Phòng chống tấn công hệ thống tên miền DNS

Hệ thống tên miền (DNS), một trong những dịch vụ cơ sở hạ tầng nền tảng của Internet, đã trở thành mục tiêu phổ biến cho các cuộc tấn công Internet. Tin tặc đang lợi dụng sự tin tưởng vốn có mà các ứng dụng đặt trong DNS để thực hiện các cuộc tấn công chuyển hướng lưu lượng truy cập hợp pháp để tấn công trang web hoặc thực hiện các cuộc tấn công từ chối dịch vụ .

Ứng dụng dựa vào DNS hoạt động đúng cách để thực hiện các chức năng của chúng khi cần. Các dịch vụ cơ sở hạ tầng, như DNS, thường không nhìn thấy được đối với người dùng cuối; chúng phải đáng tin cậy và có sẵn cao. Kết quả là, tuy nhiên, phát hiện tấn công trở nên khó khăn hơn. Ví dụ: người dùng cuối cố gắng truy cập www.cnn.com sẽ không xác minh ánh xạ địa chỉ IP để xác thực đích, do sự tin tưởng vốn có của hệ điều hành và cơ sở hạ tầng Internet.

Để hiểu các khái niệm chính về phòng chống tấn công DNS ,chúng ta cần hiểu về cơ bản về các thành phần DNS: Có bốn thành phần chính liên quan đến hoạt động DNS:
- trình phân giải sơ khai
- trình phân giải đệ quy
- máy chủ định danh có thẩm quyền
- máy chủ định danh bộ nhớ đệm.

máy chủ bộ nhớ đệm đã thu hút sự chú ý nhất và thường xuyên liên quan đến các cuộc tấn công DNS  nhất

2. Các cuộc tấn công DNS, các thành phần, truy vấn và phản hồi 

Trình phân giải cú pháp DNS là trình phân giải thường được tìm thấy trên các máy khách. Phần mềm này tạo yêu cầu và gửi nó đến máy chủ tên bộ nhớ đệm (CNS) trong tên miền của người dùng. Khi yêu cầu đến CNS, kiểm tra được thực hiện để xác định xem bản ghi đã tồn tại trong bộ nhớ cache hay chưa. Nếu hồ sơ tồn tại, phản hồi sẽ  được đưa ra; nếu không trình phân giải đệ quy yêu cầu độ phân giải và đệ quy thông qua phân cấp DNS, để tìm kiếm câu trả lời. Mỗi đường dẫn dọc theo hệ thống phân cấp đại diện cho một cơ hội để yêu cầu hoặc sửa đổi phản hồi.

3. Các loại tấn công DNS

Truy vấn có thể bị chặn từ trình phân giải gốc tới máy chủ định danh dẫn đến chuyển hướng truy vấn.
Các truy vấn từ trình phân giải đệ quy có thể bị chặn và chuyển hướng. Phản hồi được trả về từ máy chủ định danh có thẩm quyền có thể được sửa đổi trước khi truy cập máy chủ định danh bộ nhớ cache.

-Tấn công từ chối dịch vụ (DoS) có thể được cân bằng với máy chủ định danh có thẩm quyền, một cuộc tấn công DoS đúng thời điểm chống lại một máy chủ định danh có thẩm quyền, cùng với việc đánh dấu vùng có thể dẫn đến một miền hợp pháp bị thay thế bằng một miền giả mạo.

-Dữ liệu chuyển vùng có thể bị hỏng hoặc tệ hơn, kênh TCP được sử dụng để chuyển vùng có thể được sử dụng để mở một đường hầm giữa hai máy chủ cho các giao tiếp TCP chung.

-Ngăn chặn tấn công DNS: Có một vài công cụ và kỹ thuật có thể được sử dụng để giảm thiểu phần lớn các cuộc tấn công DNS này. Ba công cụ cung cấp khả năng phòng thủ mạnh nhất là DNS Security Extensions (DNSSEC), các phương pháp cấu hình tốt nhất và theo dõi lưu lượng DNS.

DNSSEC cung cấp sự bảo vệ tốt nhất chống lại việc sửa đổi dữ liệu. DNSSEC hoạt động thông qua việc sử dụng chữ ký số. Một toán tử vùng ký điện tử vùng, vì vậy trong khi dữ liệu vùng là công khai và dễ xem, chữ ký kỹ thuật số bảo vệ dữ liệu khỏi bị sửa đổi khi chuyển tiếp. Điều quan trọng cần nhớ là chỉ cần ký một vùng là không đủ. Một vùng đã đăng ký áp dụng cho dữ liệu có thẩm quyền cho vùng đó, nhưng không bảo vệ chống lại các sửa đổi đối với dữ liệu được lưu trong bộ nhớ cache. Trình phân giải đệ quy chấp nhận phản hồi DNS từ các máy chủ có thẩm quyền khác cũng phải được DNSSEC nhận biết.

Trong khi DNSSEC cung cấp sự bảo vệ đã được chứng minh trước các cuộc tấn công sửa đổi dữ liệu, điều quan trọng cần nhớ là DNSSEC không làm gì để ngăn chặn các cuộc tấn công DoS. Ngoài ra, quản lý khóa DNSSEC yêu cầu lập kế hoạch cẩn thận và không dành cho những người yếu tim. Không có cơ chế trao đổi khóa tự động cho khóa DNSSEC; tuy nhiên, cha mẹ có thể tạo ra một chuỗi niềm tin cho tất cả con cái của họ. Cũng đáng chú ý là một thực tế là vùng gốc đã được ký kết và làm việc trong hơn một năm. Chìa khóa được sử dụng để ký tên vào khu vực này được gọi là khóa ký vùng (ZSK) và quản trị viên khu vực ký ZSK với khóa ký chìa khóa (KSK). KSK cung cấp bảo đảm cuối cùng về tính xác thực và cần được lưu trữ cẩn thận. Điều này đặc biệt có liên quan khi xem xét các giải pháp đám mây IaaS.

Khu vực giảm thiểu thứ hai liên quan đến việc tách chức năng thông qua cấu hình. Tối thiểu, dịch vụ lưu trữ phải được tách riêng khỏi phản hồi có thẩm quyền. Điều này sẽ giảm thiểu tác động của các cuộc tấn công DoS. Một cuộc tấn công DoS nhằm vào máy chủ tên có thẩm quyền sẽ cho phép máy chủ lưu trữ bộ nhớ đệm tiếp tục hoạt động ngay cả khi máy chủ định danh không có sẵn.

Vùng giảm thiểu cuối cùng liên quan đến việc giám sát dữ liệu DNS. DNS hoạt động trên cổng 53 cả UDP và TCP. Các truy vấn và phản hồi đơn giản là lưu lượng UDP. Tải trọng lớn hơn thường được liên kết với DNSSEC hoặc chuyển vùng. Theo dõi các đích DNS cung cấp một cơ hội để phát hiện các mẫu sử dụng mới. Trong một số trường hợp, giám sát DNS cung cấp đầu mối đầu tiên trong sự xuất hiện của một cuộc tấn công mới, khi các máy chủ nội bộ bắt đầu liên lạc với một máy chủ bên ngoài mới. Ngoài ra, việc giám sát lưu lượng DNS TCP có thể phát hiện hành vi đường hầm trái phép. Lưu lượng DNS TCP nên được giới hạn lưu lượng DNSSEC và trao đổi vùng phụ. Lưu lượng truy cập DNS TCP thường xuyên có thể là một dấu hiệu của một đường hầm và cần được điều tra.

DNS là một mục tiêu tấn công hấp dẫn bởi vì nó là không thể thiếu đối với hoạt động của các ứng dụng và dịch vụ được nối mạng với các điểm yếu thường bị ẩn hoặc nằm ngoài tầm kiểm soát của chủ sở hữu ứng dụng. Tấn công vào phạm vi dịch vụ DNS từ sửa đổi dữ liệu sang DoS và bao gồm các hành vi khác như chuyển hướng yêu cầu và hành vi đường hầm. Các cuộc tấn công sửa đổi dữ liệu có thể được giảm nhẹ thông qua việc triển khai DNSSEC; tuy nhiên DNSSEC có những hạn chế và phải được bổ sung với việc giám sát lưu lượng dữ liệu và cấu hình DNS cẩn thận.

>>> Một số câu hỏi về tên miền quốc tế