Bao cao an toan phan mem
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (995.05 KB, 19 trang )
Học viện Cơng nghệ Bưu chính Viễn thơng
Khoa Cơng Nghệ Thơng Tin
AN TỒN PHẦN MỀM
GIẢNG VIÊN HƯỚNG DẪN
NHĨM 4
TS. Hồng Xn Dậu
Vũ Hồng Dương
Tống Đình Hồn
Ngơ Thành Cơng
Nguyễn Thị Hà Trang
Nguyễn Thùy Dương
1
Tìm hiểu về hệ thống DNS
Các dạng tấn cơng và phịng chống
Nội dung
Tổng Quan
Các dạng
tấn cơng
Cơ chế
bảo mật
DEMO
2
II
DNS là gì ?
DNS - viết tắt của cụm từ Domain Name System là hệ
thống phân giải tên miền.
Hiểu một cách ngắn gọn nhất, DNS cơ
bản là một hệ thống chuyển đổi các tên
miền website mà chúng ta đang sử
dụng, ở dạng www.tenmien.com sang
một địa chỉ IP tương ứng với tên
miền đó và ngược lại
3
II
Cơ chế hoạt động của
DNS
4
II
Các dạng tấn công vào DNS
DNS Spoofing
DNS Hijacking
NXDOMAIN Attacks
5
IIII
Các dạng tấn công vào
DNS
DNS Spoofing
DNS cache poisoning
Là một cuộc tấn cơng trong đó các bản ghi DNS đã
thay đổi được sử dụng để chuyển hướng lưu lượng
truy cập trực tuyến đến một trang web lừa đảo
giống với đích dự kiến của nó.
Khi đó, người dùng truy cập đến địa chỉ mong muốn
nhưng sẽ được gửi đến một địa chỉ IP giả mạo, hacker sẽ
đánh cắp thông tin và làm một số việc tiền ẩn rủi ro khác
6
IIII
Các dạng tấn công vào
DNS
DNS Hijacking
Chúng sẽ dụ người dùng cài 1 phần mềm độc
hại nào đó vào máy tính, thơng thường là
Malware, và malware này sẽ có nhiệm vụ
chính là thay đổi DNS của hệ thống máy tính.
Mỗi khi người dùng nhập địa chỉ của bất kỳ
website nào đó, hệ thống sẽ tự động kết nối
tới server DNS giả mạo của hacker
7
IIII
Các dạng tấn công vào
DNS
NXDOMAIN ATTACK
Là một biến thể DDoS khi máy chủ DNS tràn ngập các truy vấn đến các tên
miền không tồn tại, làm ngập bộ nhớ cache của máy chủ tên có thẩm quyền và
dừng hồn tồn các yêu cầu DNS hợp pháp.
8
III
CÁC CƠ CHẾ BẢO MẬT TRÊN
DNS
DNSSEC
DKIM
9
III
III
DNSSEC
DNSSEC tăng cường xác thực trong DNS bằng cách sử
dụng chữ ký số dựa trên mã hóa khóa cơng khai
Bổ sung hai tính năng quan trọng cho giao thức DNS
Xác thực nguồn gốc dữ liệu.
Tính năng bảo vệ toàn vẹn dữ liệu
Bằng cách bổ sung thêm các bản ghi mới:
RRSIG - Chứa chữ ký mật mã
DNSKEY - Chứa khóa ký cơng khai
DS - Chứa hàm băm của bản ghi DNSKEY
NSEC và NSEC3 - Để từ chối rõ ràng sự tồn
tại của bản ghi DNS
CDNSKEY và CDS - Đối với vùng con yêu cầu
cập nhật (các) bản ghi DS trong vùng mẹ.
10
III
III
DNSSEC
Triển khai DNSSEC
example.com
Rrsig(zsk)
DS (Hash value)
Rrsig(rrset)
DNSKEY
Key Signed Key
DNSKEY
Hash value
Zone Signed Key
RRset
Public key
A
A
A
AAAA
MX
Private key
11
.com
DNSKEY
DS
RRsig
Hash value
Rrsig(zsk)
facebook.com
DS (Hash value)
Rrsig(rrset)
DNSKEY
Key Signed Key
DNSKEY
Hash value
Zone Signed Key
RRset
A
A
A
AAAA
MX
Public key
Private key
III
III
DNSSEC
Triển khai DNSSEC
root
DS
RRsig
Hash value
.com
DNSKEY
RRsig
DS
Hash value
III
III
DNSSEC
Truy vấn tên miền
root
DS
RRsig
Hash value
.com
DNSKEY
facebook.com
Resolver
RRset
A
Rrsig(rrset)
RRsig
DS
Hash value
Rrsig(zsk)
DNSKEY
DS (Hash value)
Key Signed
Key
DNSKEY
III
III
DKIM
DKIM (DomainKeys Identified Mail) là một tiêu chuẩn bảo mật email được thiết kế để đảm bảo
các thư không bị thay đổi khi chuyển tiếp giữa máy chủ gửi và máy chủ nhận. Bằng cách sử
dụng mật mã khóa cơng khai để ký email bằng khóa riêng khi rời khỏi máy chủ gửi
III
III
DKIM
DKIM-Signature: Tiêu đề đã đăng ký cho
tin nhắn đã ký DKIM
v: Phiên bản DKIM
a=Thuật tốn được sử dụng để tạo băm cho
khóa riêng tư
d= Miền email đã ký thông báo
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed;
s=20130519032151pm; d=postmarkapp.com;
h=From:Date:Subject:MIME-Version:Content-Type:ContentTransfer-Encoding:To:Message-ID;
i=;
bh=vYFvy46eesUDGJ45hyBTH30JfN4=;
b=iHeFQ+7rCiSQs3DPjR2eUSZSv4i/Kp+sipURfVH7BGf+SxcwOkX
7X8R1RVObMQsFcbIxnrq7Ba2QCf0YZlL9iqJf32V+baDI8IykuDztu
oNUF2Kk0pawZkbSPNHYRtLxV2CTOtc+x4eIeSeYptaiu7g7Gupek
LZ2DE1ODHhuP4I=
h=Các tiêu đề đi kèm với thư khi nó được ký bằng mật mã
c=relaxed/relaxed; Đặt tư thế chuẩn hóa cho miền gửi
i=Danh tính của người ký và thường được cung cấp dưới dạng địa chỉ email.
s=Được sử dụng làm bộ chọn cho khóa DKIM cơng khai để xác minh
bh= Giá trị của băm nội dung được tạo trước khi tiêu đề thư được ký
b =Chữ ký mật mã của tất cả các thơng tin trước đó từ trường DKIM-Signature
III
III
DKIM
Xác thực
Hệ thống thư bắt đầu xác minh DKIM bằng cách đảm bảo số
phiên bản đáp ứng đặc điểm kỹ thuật DKIM, danh tính miền
của người gửi khớp với miền được đặt trong chữ ký và thẻ “h
=” chứa trường tiêu đề Từ.
Khi chữ ký đã được xác thực, máy chủ người nhận sẽ cố gắng
truy xuất khóa cơng khai cho miền gửi. Máy chủ sử dụng thẻ “d
=“ để tra cứu các bản ghi DNS cho miền gửi và thẻ “s =” để chọn
khóa DKIM chính xác
Khóa cơng khai giải mã băm được mã hóa được gửi. Sau đó,
máy chủ thư nhận sẽ tính tốn hàm băm của riêng nó. Nếu hai
kết quả trùng khớp, thơng báo sẽ được thông qua
IV
IV
DEM
O
18
V
V
Kết Thúc
Chúng em xin cảm
ơn
Thầy và Các bạn đã
lắng nghe
19
