Các cuộc tấn công hệ thống tên miền (Domain Name System, viết tắt là DNS) rất phổ biến và mỗi năm, hàng trăm trang web trở thành nạn nhân của các loại tấn công này.
Để bảo vệ mạng chống lại loại hình tấn công này, điều quan trọng là phải hiểu các loại tấn công DNS khác nhau cũng như các phương pháp ngăn chặn tốt nhất.
DNS là gì?
Hệ thống tên miền (Domain Name System, hay DNS) là một hệ thống đặt tên có cấu trúc được các thiết bị internet sử dụng để định vị các tài nguyên trực tuyến. Mỗi trang web trên internet có một địa chỉ IP (Internet Protocol, hay Giao thức Internet) duy nhất, nhưng con người sẽ khó nhớ địa chỉ IP của từng trang web vì chúng là chữ và số.
Có hai thành phần chính tạo nên cơ sở hạ tầng DNS: các máy chủ có thẩm quyền lưu trữ thông tin IP và các máy chủ đệ quy liên quan đến việc tìm kiếm thông tin IP.
Các cuộc tấn công DNS có thể được dùng để chống lại một trong hai thành phần này.
Các loại tấn công DNS
Những kẻ tấn công thường sử dụng nhiều kỹ thuật khác nhau để làm rối loạn chức năng DNS. Sau đây là một số phương pháp phổ biến nhất.
1. DNS Flood (Lũ DNS)
DNS flood sử dụng các vectơ tấn công từ chối dịch vụ phân tán (Distributed Denial of Service, hay DDoS) để nhắm mục tiêu đến các máy chủ Hệ thống tên miền và được dùng để làm gián đoạn quyền truy cập vào một số miền nhất định.
Những kẻ tấn công sử dụng DNS flood để làm ngập các máy chủ đệ quy DNS với hàng loạt yêu cầu giả, ngăn chúng xử lý một cách đầy đủ các truy vấn thực.
Chúng thường thu hút lưu lượng truy cập từ vô số vị trí, thiết bị và IP, gây khó khăn cho việc phân biệt giữa lưu lượng truy cập bình thường và ‘được tạo’.
Các botnet kiểm soát hàng nghìn IoT và máy tính bị tấn công thường được dùng cho kế hoạch này và địa chỉ IP nguồn của chúng được giả mạo bằng cách sử dụng các tập lệnh.
Biện pháp phòng tránh
Có rất nhiều cách để ngăn chặn các cuộc tấn công DNS Flood và chúng bao gồm việc cài đặt các giao thức xác minh IP. Hệ thống phát hiện và ngăn chặn sự bất thường sử dụng học máy là tốt nhất cho việc này.
Nếu sự cố đặc biệt nghiêm trọng và không có các biện pháp ngăn chặn như vậy, thì việc đóng máy chủ DNS đệ quy sẽ giảm thiểu sự cố bằng cách ngăn chặn nhiều chuyển tiếp (relay) hơn.
Giới hạn chỉ nhận các yêu cầu từ những máy khách được ủy quyền là một cách khác để giải quyết vấn đề. Việc có cấu hình Giới hạn tốc độ phản hồi (Response Rate Limiting, hay RRL) thấp trên các máy chủ có thẩm quyền cũng là một phương pháp hiệu quả.
2. DNS Cache Poisoning
DNS Cache Poisoning (tạm dịch là “đầu độc” bộ đệm DNS) liên quan đến việc các thực thể độc hại thao túng máy chủ DNS để chuyển hướng lưu lượng truy cập khỏi các máy chủ hợp pháp. Về cơ bản, nó là một mưu đồ server-to-server (từ máy chủ đến máy chủ).
Ví dụ, kẻ tấn công có thể thay đổi thông tin trên máy chủ DNS của Instagram để nó chỉ đến IP của Twitter. Trong hầu hết các trường hợp, sự chuyển hướng này dẫn khách truy cập đến các trang web do tin tặc kiểm soát nơi các cuộc tấn công giả mạo (phishing attack), XSS và các cuộc tấn công lỗ hổng bảo mật khác diễn ra
Trong một số trường hợp, các cuộc tấn công có thể được mở rộng bằng cách nhắm mục tiêu vào Nhà cung cấp dịch vụ Internet, đặc biệt nếu một vài trong số đó dựa vào một số máy chủ nhất định để lấy lại dữ liệu DNS. Khi các máy chủ chính bị xâm phạm, quá trình lây nhiễm sẽ trở nên có hệ thống và có thể ảnh hưởng đến các bộ định tuyến của những khách hàng được kết nối với mạng.
Biện pháp phòng tránh
Để ngăn chặn các kiểu tấn công này, các máy chủ DNS phải được cấu hình để ít phụ thuộc vào các máy chủ bên ngoài mạng hơn. Điều này ngăn máy chủ DNS của kẻ tấn công giao tiếp với máy chủ “nạn nhân”.
Cài đặt phiên bản BIND mới nhất trên máy chủ cũng có ích, do các bản phát hành được nâng cấp có công nghệ giao dịch được bảo mật bằng mật mã và có thể ngẫu nhiên hóa cổng giúp giảm thiểu các cuộc tấn công.
Cuối cùng, các cuộc tấn công có thể được ngăn chặn bằng cách hạn chế các phản hồi DNS để chỉ cung cấp một số thông tin cụ thể về miền được truy vấn và bỏ qua yêu cầu ANY. Việc trả lời yêu cầu ANY buộc DNS resolver (tạm dịch là hệ thống phân giải tên miền) tận dụng thêm thông tin về miền được yêu cầu, bao gồm record (bản ghi) MX, record A, v.v. Thông tin bổ sung này sử dụng nhiều tài nguyên hệ thống hơn và khuếch đại quy mô của cuộc tấn công.
3. Tấn công Distributed Reflection Denial of Service (DRDoS)
Các cuộc tấn công Distributed Reflection Denial of Service (từ chối dịch vụ phản xạ phân tán, hayDRDoS) áp đảo cơ sở hạ tầng DNS bằng cách gửi một lượng lớn yêu cầu Giao thức gói dữ liệu người dùng (User Datagram Protocol, hay UDP).
Điểm cuối bị xâm phạm thường được sử dụng để làm điều này. Các gói UDP hoạt động trên các IP để gửi yêu cầu tới DNS resolver. Chiến lược này được ưa thích vì giao thức truyền thông UDP không có yêu cầu xác nhận gửi và các yêu cầu cũng có thể được sao chép. Điều này giúp dễ làm tắc nghẽn DNS.
Trong trường hợp này, các DNS resolver được nhắm mục tiêu cố gắng phản hồi các yêu cầu giả mạo nhưng buộc phải đưa ra một lượng lớn phản hồi lỗi và cuối cùng là bị quá tải.
Biện pháp phòng tránh
Các cuộc tấn công DRDoS là một dạng tấn công DDoS và để ngăn chặn chúng, nên lọc mạng xâm nhập để ngăn giả mạo (spoofing). Vì các truy vấn đi qua DNS resolver nên việc định cấu hình chúng để chỉ giải quyết các yêu cầu từ một số địa chỉ IP nhất định sẽ giúp giảm thiểu sự cố.
Điều này thường kéo theo việc vô hiệu hóa đệ quy mở, nhờ đó làm giảm lỗ hổng tấn công DNS. Đệ quy mở khiến máy chủ chấp nhận các yêu cầu DNS từ bất kỳ địa chỉ IP nào, mở ra cơ sở hạ tầng cho những kẻ tấn công.
Thiết lập Giới hạn tỷ lệ phản hồi (RRL) cũng sẽ làm giảm tỷ lệ xảy ra DRDoS. Điều này có thể đạt được bằng cách thiết lập một mức trần giới hạn tỷ lệ, giữ cho máy chủ có thẩm quyền không phải xử lý quá nhiều truy vấn.
4. Tấn công NXDOMAIN
Trong một cuộc tấn công NXDOMAIN DNS, máy chủ được nhắm mục tiêu bị ngập bởi các yêu cầu record không hợp lệ. Máy chủ DNS Proxy (resolver) thường được nhắm mục tiêu trong trường hợp này. Nhiệm vụ của chúng là truy vấn các máy chủ có thẩm quyền DNS để tìm kiếm thông tin tên miền.
Các yêu cầu không hợp lệ tương tác với Proxy DNS và các máy chủ có thẩm quyền, đồng thời kích hoạt phản hồi lỗi NXDOMAIN và gây ra sự cố độ trễ mạng. Một ‘cơn lũ’ các yêu cầu cuối cùng gây ra các vấn đề về hiệu suất với hệ thống DNS.
Biện pháp phòng tránh
Các cuộc tấn công DNS của NXDOMAIN có thể được ngăn chặn bằng cách cho phép máy chủ giữ lại nhiều thông tin bộ đệm về các yêu cầu hợp lệ hơn theo thời gian. Cấu hình này đảm bảo rằng ngay cả trong một cuộc tấn công, các yêu cầu hợp lệ vẫn có thể được thực hiện mà không phải trải qua bộ nhớ đệm bổ sung. Như vậy, thông tin được yêu cầu vẫn có thể được lấy dễ dàng.
Các miền và máy chủ bị nghi ngờ là được sử dụng trong cuộc tấn công cũng có thể bị chặn, do đó giải phóng tài nguyên.
5. Tấn công miền ảo
Khi thực hiện một cuộc tấn công miền ảo ( Phantom Domain), kẻ tấn công bắt đầu bằng cách định cấu hình một tập hợp các miền sao cho chúng không phản hồi hoặc thực hiện rất chậm sau khi nhận được truy vấn DNS. Trong trường hợp này, máy chủ đệ quy được nhắm mục tiêu.
Chúng nhận được một khối lượng lớn các yêu cầu lặp đi lặp lại truy vấn các miền ảo. Việc tạm dừng phản hồi kéo dài dẫn đến tồn đọng các yêu cầu chưa được giải quyết, gây tắc nghẽn mạng và chiếm các tài nguyên máy chủ có giá trị. Cuối cùng, cuộc tấn công ngăn các yêu cầu DNS hợp pháp được xử lý và ngăn người dùng truy cập vào các miền bị nhắm đến.
Biện pháp phòng tránh
Để giảm thiểu các cuộc tấn công miền ảo, việc giới hạn số lượng yêu cầu đệ quy liên tiếp trên mỗi máy chủ sẽ hữu ích. Chúng có thể được giới hạn hơn nữa theo vùng.
Việc kích hoạt holddown (tạm dịch là tính năng giữ lại) trên máy chủ DNS đối với các yêu cầu gửi đến các máy chủ không phản hồi cũng sẽ giúp hệ thống không bị quá tải. Tính năng này giới hạn số lần thử liên tiếp được thực hiện đối với các máy chủ không phản hồi sau khi đạt đến một ngưỡng nhất định.
Tăng số lượng máy chủ đệ quy cũng là một cách hiệu quả
Giữ an toàn khỏi các cuộc tấn công DNS
Mỗi năm, những kẻ tấn công DNS đưa ra nhiều thủ thuật để đánh sập cơ sở hạ tầng trực tuyến quan trọng và gây thiệt hại lớn.
Đối với các cá nhân và doanh nghiệp phụ thuộc nhiều vào các miền online, việc tuân theo các nguyên tắc thực hành tốt nhất và cài đặt các công nghệ ngăn chặn DNS mới nhất sẽ giúp ngăn chặn các cuộc tấn công này một cách lâu dài.
Vân Nguyễn
Dịch từ: https://www.makeuseof.com/what-are-dns-attacks-and-how-do-you-prevent-them/
Bình luận (0
)