HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG

**************************

LÊ NGỌC ĐẠT

NGHIÊN CỨU HỆ THỐNG TÊN MIỀN DNS
VÀ CÁC KIỂU TẤN CÔNG HỆ THỐNG TÊN
MIỀN
Chuyên ngành: Kỹ thuật Viễn thông
Mã ngành:
60.52.02.08
LUẬN VĂN THẠC SĨ
(Theo định hƣớng ứng dụng)
NGƢỜI HƢỚNG DẪN KHOA HỌC: TS. NGÔ ĐỨC THIỆN

HÀ NỘI - 2017


Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học:
TS. NGÔ ĐỨC THIỆN

Phản biện 1: TS. PHẠM MẠNH LÂM
Phản biện 2: PGS.TS. LÊ NHẬT THĂNG

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn Thạc sĩ họp tại:

Học viện Công nghệ Bưu chính Viễn Thông,

km 10, đường Nguyễn Trãi, Hà Đông, Hà Nội.
vào lúc:

ngày

tháng

năm 2017

Có thể tìm hiểu luận án tại:
1. Thư viện Học viện Công nghệ Bưu chính Viễn thông.


1
MỞ ĐẦU
1. Tính cấp thiết của đề tài:
Trong thời đại phẳng như ngày nay, vai trò của internet là vô
cùng quan trọng. Điều này kéo theo nhiều ngành kinh tế, nhiều hoạt
động chính trị, văn hóa phụ thuộc vào máy tính và internet. Chính vì
vậy, ngày càng có nhiều ý đồ phá hoại nhằm vào các hệ thống máy
tính. Nhiều website của các doanh nghiệp, tổ chức, công ty bảo mật
hang đầu thế giới đều bị hacker tấn công gây tổn thất lớn vè tài chính
và uy tín của doanh nghiệp. Tình hình an ninh mạng vẫn vô cùng bất
ổn và năm 2016 tiếp tục được coi là năm báo động đỏ của an ninh
mạng Việt Nam và thế giới khi có nhiều lỗ hổng an ninh mạng
nghiêm trọng được phát hiện. Hình thức tấn công của hacker liên tục
thay đổi và có rất nhiều cuộc tấn công của giới tội phạm công nghệ
cao vào các hệ thống công nghệ thong tin của doanh nghiệp và Chính
phủ.
Với mục đích nghiên cứu cơ chế của các cuộc tấn công mạng nói

chung và từng kỹ thuật tấn công nói riêng, em chọn đề tài “Nghiên
cứu hệ thống tên miền DNS và các kiểu tấn công hệ thống tên
miền”.
2. Tổng quan về vấn đề nghiên cứu:
Hệ thống tên miền DNS (Domain Name System) được phát minh
vào năm 1984 cho internet. Đây là một hệ thống phân giải tên miền
và cho phép thiết lập quan hệ tương ứng giữa địa chỉ IP và tên miền.
DNS là chìa khóa chủ chốt của nhiều dịch vụ mạng như duyệt
internet, mail server, web server… Nếu không có DNS, internet sẽ
khó có thể hoạt động được, từ đó có thể hình dung được mức độ quan
trọng của DNS. Và việc tấn công dịch vụ DNS ngày càng được nhiều
hacker sử dụng với mục đích kinh tế, chính trị với nhiều hình thức
mới và tinh vi.
Trên thế giới hiện có rất nhiều tên miền được cấp phép, sử dụng để
cung cấp các dịch vụ trên hạ tầng Internet. Các tên miền được lưu trữ
trên một hệ thống DNS có cấu trúc và trải rộng trên phạm vi toàn thế
giới. Hệ thống DNS đóng vai trò như hệ thống chỉ mục Internet, được
truy xuất rộng rãi không hạn chế thông qua các giao thức truy vấn/trả
lời thông tin DNS. Sự phát triển của Internet cùng với sự ứng dụng
sử dụng tên miền Internet một cách nhanh chóng và các kỹ thuật tấn


2
công nhằm giả mạo và đánh cắp thông tin người sử dụng như hiện
nay đặt một mối đe dọa thường trực lên hệ thống DNS.
Hệ thống tên miền và hệ thống máy chủ tên miền chính là gót chân
Asin của Internet. Do tính chất quan trọng của hệ thống DNS - nơi
được coi là lõi của mạng Internet toàn cầu, để đáp ứng những yêu cầu
nêu trên, việc cấp thiết cần phải làm là đảm bảo tính an toàn, bảo mật
cho hệ thống này. Tuy nhiên, giao thức DNS thiếu hụt tính bảo mật

do không có công cụ xác thực nguồn dữ liệu được trao đổi giữa máy
chủ (DNS Server) và máy trạm (Client), hoặc máy chủ chuyển tiếp
(Forwarder) giữa máy chủ này đến máy chủ khác trong tên miền
(Domain). Chính vì thế hacker có thể lợi dụng việc tấn công hệ thống
tên miền và máy chủ DNS để thực hiện các mục đích xấu như ăn cắp
thông tin, lừa đảo, giả mạo.
Do đó cần chú trọng vào bảo mật hệ thống DNS, sử dụng nhiều giải
pháp hỗ trợ để đạt được hiệu quả tối đa. Bên cạnh đó, cần xem xét
đến yếu tố an toàn, năng lực của hệ thống DNS để đảm bảo chất
lượng dịch vụ Internet.
3. Mục đích nghiên cứu:
Mục đích nghiên cứu của luận văn là nghiên cứu và trình bày về
DNS, một số lỗ hổng xảy ra với DNS, việc tấn công vào hệ thống
DNS diễn ra như thế nào và đề xuất biện pháp phòng chống tấn công
dịch vụ DNS.
4. Đối tượng và phạm vi nghiên cứu:
+ Đối tượng nghiên cứu: Dịch vụ DNS...
+ Phạm vi: Luận văn tập trung vào nghiên cứu các cách thức tấn
công vào hệ thống dịch vụ DNS và các biện pháp phòng chống tấn
công.
5. Phương pháp nghiên cứu:
Nghiên cứu, thu thập các tài liệu đã xuất bản, các bài báo trên
các tạp chí khoa học và các tài liệu trên mạng Internet liên quan đến
vấn đề đang nghiên cứu của các tác giả trong và ngoài nước. Từ đó
chọn lọc và sắp xếp lại theo ý tưởng của mình. Kết hợp với phần
mềm lập trình tính toán và mô phỏng một cuộc tấn công DNS.
6. Bố cục luận văn
Luận văn này bao gồm phần mở đầu, 3 chương nội dung và
phần kết luận.



3
Chương 1: Tổng quan về hệ thống tên miền DNS. Trình bày
tổng quan về lý thuyết hệ thống tên miền DNS, chức năng của DNS,
nguyên tắc làm việc và cơ chế phân giải tên miền và địa chỉ IP.
Chương 2: Vấn đề bảo mật trong DNS. Trình bày các lỗ
hổng, các điểm yếu bảo mật trong DNS và các cách thức tấn công
vào hệ thống DNS mà các hack cơ thường sử dụng hiện nay.
Chương 3: Thử nghiệm tấn công DNS Spoof. Thực hiện mô
phỏng một cuộc tấn công DNS và thông qua nội dung đã trình bày ở
chương 2 và đưa ra các cách thức phòng chống tấn công DNS.


4
CHƢƠNG 1. TỔNG QUAN VỀ HỆ THỐNG TÊN MIỀN DNS
Trong chương này sẽ trình bày tổng quan về lý thuyết hệ
thống tên miền DNS, chức năng của DNS, nguyên tắc làm việc và cơ
chế phân giải tên miền và địa chỉ IP.
1.1.
Giới thiệu về hệ thống tên miền DNS
1.1.1 Giới thiệu chung về DNS
DNS là từ viết tắt trong tiếng Anh của Domain Name
System, là Hệ thống tên miền được phát minh vào năm 1984 cho
Internet, định nghĩa trong các RFC 1034 và 1035, chỉ một hệ thống
cho phép thiết lập tương ứng giữa địa chỉ IP và tên miền. Hệ thống
tên miền (DNS) là một hệ thống đặt tên theo thứ tự cho máy vi tính,
dịch vụ, hoặc bất kì nguồn lực tham gia vào Internet. Nó liên kết
nhiều thông tin đa dạng với tên miền được gán cho những người
tham gia. Quan trọng nhất là nó chuyển tên miền có ý nghĩa cho con
người vào số định danh (nhị phân), liên kết với các trang thiết bị

mạng cho các mục đích định vị và địa chỉ hóa các thiết bị khắp thế
giới.
Hệ thống tên miền (DNS) là nền tảng của Internet giúp người
dùng dễ dàng đặt tên dựa trên tài nguyên Records (RR) vào các địa
chỉ IP tương ứng và ngược lại. Nhưng ngày nay DNS không chỉ là
địa chỉ dịch mà nó còn cung cấp xác thực và cải thiện an ninh dịch vụ
của nhiều ứng dụng internet. Bây giờ DNS trở thành thành phần quan
trọng nhất của Internet. Nếu DNS không hoạt động bình thường thì
toàn bộ truyền thông trong internet sẽ sụp đổ. Vì vậy an ninh của cơ
sở hạ tầng DNS là một trong những yêu cầu cốt lõi đối với bất kỳ tổ
chức nào.
1.1.2 Nguyên tắc làm việc của DNS
Mỗi nhà cung cấp dịch vụ vận hành và duy trì DNS server
riêng của mình, gồm các máy bên trong phần riêng của mỗi nhà cung
cấp dịch vụ đó trong Internet. DNS có khả năng truy vấn các DNS
server khác để có được 1 cái tên đã được phân giải. DNS server của
mỗi tên miền thường có hai việc khác biệt. DNS server có khả năng
ghi nhớ lại những tên vừa phân giải. Để dùng cho những yêu cầu
phân giải lần sau. Số lượng những tên phân giải được lưu lại tùy
thuộc vào quy mô của từng DNS.


5
1.2. Cấu trúc gói tin và các bản ghi
DNS có cấu trúc phân cấp. Một không gian tên miền được
xác định như hình 1.2. Mọi thứ đều nằm dưới không gian tên miền
".org". Thuộc về tên miền org và mọi thứ bên dưới không gian tên
miền ".icann.org" đều nằm trong miền .icann.org.

Hình 1.1. Cấu trúc phân cấp DNS

DNS dùng cổng 53 để truyền tải thông tin. Tại lớp vận
chuyển, DNS sử dụng UDP hoặc TCP. UDP là giao thức không yêu
cầu tính tin cậy của dữ liệu cao, thường được sử dụng cho việc trả lời
các truy vấn (query) từ các host để đảm bảo tính nhanh chóng, khi sử
dụng UDP thì hạn chế của gói tin là 512 bytes


6

1.3. Cơ chế phân giải
1.3.1 Phân giải tên thành địa chỉ IP
Quá trình phân giải tên được thực hiện theo trình tự cụ thể sau:
1.
Client trên hệ thống mạng, cần phân giải www.yahoo.com,
client tra cứu file /etc/nsswitch.conf để biết thứ tự quá trình
phân giải tên: flies, nisplus, dns
2.
Client tra cứu file /etc/inet/hosts để tìm
kiếm www.yahoo.com , giả sử file không chứa thông tin cần
truy vấn.
3.
Client tạo 1 truy vấn đến NIS+ server để tra cứu thông tin
về www.yahoo.com, kết quả là không có record nào liên quan
đến truy vấn.
4.
Client tra cứu file /etc/resolv.conf để xác định danh sách tìm
kiếm phân giải tên và địa chỉ DNS servers.
5.
Client gửi yêu cầu truy vấn – recursive đến local DNS để tra
cứu thông tin IP của www.yahoo.com và client chờ cho đến

khi quá trình phân giải tên hoàn thành.
6.
Local DNS server tra cứu thông tin trong cache xem các thông
tin truy vấn gần đây có record www.yahoo.com đã được phân
giải không. Nếu địa chỉ IP của www.yahoo.com có sẵn trong
cache, nó sẽ trả kết quả về cho client (non-authoritative).


7
7.

8.

9.
10.

11.

12.
13.
1.3.2

Nếu Local DNS server không có thông tin
về www.yahoo.com, nó sẽ liên lạc với root servers và gửi một
truy vấn dạng iterative: “Send me the best answer you have,
and I will do all of the work.” (gửi cho tôi câu trả lời tốt nhất
mà ta có và tôi sẽ làm tất cả công việc).
Root server trả về thông tin tốt nhất mà nó có bao gồm tên và
địa chỉ của tất cả các server đang quản lý .net cùng với giá trị
TTL cho biết những thông tin này sẽ được lưu bao lâu trong

cache của local DNS server.
Local DNS server liên lạc với một trong những server quản lý
.net thông qua kết quả từ root server trả về.
Máy server trong domain net trả về thông tin tốt nhất nó có,
gồm tên và địa chỉ của tất cả các server của
domain www.yahoo.com và giá trị TTL.
Local DNS server liên lạc với một trong những server trong
domain www.yahoo.com và tạo một truy vấn tìm địa chị IP
của www.yahoo.com.
Server trong domain www.yahoo.com trả về địa chỉ
IP www.yahoo.com, cùng với giá trị TTL.
Local DNS server trả về địa chỉ IP mà client yêu cầu.

Phân giải địa chỉ IP thành tên host
Ngoài chức năng chuyển đổi tên miền sang địa chỉ IP, hệ thống
DNS còn có chức năng chuyển đổi ngược lại từ địa chỉ IP sang tên
miền (reverse lookup). Chức năng reverse lookup cho phép tìm tên
miền khi biết địa chỉ IP và được sử dụng trong trường hợp cần kiểm
tra tính xác thực của các dịch vụ sử dụng trên Interne.
Để có thể phân giải tên máy tính của 1 địa chỉ IP, trong không
gian tên miền người ta bổ sung thêm 1 nhánh tên miền mà được lập
chỉ mục theo địa chỉ IP. Phần không gian này có tên miền là inaddr.arpa.


8

Hình 1.9 Cấu trúc không gian tên miền ngƣợc của IPv4, IPv6
trong cây tên miền chung
1.3.3 Chức năng của hệ thống tên miền DNS
Mỗi Website có một tên (là tên miền hay đường dẫn URL:

Uniform Resource Locator) và một địa chỉ IP. Địa chỉ IP gồm 4
nhóm số cách nhau bằng dấu chấm (IPv4). Khi mở một trình duyệt
Web và nhập tên website, trình duyệt sẽ đến thẳng website mà không
cần phải thông qua việc nhập địa chỉ IP của trang web. Quá trình
"dịch" tên miền thành địa chỉ IP để cho trình duyệt hiểu và truy cập
được vào website là công việc của một DNS server. Các DNS trợ
giúp qua lại với nhau để dịch địa chỉ "IP" thành "tên" và ngược lại.
Người sử dụng chỉ cần nhớ "tên", không cần phải nhớ địa chỉ IP (địa
chỉ IP là những con số rất khó nhớ).
Nói cách khác, DNS trợ giúp qua lại với nhau để dịch địa chỉ
IP thành tên và ngược lại chứ không có chức năng nhớ IP. DNS chỉ
định tên miền cho các nhóm người sử dụng internet theo một cách có
ý nghĩa, độc lập với mỗi địa điểm của người sử dụng. WWW duy trì
tính ổn định khi dòng internet thay đổi. Hệ thống tên miền phân phối
trách nhiệm gán tên và lập bản đồ những tên tới địa chỉ IP bằng cách
định rõ những máy chủ có thẩm quyền cho mỗi tên miền. Từ đó tăng
khả năng chịu đựng lỗi và tránh việc quá tải.


9

CHƢƠNG 2: VẤN ĐỀ BẢO MẬT TRONG DNS
Chương này trình bày các lỗ hổng, các điểm yếu bảo mật
trong DNS và các cách thức tấn công vào hệ thống DNS mà các hack
cơ thường sử dụng hiện nay.
2.1. Các điểm yếu của DNS
DNS luôn là điểm yếu nhưng nhiều nhà quản trị lại thường
không để ý đến nó, cứ nghĩ rằng không có khả năng phá hoại.
Các điểm yếu của hệ thống DNS thường xuyên bị khai thác hiện
nay như:

- Việc sử dụng cùng một phương pháp xác định tên cho tất cả các
hệ thống mạng có sử dụng internet của công ty dẫn tới tình trạng
nhầm lấn việc xác định tên nội và ngoại mạng.
- Kẻ tấn công có thể truy cập vào tên của máy tính bên trong và
các địa chỉ bên ngoài qua DNS server xác định tên trên internet.
- DNS luôn có nguy cơ tiềm ẩn khi hệ thống không sử dụng DNS
tách rời.
- Lỗ hổng bảo mật xuất hiện trong quá trình truyền thông tin từ
Primary DNS và Secondary DNS.
- Một số server cuối của hệ thống nội bộ có thể truy cập trực tiếp
từ mạng internet.

2.2. Cách thức tấn công vào hệ thống DNS


10
2.2.1

Tấn công đầu độc cache (cache poisoning attack)

Hình 2.2. DNS cache poisoning
Một bộ nhớ đệm DNS có thể bị nhiễm độc nếu nó chứa một
mục nhập (entry) không chính xác. Sự nhiễm độc DNS như thế này
hoàn toàn có thể lây lan. Ví dụ, các nhà cung cấp dịch vụ Internet
khác nhau có thể nhận được thông tin DNS của họ từ các máy chủ đã
bị xâm nhập, các entry DNS chứa mã độc sẽ lây lan sang các nhà
cung cấp dịch vụ Internet và được lưu trữ ở đó. Sau đó nó sẽ tiếp tục
lây lan sang các bộ định tuyến gia đình ta và bộ nhớ đệm DNS địa
phương trên máy tính dẫn đến việc tìm kiếm các entry DNS nhận
được phản hồi không chính xác mà người dùng hoàn toàn không hề

hay biết.
Có vài cách để thực hiện việc này:
Cách thứ nhất: Thiết lập một DNS Server giả mạo với các record
độc hại.
Cách thứ hai: Gửi một spoofed reply đến client nạn nhân thông
qua sự giúp đỡ của 1 sniffer.
Cách thứ ba: Gửi một lượng lớn spoofing reply đến client nạn
nhân.
Cách thứ tư: Attacker gửi một lượng lớn spoofing reply đến DNS
Server.


11
Tấn công tràn bộ đệm (buffer overflow attack)
Tấn công tràn bộ đệm là dạng tấn công vào vùng nhớ đệm
của máy chủ DNS Server để thực thi các dòng lệnh trên máy chủ đó.
Đây không phải là gói tin response chứa thông tin độc hại (như chứa
tên quá dài, hoặc chiều dài gói tin quá lớn) nhưng có thể làm cho việc
ghi đè lên vùng nhớ đệm của victim trở nên quá tải, cho phép thực thi
việc leo thang chiếm quyền trên máy tính đó. Với quyền truy cập
chiếm được, attacker có thể sửa đổi các thông tin trên file zone.
2.2.2

Hình 2.5 Các bƣớc tấn công tràn bộ nhớ
2.2.3

Tấn công trong quá trình Zone Transfer

Mục đích của việc tấn công này là để đưa thông tin không
đúng lên server dự phòng (slave server) thông qua tiến trình zone

transfer bình thường giữa server chính và server dự phòng. Để ngăn
chặn việc này, các DNS Server sử dụng danh sách điều khiển truy
cập (access control list). Danh sách đó chỉ chứa địa chỉ IP của những
máy server chính nào được phép zone transfer.


12
Một trong những cấu hình sai nghiêm trọng mà người quản
trị hệ thống có thể mắc phải là cho phép người dùng internet không
đáng tin cậy được tiến hành chuyển vùng DNS.
Tấn công từ chối dịch vụ Denial of Service Attack
Là kiểu tấn công phổ biến với các request dồn dập để làm ngập
lụt server, làm cho server hoạt động một cách chậm chạm để có thể
chấp nhận các request hợp lệ. Tuy nhiên, trong DNS, việc thực hiện
DoS có thể đạt được bằng cách sử dụng vài loại resource record trong
file zone. Cụ thể, Name Server (NS) record thì được dùng để xác
định chứng nhận name server cho một domain, ví dụ: “ibm.com IN
NS ns.ibm.com”. Nếu attacker có thể đầu độc cache của một DNS
Server với một NS record ví dụ như “ibm.com IN NS
ns.attacker.com”, server sẽ tham chiếu đến ns.attacker.com để phục
vụ bất kỳ yêu cầu truy vấn nào của client về địa chỉ của máy
ibm.com. Lúc này nó sẽ từ chối tất cả các client có cùng tên dịch vụ
được cung cấp bởi ibm.com.
2.2.4

Tấn công phương thức cập nhật động
Trong vài trường hợp, sau khi chỉnh sửa các zone file trên
DNS Server, server khởi động lại để những thay đổi có hiệu lực.
Nhưng khi khối lượng cần thay đổi quá lớn, khi đó các hoạt động của
server không hoạt động bình thường như trước.

Để thay đổi vùng dữ liệu một cách hiệu quả, tính năng
dynamic update được sử dụng, cho phép tự động thay đổi (chẳng hạn
như việc thêm và xóa) các record của DNS Server trong khi dịch vụ
vẫn hoạt động bình thường không bị gián đoạn. Với tính năng này,
name server chấp nhận các nguồn thông tin cập nhật từ bên ngoài
hoặc các ứng dụng cho các thông tin cá nhân được cập nhật một cách
tự động.
2.2.5

2.3

Biện pháp phòng chống tấn công DNS

Khá khó trong việc phòng chống việc giả mạo DNS vì có khá ít
các dấu hiệu khi bị tấn công. Thông thường, chúng ta không hề biết
DNS của mình bị giả mạo cho tới khi điều đó xảy ra. Mặc dù khó
nhưng không phải không có biện pháp nào có thể phòng chống các
kiểu tấn công này, đây là một số cách mà chúng ta cần thực hiện:


13
- Bảo vệ các máy tính bên trong.
- Sử dụng DNSSEC.
- Đặt mật khẩu mạnh cho các DNS server.
- Tắt tính năng đệ quy trên các server được ủy quyền
(Delegated Name Servers) bằng cách check vào ô Disable
recursion (đồng nghĩa với việc disable tính năng forwarder)
trong thẻ Advance.
- Ngăn không cho thực hiện chuyển vùng trái phép bằng cách
sử dụng Access control list.

- Sử dụng IDS.
- Không dựa vào DNS cho các hệ thống bảo mật.


14
CHƢƠNG 3: THỬ NGHIỆM TẤN CÔNG DNS SPOOF
Chương này thực hiện mô phỏng một cuộc tấn công DNS và thông
qua nội dung đã trình bày ở chương 2 đưa ra các cách thức phòng
chống tấn công DNS.
3.1. Thử nghiệm tấn công DNS Spoof chuyển hƣớng 1 webisite
3.1.1 Mô hình thực hiện tấn công

Hình 3.1 Mô hình thực hiện tấn công
3.1.2 Quá trình thực hiện
Bước 1: Chuẩn bị một máy tính chạy Window 7.Tiến hành cài phần
mềm Mvware Workstation.
Bước 2: Kiểm tra tình trạng máy Client ban đầu.
Bước 3: Thực hiện tấn công.


15
Trong máy ảo sử dụng Kali Linux, mở Terminal gõ lệnh
setoolkit sau đó chọn phương thức tấn công là Social – Engineering
attacks (Social engineering là lợi dụng sự ảnh hưởng và niềm tin để
lừa một người nào đó nhằm mục đích lấy cắp thông tin hoặc thuyết
phục nạn nhân để thực hiện việc gì).
Bước 4: Trong máy tính Attacker tiến hành chỉnh sửa tập tin
/etc/ettercap/etter.dns
và tập tin /etc/ettercap/etter.conf
Bước 5: Chạy lệnh: ettercap –q –T –I eth0 –P dns_spoof –M arp ///

/// để tiếp hành tấn công DNS Spoof và chờ đến khi load xong.

Hình 3.9 Quá trình máy Attacker thực hiện tấn công DNS Spoof
Bước 6: Kiểm tra kêt quả cuộc tấn công.
Khi máy Client truy cập vào trang Ptit.edu.vn sẽ vào được một
trang có giao diện như hình dưới. Đây chính là trang giả mạo.
Khi điền thông tin vào 2 trường User name và Password thì
máy tính tấn công cũng sẽ nhận được 2 trường này, từ đó đã đánh cắp
được mật khẩu người sử dụng máy Client


16

Hình 3.11 Username và password bị đánh cắp và hiển thị lên
Terminal
3.2 Đề xuất các biện pháp phòng chống tấn công DNS.
Mặc dù khó nhưng không phải không có biện pháp nào có thể phòng
chống các kiểu tấn công này, đây là một sô thứ ta cần thực hiện:
-

-

-

Bảo vệ các máy tính bên trong của ta: Các tấn công giống
như trên thường được thực thi từ bên trong mạng của ta. Nếu
các thiết bị mạng của an toàn thì sẽ ta sẽ giảm được khả năng
các host bị thỏa hiệp và được sử dụng để khởi chạy tấn công
giả mạo.
Đặt mật khẩu mạnh cho các DNS server.

Tắt tính năng đệ quy trên các server được ủy quyền
(Delegated Name Servers) bằng cách check vào ô Disable
recursion (đồng nghĩa với việc disable tính năng forwarder)
trong thẻ Advanced. Theo mặc định thì name server hỗ trợ
tính năng recursive, chúng ta tắt tính năng này đi vì bản thân
các name server liên lạc với nhau theo kiểu nonrecursive.
Ngăn không cho thực hiện chuyển vùng trái phép bằng cách
sử dụng Access control list, chỉ những máy tính nào có địa
chỉ IP nằm trong danh sách này được thực hiện quá trình
chuyển vùng với DNS Server chính.


17
-

-

-

-

Sử dụng IDS: Một hệ thống phát hiện xâm nhập, khi được
đặt và triển khai đúng, có thể vạch mặt các hình thức giả mạo
ARP cache và giả mạo DNS.
Không dựa vào DNS cho các hệ thống bảo mật: Trên các hệ
thống an toàn và có độ nhạy cảm cao, không duyệt Internet
trên nó là cách thực hiện tốt nhất để không sử dụng đến DNS.
Nếu ta có phần mềm sử dụng hostname để thực hiện một số
công việc của nó thì chúng cần phải được điều chỉnh những
gì cần thiết trong file cấu hình thiết bị.

Monitor: Công cụ Monitor hệ thống DNS sẽ giúp nhân viên
quản trị hệ thống nhanh chóng phát hiện ra các dấu hiệu đáng
ngờ, từ đó đưa ra các hành động cần thiết. Việc thực hiện
giám sát sẽ giúp:
 Xem hiện trạng làm việc của server DNS: DNS Monitor
sẽ gửi thông báo khi
 DNS server hoạt động không bình thường. DNS Monitor
có thể gửi truy vấn DNS tới tất cả các DNS server cũng
như nhận thông tin trả lời (response) mà không làm ảnh
hưởng tới các máy khác.
 Phân tích chất lượng các response từ những DNS Server
được giám sát: DNS Monitor có thể ghi lại log và hiển
thị từng mục của từng response, cho phép người dùng có
thể quyết định có nên tối ưu hóa DNS Server hay không.
 Cung cấp thông tin chi tiết để giải quyết vấn đề: Dựa vào
thông tin "Success/Failure" khi truy vấn một tên domain
tới một vài DNS Server, DNS Monitor có thể cung cấp
các nguyên nhân liên quan rất nhanh chóng. Trạng thái
"Failure": DNS Monitor sẽ hiển thị những nguyên nhân
có thể như: timeout, Format error, Server failure, Name
Error, Not Implemented, Request Refused, Send Request
Failed, Get part reply... Trạng thái "Success": DNS
Monitor có thể hiển thị thông tin chi tiết từ các response
như Question section, Answer section, Authority section,
Additional section...
Sử dụng kiểu truyền thông tin Anycast: Anycast là kiểu
truyền thông tin mà ở mô hình đó, client truyền dữ liệu một
lúc đến nhiều điểm khác nhau. Khi truy xuất, các dữ liệu sẽ



18

-

3.2.1

được lấy tại điểm gần nhất so với vị trí của client. Nếu điểm
gần nhất mất kết nối, client sẽ được tự động chuyển hướng
đến các điểm khác (gần nhất có thể) để lấy các dữ liệu cần
thiết mà không xảy ra tình trạng downtime trong bất kỳ
trường hợp nào.
Sử dụng DNSSEC: DNSSEC là một giải pháp thay thế mới
cho DNS, sử dụng các bản ghi DNS có chữ ký để bảo đảm sự
hợp lệ hóa của đáp trả truy vấn. Tuy DNSSEC vẫn chưa
được triển khải rộng rãi nhưng nó đã được chấp thuận là
“tương lai của DNS”, chống tấn công vào cache.
Giới thiệu về DNSSEC

DNSSEC (Security Extensions Domain Name System) là
công nghệ an toàn mở rộng cho hệ thống DNS (Domain Name
System). Trong đó, DNSSEC sẽ cung cấp một cơ chế xác thực giữa
các máy chủ DNS với nhau và xác thực cho từng vùng dữ liệu để
đảm bảo toàn vẹn dữ liệu.

Hình 3.12 DNSSEC trong các giao dịch DNS


19
Ứng dụng DNSSEC để bảo mật cho hệ thống DNS
Các bản ghi trong DNSSEC được khai báo trong các vùng dữ

liệu để chứng thực thông tin trong vùng dữ liệu đó, đảm bảo độ tin
cậy trong quá trình trao đổi thông tin cũng như truy vấn tìm kiếm
DNS. Trong khi vẫn đảm bảo hoạt động bình thường của các bản ghi
tài nguyên DNS thông thường thì các bản ghi DNSSEC cần khai báo
chính xác và thông tin xác thực phải đồng bộ.
3.2.2

DNSKEY được thiết lập để tạo khóa công cộng nhằm thực
hiện xác thực với các máy chủ DNS khác có cùng khóa công cộng
này. Các bản ghi chứng thực RRSIG sử dụng để ký xác thực cho các
bản ghi tài nguyên SOA, A, MX… Đối với các bản ghi NS khai báo
quyền sở hữu tên miền đối với tên miền gốc thì sử dụng bản ghi
NSEC kết hợp với bản ghi RRSIG để xác thực. Đối với các bản ghi
chuyển giao từ DNS cha xuống các máy chủ tên miền DNS con thì
kết hợp với bản ghi DS với bản ghi RRSIG để xác thực.
3.2.3

Lộ trình triển khai DNSSEC trên thế giới và tại Việt Nam

Hệ thống DNSSEC được triển khai với nhiều đối tượng tham gia,
đồng bộ từ Cơ quan quản lý (Registry), Nhà đăng ký tên miền
(Registrar), các nhà cung cấp dịch vụ DNS Hosting, các doanh
nghiệp ISP, các doanh nghiệp cung cấp dịch vụ công nghệ thông tin,
trong đó chủ yếu được phân loại thành 2 nhóm như sau:
 Nhóm ký số dữ liệu tên miền (Signing) bao gồm: Registry,
Registrar, DNS Hosting Provider.
 Nhóm kiểm tra tính xác thực của dữ liệu tên miền
(Validation): ISP, DNS của tổ chức, doanh nghiệp,...
Tại Việt Nam trước tình hình phát triển Internet, thương mại điện
tử, chính phủ điện tử mạnh mẽ như hiện nay và an ninh mạng có

nhiều biến động phức tạp, tiềm ẩn nhiều nguy cơ về an toàn, an ninh
và lộ trình, xu thế triển khai DNSSEC trên thế giới thì việc triển khai
DNSSEC cho hệ thống máy chủ tên miền (DNS) “.VN” tại Việt
Nam là rất cần thiết. Vì vậy, VNNIC đã xây dựng và trình Bộ trưởng
Bộ TT&TT ban hành Đề án Triển khai tiêu chuẩn DNSSEC cho hệ
thống máy chủ tên miền (DNS) “.VN”. Theo đó, tiêu chuẩn DNSSEC
được triển khai áp dụng thống nhất trên hệ thống DNS quốc gia
“.VN”, hệ thống DNS của các doanh nghiệp cung cấp dịch vụ


20
Internet (ISP), các nhà đăng ký tên miền “.VN”, các đơn vị cung cấp
dịch vụ DNS Hosting và hệ thống DNS (nếu có) của các cơ quan
Đảng, Nhà nước.

Hình 3.15 Lộ trình triển khai DNSSEC tại Việt Nam
1) Giai đoạn chuẩn bị (2015):
Tăng cường nhận thức của cộng đồng Internet về việc ứng dụng
DNSSEC; phổ cập kiến thức cơ bản về DNSSEC cho các doanh
nghiệp cung cấp dịch vụ Internet, các nhà đăng ký tên miền “.VN”;
các cơ quan Đảng, Nhà nước; xây dựng các văn bản hướng dẫn, tiêu
chuẩn về DNSSEC; VNNIC, các doanh nghiệp cung cấp dịch vụ
Internet, các nhà đăng ký tên miền “.VN”, các cơ quan Đảng, Nhà
nước xây dựng kế hoạch, chuẩn bị các điều kiện cần thiết về nhân


21
lực, kỹ thuật, tài chính để triển khai tại cơ quan, tổ chức doanh
nghiệp [5].
2) Giai đoạn khởi động (2016):

Chính thức triển khai tiêu chuẩn DNSSEC trên hệ thống DNS
quốc gia; kết nối DNSSEC với hệ thống DNS ROOT, các hệ thống
DNS quốc tế; các doanh nghiệp cung cấp dịch vụ Internet, các nhà
đăng ký tên miền “.VN”, các cơ quan Đảng, Nhà nước nâng cấp hệ
thống DNS để kết nối thử nghiệm với hệ thống DNS quốc gia theo
tiêu chuẩn DNSSEC. [5]
3) Giai đoạn triển khai (2017):
Hoàn thiện và nâng cấp hệ thống DNS quốc gia, hệ thống quản lý
tên miền quốc gia hoạt động an toàn, tin cậy theo tiêu chuẩn
DNSSEC đáp ứng nhu cầu phát triển của Internet Việt Nam trong các
giai đoạn tiếp theo; các doanh nghiệp cung cấp dịch vụ Internet, các
nhà đăng ký tên miền “.VN”, các cơ quan Đảng, Nhà nước chính
thức triển khai hệ thống DNS theo tiêu chuẩn DNSSEC và cung cấp
dịch vụ sử dụng, truy vấn tên miền “.VN” theo tiêu chuẩn DNSSEC
cho người sử dụng Internet tại Việt Nam. [5]
3.3 Đánh giá hiệu quả của các biện pháp phòng chống tấn công
DNS trong thực tế
Nhờ có công nghệ DNSSEC với cách tạo thêm các bản ghi
mới nhằm chứng thực các nguồn dữ liệu cũng như tính toàn vẹn của
nó cho hệ thống mà hệ thống DNS giờ đây có thể thoải mái mở rộng
và phát triển mà không hề lo lắng các nguồn thông tin dữ liệu có thể
bị đánh cắp hoặc thay đổi làm sai lệch ảnh hưởng đến cả hệ thống.
Những nhược điểm về độ an toàn cũng như tính bảo mật không cao
do thiết kế ban đầu chưa hoàn thiện giờ đây đã có thể được khắc phục
hoàn toàn nhờ có công nghệ DNSSEC. Sự ra đời của công nghệ mới
này đã đáp ứng được những nhu cầu cấp thiết về thông tin định tuyến
và tên miền, đảm bảo khả năng làm việc giữa các máy chủ với nhau
trong hệ thống được an toàn, bảo mật tuyệt đối cũng như tăng cường
khả năng dự phòng những tình huống bất ngờ gây ảnh hưởng xấu tới
hệ thống. Vì vậy trong việc phòng chống tấn công vào hệ thống DNS

thì DNSSEC tỏ ra rất hiệu quả và được nhiều quốc gia sử dụng.


22
Một số ưu điểm của Anycast khi ứng dụng cho hệ thống DNS:
 Các client, server, router không cần các phần mềm đặc biệt.
 Không ảnh hưởng xấu tới hệ thống mạng hiện tại, chỉ cần tận
dụng cơ hở hạ tầng sẵn có.
 Cân bằng tải.
 Tăng độ linh động.
 Giảm độ trễ.
 Cơ chế phân tán, giảm nguy cơ DoS.
Với những ưu điểm trên, các CSP quản lý hệ thống DNS nên sử
dụng Anycast. Cân bằng lưu lượng truy cập Anycast, cũng như
DNSSEC, là thành phần bổ sung cho chiến lược tổng thể đảm bảo an
toàn cho DNS.


23
KẾT LUẬN
Vấn đề an toàn thông tin và bảo mật ngày nay đang được các cơ
quan, nhà bảo mật và đặc biệt là các doanh nghiệp quan tâm hàng
đầu. An toàn dữ liệu, thông tin người dùng, và tài chính của công ty,
mọi vấn đề đều cần được quan tâm. Đối với doanh nghiệp, thì quan
trọng nhất là thông tin cá nhân, tài khoản của người dùng, ví dụ như
ngân hàng chẳng hạn, các thông tin này phải được bảo mật tuyệt đối,
vì thế vấn đề bảo mật đang là một thách thức lớn cho các nhà doanh
nghiệp.
Thông qua kỹ thuật tấn công dịch vụ DNS, chúng ta có thể hiểu
được phần nào nguyên lý, cơ chế tấn công của hacker khi muốn ăn

cắp thông tin tài khoản của người dùng. Với các kỹ thuật như tấn
công đầu độc DNS, ARP hoặc DHCP sẽ giúp cho kẻ tấn công có thể
dễ dàng lấy được thông tin của người dùng khi họ không để ý, hoặc
không cẩn thận khi trao đổi dữ liệu trong môi trường mạng công
cộng. Hơn thế nữa, nếu thông tin cá nhân của người dùng hoặc công
ty bị hacker ăn cắp thì nguy cơ mất dữ liệu hoặc dữ liệu bị truyền ra
ngoài sẽ gây một thất thoát lớn cho công ty, và sẽ làm tổn hại nguồn
tài chính của công ty hoặc doanh nghiệp.
Để khắc phục và ngăn chặn kịp thời các trường hợp bị tấn công
hoặc ăn cắp dữ liệu bởi hacker, thì các doanh nghiệp cần quan tâm và
chú trọng hơn nữa về vấn đề bảo mật. Dùng Firewall cứng hoặc mềm
để ngăn chặn, giảm bớt sự tấn công từ bên ngoài, hoặc cấu hình bảo
mật port cho switch để ngăn chặn sniffer, cấu hình các dịch vụ phát
hiện và chống xâm nhập trên Server để kịp thời phát hiện các sự cố
khi bị hacker tấn công. Ngoài ra, các doanh nghiệp cần backup dữ
liệu của khách hàng để đề phòng trường hợp bị mất dữ liệu.