Report LAB 4
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (178.07 KB, 5 trang )
Report LAB 4
Mỗi khi người dùng truy cập tài nguyên mạng bằng tên
miền hoặc host name (tên máy) ) ví dụ như truy cập vào
trang web bằng trình duyệt web, cái
tên truy cập đó sẽ được phân giải thành địa chỉ IP, nếu tên
miền và địa chỉ IP này được lưu cache lại trong bộ nhớ
đẹm thì máy tính người dùng không cần thiết phải liên hệ
với máy DNS server liên tục để phân giải tên mà nó sẽ sử
dụng dữ liệu được lưu này để trả ra kết quả cho người
dùng. Nếu tên miền này chưa có trong cache trong bộ nhớ
đệm, client sẽ liên hệ với DNS server đã được cấu hình ở
phần khai báo địa chỉ IP của nó, nếu server này ở trạng
thái sẵn sàng và nó khơng thể xác định được địa chỉ, client
sẽ không hỏi thêm một server nào khác.
Truy vấn đệ quy (recursive query):
Khi một DNS client truy vấn một DNS server, nó thực hiện
một truy vấn đệ quy (recursive query). Trong khi có các
yêu cầu từ các host, DNS server có thể trả lời các yêu cầu
dữ liệu này hoặc trả lời tên miền khơng tồn tại. DNS server
cũng có thể thực hiện các truy vấn đệ quy đến các máy
chủ DNS khác nếu nó được cấu hình chuyển tiếp u cầu
đến DNS server khác khi nó khơng có câu trả lời.
hi DNS server nhận được yêu cầu, trước tiên nó sẽ kiểm
tra có cache của mình xem có dữ liệu của u câu này hay
khơng. Sau đó nó kiểm tra để xem nó có thẩm quyền hay
khơng đối với u cầu domain. Nếu có biết câu trả lời và
đủ thẩm quyền, nó sẽ hồi đáp với câu trả lời.
Truy vấn lặp đi lặp lại (iterative query):
Nếu DNS server không biết câu trả lời và nó khơng được
cấu hình chuyển tiếp yêu cầu đến một DNS server khác thì
lúc này nó sẽ đóng vai trị là client DNS server và thay
client thực hiện truy vấn, client DNS server sẽ sử dụng cơ
chế phân cấp của DNS để tìm câu trả lời chính xác. Thay vì
thực hiện truy vấn đệ quy, client DNS server sẽ thực hiện
truy vấn lặp đi lặp lại (iterative query), với truy vấn này
sẽ trả lại câu trả lời tốt nhất hiện nay nếu client DNS
server khơng biết câu trả lời tốt nhất. Ví dụ như, khi user
gõ www.uit.edu.vn vào trình duyệt, client DNS server
khơng có câu trả lời, client DNS server sẽ liên hệ với một
root DNS server (.) để biết được địa chỉ của máy chủ tên
miền vn. Sau khi nhận kết quả từ root DNS server (.),
Client DNS server sau đó tiếp tục liên hệ với máy chủ tên
miền .edu.vn để lấy thơng tin máy chủ tên
của uit.edu.vn. Sau khi có thơng tin từ uit.edu.vn,
Client DNS server tiếp tục liên hệ với máy chủ tên miền
của uit.edu.vn để lấy địa chỉ IP của www.uit.edu.vn. Và
sau cùng sau khi có được thơng tin
của www.uit.edu.vn, Client DNS server trả lời cho client
với địa chỉ IP đã phân giải. Ngồi ra, nó cũng thêm địa chỉ
này vào cache của nó phục vụ cho các truy vấn sau này.
Trong một vài trường hợp, client DNS server khơng biết
câu trả lời và nó khơng thể tìm thấy câu trả lời, client DNS
server trả lời cho client rằng nó khơng thể tìm thấy hoặc là
truy vấn domain khơng tồn tại.
Mơ Hình: Trên VMware cài 3 máy ảo:
1 máy Ubuntu server: 192.168.0.10/24
1 máy Ubuntu user : 192.168.0.100/24
1 máy Kali Attack : 192.168.0.3/24
Khi không sử dụng netwox 105:
Địa chỉ IP trả về tại máy user sẽ là địa chỉ IP của
ww.example.com do đã được cài đặt và lưu trong database
của server.
Khi sử dụng netwox 105
Ở đây ta sử dụng Netwox với các parameters truyền vào
lần lượt
“www.example.com” - Sniff các gói DNS Response với tên
miền là www.example.com sau đó gửi lại DNS Reply với IP
của DNS Server là 192.168.0.10 và địa chỉ IP của
www.example.com là 192.168.0.3
Ở video demo em có thêm trường Filter để lọc các gói tin
có Source 192.168.0.100, mặt khác vì các máy ảo cùng
nằm trên một mạng nên gói tin DNS reply của DNS Server
sẽ gửi về nhanh hơn so với máy Attacker.
Trên thực tế em đã khảo sát cho phân giải tên miền >30
lần nhưng vẫn không thành công. Do đó trên máy DNS
Server em đã thực hiện Update && Upgarde để làm chậm
tốc độ của Server.
Trên máy Client thực hiện lệnh ping liên tục. Đến lần thứ
23 thì thành cơng.
- Vì cách thức tấn cơng trên chỉ sử dụng được trong
mạng nội bộ nên cần phải kiểm soát mạng nội bộ một
cách chặt chẽ, không để cho “attacker” có thể tấn cơng từ
bên trong
- Sử dụng DNSSEC là một công cụ để ngăn chặn vào bảo
vệ DNSserver.
Task 2 :
Tình huống :
Sử dụng 3 máy ảo Ubuntu, một máy attacker, một máy
client và một máy server
Ban đầu khi sử dụng Dig example.org trên máy User sẽ ra
địa chỉ IP thật của nó.
Trên máy attacker tiến hành sử dụng Netwox để spoof gói
tin DNS query của DNS server ( để trường filter là ‘src host
192.168.0.7’ là IP của server )
Sau đó sử dụng lệnh dig lại trên máy user thì IP đã chuyển
về 1.2.3.4
Vào máy attacker tắt netwox quay lại máy user tiến hành
dig lại vẫn được IP là 1.2.3.4 do lúc này địa chỉ này đã lưu
trong cache
5. Nếu không thực hiện thiếp lập spoofig với giá trị raw
thì gói tin netwox phải gửi gói ARP trước để giả mạo
địa chỉ MAC của source và destination do đó sẽ mất
thời gian hơn, làm việc gửi gói tin response chậm trễ
hơn. Cịn khi sử dụng với giá trị raw thì sẽ khơng có
giá trị MAC do đó sẽ khiến thời gian spoof nhanh hơn
tăng tỉ lệ thành cơng.
6. Video Demo Task2.6
Tấn cơng Kaminsky
Tình huống : Sử dụng 3 máy User, Client và Sever
Tương tư như câu 6
Thực hiện viết chương trình Python trên máy Attacker để
tạo DNS Query lên DNS Server, Server sẽ đi hỏi sau đó
trên máy Attacker sẽ Sniff lại gói tin Query do Sever gửi đi
và Spoof lại.
Ở đây sử dụng trong ngữ cảnh Attacker không thể vào
được máy user mà phải gửi DNS Query trước, sau đó
Cache Poison vào DNS Server từ đó máy User sau đó sẽ
được trả về địa chỉ IP đã được giả mạo do user đã lưu
trong cache
