có một câu hỏi cần làm rõ về hidden DNS master. Đây mới chính là các
máy chủ DNS gốc, chúng không trực tiếp thò mặt ra internet, chúng chỉ đóng vai trò
lưu trữ dữ liệu DNS gốc, các máy chủ trong 13 mạng lưới máy chủ DNS sẽ chứa bản
sao dữ liệu từ các hidden DNS master. Các hidden DNS master hiện nay nằm dưới sự
kiểm soát của Verisign và US Department of Commerce.
Quyền lực của chính phủ Hoa Kỳ ?
Người Mỹ tạo ra internet đó là điều không thể chối cãi. Người Mỹ hiện nay cũng
kiểm soát toàn bộ các tổ chức nắm quyền kiểm soát hệ thống quản lý 13 mạng lưới
máy chủ DNS. 12 tổ chức này bao gồm Verisign • USC-ISI • Cogent • UMD •
NASA-ARC • ISC • DOD-NIC • ARL • Autonomica • RIPE • ICANN • WIDE

Bất kỳ tổ chức nào nếu muốn đóng góp máy chủ của mình vào mạng lưới mirror
cho 13 Root DNS server này thì có thể liên lạc với một trong 12 tổ chức trên họ sẽ
sẵn sàng nhận sự trợ giúp.
Chính phủ Hoa Kỳ có quyền ra lệnh cho tất cả 12 tổ chức trên với quyền kiểm
soát 13 mạng lưới DNS Root Servers ngưng xử lý tất cả các DNS Request trên thế
giới. Sau tối đa 86400 giây hay 24 giờ thì tất cả các DNS cache sẽ hết hạn (TTL
expired) và toàn bộ internet sẽ ngưng hoạt động ( không tính các nước chỉ chuyên xài
intranet riêng như TQ, Iran, Bắc Hàn ). Hoặc bằng một cách khác, họ sẽ ra lệnh
ngưng hoạt động các hidden DNS master, ngay lập tức Internet sẽ bị đóng băng, sẽ
không một DNS Record nào được tạo ra và không một DNS Record nào được xóa đi,
internet sẽ vẫn vận hành nhưng sẽ không phát triển nữa.
Có khả năng một tổ chức hacker nào đó không phải chính phủ Hoa Kỳ vô
hiệu hóa internet ?
Câu trả lời là không. Internet được thiết kế để tồn tại lâu dài mà không phụ thuộc
quá nhiều vào bất kỳ một thành phần trọng yếu nào.
Như câu chuyện 13 Máy chủ trên miền gốc ở trên. Nhóm hacker Anonymous
không thể nào triệt hạ được toàn bộ hàng trăm máy chủ tên miền gốc đang vận hành
trên khắp thế giới chỉ bằng DDoS. Đặc biệt hơn, các máy chủ thuộc 13 mạng lưới trên
có cấu hình hoàn toàn khác nhau, chạy những phần mềm khác nhau và được bảo vệ
cũng rất khác nhau. Không một tổ chức nào hoặc quốc gia nào có đủ lực lượng và tài
nguyên để tiêu diệt hết các máy chủ này. Hơn nữa, ngoài các tổ chức chính thức quản
lý các DNS Root server, còn có hàng trăm tổ chức khác cũng đóng góp máy chủ vào
13 mạng lưới này. Số lượng máy chủ không hề giảm đi mà còn tăng lên theo thời
gian.
Mặt khác, dù Chính phủ Hoa Kỳ có ra lệnh tiêu diệt internet thì với khả năng của
các quốc gia khác hiện tại, việc tái lập internet là chuyện hoàn toàn có thể xảy ra.
Internet chỉ có thể chết nếu không còn ai muốn dùng nó nữa, mà điều này cũng
là chuyện không tưởng nốt.
 Top – Level Domain Server
Chịu trách nhiệm cho tên miền com, org, net, edu, …, và tên miền quốc gia (vn, us,

au, ca, sg, jp…)
 Anthoritative DNS Server (DNS Server có thẩm quyền)
DNS Server của riêng tổ chức cung cấp các tên host có thẩm quyền để ánh xạ địa
chỉ IP cho các host được đặt tên của tổ chức đó
Có thể được duy trì bởi tổ chức hoặc nhà cung cấp dịch vụ
 Local DNS server
Không hoàn toàn theo cấu trúc phân cấp
Mỗi ISP - Internet Service Provider (ISP cá nhân, công ty, trường đại học) có 1
Local DNS server
Khi 1 host tạo một truy vấn DNS, truy vấn được gửi đến Local DNS server
Có bộ nhớ đệm (cache) cục bộ của các cặp chuyển đổi tên-đến-địa chỉ gần đây
3. Truy vấn DNS – DNS query
Có 2 loại truy vấn: Truy vấn lặp và truy vấn đệ quy
- Một truy vấn đệ quy, trong đó DNS client yêu cầu DNS server cung cấp một câu
trả lời hoàn chỉnh cho các truy vấn
- Một truy vấn lặp, trong đó DNS client yêu cầu câu trả lời tốt nhất mà các máy chủ
DNS có thể cung cấp mà không cần tìm kiếm sự giúp đỡ từ các máy chủ DNS
khác. Là kết quả của một truy vấn lặp đi lặp lại thường là đến một máy chủ DNS
thấp hơn trong cây DNS
DNS server caching
- Caching la quá trình tạm thời lưu trữ thông tin truy cập gần đây (trong một hệ
thống bộ nhớ đặc biệt) để truy cập nhanh hơn
- Khi 1 DNS server thực hiện 1 ánh xạ nó sẽ học ánh xạ đó
4. RESOURCE RECORD & DNS ZONE
Một tài nguyên bản ghi (RR) là một cấu trúc cơ sở dữ liệu DNS tiêu chuẩn chứa thông tin
được sử dụng để xử lý các truy vấn DNS
RR là mẫu thông tin dùng để miêu tả các thông tin về cơ sở dữ liệu DNS, các mẫu tin này
được lưu trong các file cơ sở dữ liệu DNS (\systemroot\system32\dns).
Một zone là một phần của cơ sở dữ liệu DNS chứa các RR
Các loại RR:

Các loại zone
Loại bản ghi Mô tả
A Phân giải 1 host name ra địa chỉ IP
PTR Phân giải địa chỉ IP ra host name
SOA Start of
Authority)
Bản ghi đầu tiên trong 1 file zone bất kì Trong mỗi
tập tin cơ sở dữ liệu phải có một và chỉ một record
SOA (start of authority). Bảng ghi SOA chỉ ra rằng
máy chủ Name Server là nơi cung cấp thông tin tin
cậy từ dữ liệu có trong zone.
SRV Phân giải tên của máy chủ cung cấp dịch vụ
NS Xác định các máy chủ DNS cho từng zone
MX
Mail server
Mail server: là máy chủ dùng để nhận và gửi mail, với
các chức năng chính:
- Quản lý account.
- Nhận mail của người gửi (của những người có
account) và gửi cho người nhận hoặc mail server của
người nhận.
- Nhận mail từ mail server của người gửi (từ bên
ngoài) và phân phối mail cho người trong hệ thống.
Tùy thuộc vào việc cài đặt mà mail-server cho phép
người dùng sử dụng web-mail (web) để nhận mail
(giống yahoo), hay cho phép sử dụng outlook
(application), hay cả 2 (giống như gmail).
Nguồn bài
viết: />la-gi-tim-hieu-dich-vu-mail-
server.html#ixzz2R6ogf0Ij

CNAME
Canonical Name
Phân giải 1 host name ra 1 host name
5. Chuyển
vùng DNS
– DNS Transfer
Chuyển vùng DNS là việc đồng bộ hóa các dữ liệu giữa các máy chủ DNS
a. Full zone transfer (AXFR)
Ban đầu khi xây dựng thống DNS, người ta đã thiết kế một kiểu zone transfer gọi
là full zone transfer, tức là sẽ transfer toàn bộ thông tin cơ sở dữ liệu của dns server chính
về cho server phụ. Việc này được thực hiện thông qua việc kiểm tra serial number của
SOA Resource Record. Nếu serial number của server chính lớn hơn(mới hơn) thì server
phụ sẽ yêu cầu server chính gửi toàn bộ thông tin về zone cho nó. Đây chính là full zone
transfer. Thời gian các server phụ kiểm tra xem đã có sự thay đổi hay chưa đc định nghĩa
bởi giá trị refresh của SOA RR.
AFXR hoạt động trên TCP port 53
b.Incremental zone transfer (IXFR)
Full zone transfer bộc lộ một điểm yếu là nếu chỉ có 1 RR thay đổi thì việc full
zone transfer là gây lãng phí cả về băng thông mạng và tốn nhiều thời gian. RFC 1995 đã
đưa ra một giao thức cho phép chỉ transhfer những RR có sự thay đổi.
Cách thức làm việc của IXFR khá giống với AXFR. Slave dns server gửi request
đến master dns server mỗi lần hết giá trị refresh. Nếu serial number của SOA RR là mới
hơn thì nó sẽ gửi yêu cầu xem có thể sử dụng IXFR hay không. Nếu cả slave và master
server đều hỗ trợ IXFR thì sẽ sử dụng cách này để transfer zones. Nếu thất bại sẽ sử dụng
AXFR.
IXFR sử dụng TCP port 53
b. Thông điệp DNS
Giá trị refresh được định nghĩa trong SOA RR thường là vài giờ đồng hồ. Điều đó
có nghĩa, nếu như có bất kỳ sự thay đổi nào từ master server thì slave server vẫn sẽ không
biết được cho đến khi hết giá trị refresh đó.

RFC 1996 định nghĩa một cơ chế cho phép master server gửi một thông điệp DNS
đến các slave servers mỗi khi nó đc load hoặc đc cập nhật mới. Thông điệp DNS này sẽ
chỉ ra rằng, đã có một sự thay đổi nào đó đối với các RR. Các slave nhận đc thông điệp
Primary Đọc/ ghi bản copy CSDL DNS
Secondary
Chỉ đọc bản copy CSDL DNS
Stub Bản copy 1 zone với hạn chế các bản ghi
DNS sẽ gửi đến master server yêu cầu kiểm tra SOA RR. Nếu serial number lớn hơn so
với serial hiện tại, slave server sẽ đưa ra yêu cầu là AXFR hoặc IXFR.
6. Tấn công DNS
a. Giả mạo DNS
b. Giả mạo địa chỉ trong vùng nhớ đệm trong DNS
 Giải pháp
c. Loại hình tấn công Man in the middle (Kẻ nghe trộm)
Một trong những hình thức tấn công mạng, hoạt động bằng cách thiết lập các
kết nối đến máy tính nạn nhân và relay các message giữa chúng.
Trong trường hợp bị tấn công, nạn nhân cứ tin tưởng là họ đang truyền
thông một cách trực tiếp với nạn nhân kia, trong khi đó sự thực thì các luồng
truyền thông lại bị thông qua host của kẻ tấn công
 Kẻ tấn công không chỉ thông dịch dữ liệu nhạy cảm mà nó còn gửi xen
vào cũng như thay đổi luồng dữ liệu để kiểm soát sâu hơn những nạn nhân của
nó.
- Giả mạo ARP cache
- Giả mạo DNS
 Giả mạo ARP cache
Tấn công này cho phép kẻ tấn công (nằm trên cùng một subnet với
các nạn nhân của nó) có thể nghe trộm tất cả các lưu lượng mạng giữa các
máy tính nạn nhân.
Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của
giao thức ARP

Các máy tính đã gửi request khi nhận được ARP reply “vu vơ”, máy
tính request này sẽ nghĩ rằng đó chính là đối tượng mình đang tìm kiếm để
truyền thông, tuy nhiên thực chất họ lại đang truyền thông với một kẻ tấn
công.
 Giả mạo DNS
Giả mạo DNS là một kỹ thuật MITM được sử dụng nhằm cung cấp
thông tin DNS sai để người dùng duyệt đến một địa chỉ nào đó.
Ví dụ: www.abc.com có IP X.X.X.X, thì cố gắng này sẽ được gửi đến
một địa chỉ www.abc.com giả mạo cư trú ở địa chỉ IP Y.Y.Y.Y, đây là địa
chỉ mà kẻ tấn công đã tạo trước để đánh cắp các thông tin từ người dùng.
 Note: DNSSEC
Một cơ chế bảo mật mới bằng cách cho phép các Website kiểm tra các tên miền của họ và chịu
trách nhiệm đối với các địa chỉ IP theo các chữ ký điện tử và thuật toán mã hoá công khai.