Giới thiệu về DNS
lượt xem 125
download
1. Giới thiệu về DNS : - Mỗi máy tính, thiết bị mạng tham gia vào mạng Internetđều giao tiếp với nhau bằng địa chỉ IP (Internet Protocol) . Để thuận tiện cho việc sử dụng và dễ nhớ ta dùng tên (domain name) để xác định thiết bị đó. Hệ thống tên miền (Domain Name System) được sử dụng để ánh xạ tên miền thành địa chỉ IP. Vì vậy, khi muốn liên hệ tới các máy, chúng chỉ cần sử dụng chuỗi ký tự dễ nhớ (domain name) như: www.microsoft.com, www.ibm.com..., thay vì sử dụng địa chỉ IP...
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Giới thiệu về DNS
- 1. Giới thiệu về DNS : - Mỗi máy tính, thiết bị mạng tham gia vào mạng Internetđều giao tiếp với nhau bằng địa chỉ IP (Internet Protocol) . Để thuận tiện cho việc sử dụng và dễ nhớ ta dùng tên (domain name) để xác định thiết bị đó. Hệ thống tên miền (Domain Name System) được sử dụng để ánh xạ tên miền thành địa chỉ IP. Vì vậy, khi muốn liên hệ tới các máy, chúng chỉ cần sử dụng chuỗi ký tự dễ nhớ (domain name) như: www.microsoft.com, www.ibm.com..., thay vì sử dụng địa chỉ IP là một dãy số dài khó nhớ. - Ban đầu, khi DNS chưa ra đời, người ta sử dụng một file tên Host.txt, file này sẽ lưu thông tin về tên host và địa chỉ của host của tất cả các máy trong mạng, file này được lưu ở tất cả các máy để chúng có thể truy xuất đến máy khác trong mạng. Khi đó, nếu có bất kỳ sự thay đổi về tên host, địa chỉ IP của host thì ta phải cập nhật lại toàn bộ các file Host.txt trên tất cả các máy. Do vậy đến năm 1984 Paul Mockpetris thuộc viện USC’s Information Sciences Institute phát triển một hệ thống quản lý tên miền mới lấy tên là Hệ thống tên miền – Domain Name . - Hệ thống tên miền này cũng sữ dụng một file tên host.txt, lưu thông tịn của tất cả các máy trong mạng, nhưng chỉ được đặt trên máy làm máy chủ tên miền (DNS). Khi đó, các Client trong mạng muốn truy xuất đến các Client khác, thì nó chỉ việc hỏi DNS. - Như vậy, mục đích của DNS là : + Phân giải địa tên máy thành địa chỉ IP và ngược lại. + Phân giải tên domain. - DNS là Domain Name System, dns là Domain Name Server chạy Domain Name Service. 2. DNS namespace : - Hệ thống tên trong DNS được sắp xếp theo mô hình phân cấp và cấu trúc cây logic được gọi là DNS namespace. 3. Cấu trúc của hệ thống tên miền : - Hiện nay hệ thống tên miền được phân thành nhiêu cấp : - Gốc (Domain root) : Nó là đỉnh của nhánh cây của tên miền. Nó có thể biểu diễn đơn giản chỉ là dấu chấm “.” - Tên miền cấp một (Top-level-domain) : gồm vài kí tự xác định một nước, khu vưc hoặc
- tổ chức. Nó đươc thể hiện là “.com” , “.edu” …. - Tên miền cấp hai (Second-level-domain): Nó rất đa dạng rất đa dạng có thể là tên một công ty, một tổ chức hay một cá nhân. - Tên miền cấp nhỏ hơn (Subdomain) : Chia thêm ra của tên miền cấp hai trở xuống thường được sử dụng như chi nhánh, phòng ban của một cơ quan hay chủ đề nào đó. 4. Phân loại tên miền : - Com : Tên miền này được dùng cho các tổ chức thương mại. - Edu : Tên miền này được dùng cho các cơ quan giáo dục, trường học. - Net : Tên miền này được dùng cho các tổ chức mạng lớn. - Gov : Tên miền này được dùng cho các tổ chức chính phủ. - Org : Tên miền này được dùng cho các tổ chức khác. - Int : Tên miền này dùng cho các tổ chức quốc tế. - Info : Tên miền này dùng cho việc phục vụ thông tin. - Arpa : Tên miền ngược. - Mil : Tên miền dành cho các tổ chức quân sự, quốc phòng. - Mã các nước trên thế giới tham gia vào mạng internet, các quốc gia này được qui định bằng hai chữ cái theo tiêu chuẩn ISO-3166 .Ví dụ : Việt Nam là .vn, Singapo là sg…. 4. DNS Server : - Là một máy tính có nhiệm vụ làDNS Server, chạy dịch vụDNS service. - DNS Server là một cơ sở dữ liệu chứa các thông tin về vị trí của các DNS domain và phân giải các truy vấn xuất phát từ các Client. - DNS Server có thể cung cấp các thông tin do Client yêu cầu, và chuyển đến một DNS Server khác để nhờ phân giải hộ trong trường hợp nó không thể trả lời được các truy vấn về những tên miền không thuộc quyền quản lý và cũng luôn sẵn sàng trả lời các máy chủ khác về các tên miền mà nó quản lý. DNS Server lưu thông tin của Zone, truy vấn và trả kết quả cho DNS Client.
- - Máy chủ quản lý DNS cấp cao nhấtlà Root Server do tổ chức ICANN quản lý: + Là Server quản lý toàn bộ cấu trúc của hệ thống tên miền + Root Server không chứa dữ liệu thông tin về cấu trúc hệ thống DNS mà nó chỉ chuyển quyền (delegate) quản lý xuống cho các Server cấp thấp hơn và do đó Root Server có khả năng định đường đến của một domain tại bất kì đâu trên mạng - Phân loại DNS Server : 4A. Primary Server : - Được tạo khi ta add một Primary Zone mới thông qua New Zone Wizard. - Thông tin về tên miền do nó quản lý được lưu trữ tại đây và sau đó có thể được chuyển sang cho các Secondary Server. - Các tên miền do Primary Server quản lý thì được tạo và sửa đổi tai Primary Server và được cập nhật đến các Secondary Server. 4B. Secondary Server : - DNS được khuyến nghị nên sử dụng ít nhất là hai DNS Server để lưu cho mỗi một Zone. Primary DNS Server quản lý các Zone và Secondary Server sử dụng để lưu trữ dự phòng cho Primary Server. Secondary DNS Server được khuyến nghị dùng nhưng không nhất thiết phải có. - Secondary Server được phép quản lý domain nhưng dữ liệu về tên miền (domain), nhưng Secondary Server không tạo ra các bản ghi về tên miền (domain) mà nó lấy về từ Primary Server. - Khi lượng truy vấn Zone tăng cao tại Primary Server thì nó sẽ chuyển bớt tải sang cho Secondary Server .Hoặc khi Primary Server gặp sự cố không hoạt động được thì Secondary Server sẽ hoạt động thay thế cho đến khi Primary Server hoạt động trở lại. - Primary Server thường xuyên thay đổi hoặc thêm vào các Zone mới. Nên DNS Server sử dụng cơ chế cho phép Secondary lấy thông tin từ Primary Server và lưu trữ nó. Có hai giải pháp lấy thông tin về các Zone mới là lấy toàn bộ (full) hoặc chỉ lấy phần thay đổi (incremental). 4C. Caching-only Server : - Tất cả các DNS Server đều có khả năng lưu trữ dữ liệu trên bộ nhớ cache của máy để trả lời truy vấn một cách nhanh chóng. Nhưng hê thống DNS còn có một loại Caching- only Server.
- - Loại này chỉ sử dụng cho việc truy vấn, lưu giữ câu trả lời dựa trên thông tin có trên cache của máy và cho kết quả truy vấn. Chúng không hề quản lý một domain nào và thông tin mà nó chỉ giới hạn những gì được lưu trên cache của Server. - Lúc ban đầu khi Server bắt đầu chạy thì nó không lưu thông tin nào trong cache. Thông tin sẽ được cập nhật theo thời gian khi các Client Server truy vấn dịch vụ DNS. Nếu sử dụng kết nối mạng WAN tốc độ thấp thì việc sử dụng caching-only DNS Server là giải pháp hữu hiệu cho phép giảm lưu lượng thông tin truy vấn trên đường truyền. - Caching-only có khả năng trả lời các câu truy vấn đến Client. Nhưng không chứa Zone nào và cũng không có quyền quản lý bất kì domain nào. Nó sử dụng bộ cache của mình để lưu các truy vấn của DNS của Client. Thông tin sẽ được lưu trong cache để trả lời các truy vấn đến Client. 4D. Stub Server : - Là DNS Server chỉ chứa danh sách các DNS Server đã được authoritative từ Primary DNS - Sử dụng stub có thể tăng tốc độ phân giải tên vàdễ quản lý 5. DNS Zone : - DNS Zone là tập hợp các ánh xạ từ host đến địa chỉ IP và từ IP đến host của một phần liên tục trong một nhánh của domain.. - Thông tin của DNS Zones là những record gồm tên Host và địa chỉ IP được lưu trong DNS Server, DNS Server quản lý và trả lời những yêu cầu từ Client liên quan đến DNS Zones này. - Hệ thống tên miền (DNS) cho phép phân chia tên miền để quản lý và nó chia hệ thống tên miền thành Zone và trong Zone quản lý tên miền được phân chia đó.Các Zone chứa thông tin vê miền cấp thấp hơn, có khả năng chia thành các Zone cấp thấp hơn và phân quyền cho các DNS Server khác quản lý. - Zone file : Lưu thông tin của Zone, có thể ở dạng text hoặc trong Active Dicrectory. - Có 2 loại DNS Zone : Standard Primary Zone và Active Directory Integrated Zones. 5A. Standard Primary Zone : - Được sử dụng trong các single domain, không có Active Dicrectory . - Tất cả những thay đổi trong Zone sẽ không ảnh hưởng đến các Zone khác.Tuy nhiên nếu ta tạo thêm một Zone (Secondary Zone), thì Zone này sẽ bị ảnh hưởng từ Primary Zone. Secondary Zone sẽ lấy thông tin từ Primary Zone.
- - Quá trình chuyển thông Primary Zone đến Secondary Zone được gọi là Zone Transfer. Sau một khoảng thời gian nhất định, Secondary Zone sẽ cập nhật các records từ Primary Zone, quá trình này được gọi là synchronized ( đồng bộ hóa). - Khi Primary và Secondary Zones được tạo, các tập tin về Zone sẽ được lưu trên ổ đĩa cứng C:\Windows\System32\Dns. 5B. Active Directory Integrated Zones : - Mặc định sẽ được tạo khi máy tính chạy DNS Server được nâng cấp thành Domain Contronller. Active Directory Integrated Zones thực chất là Zone được nâng cấp lên từ Standard Primary Zone khi lênDomain Controller - DNS Zones được lưu như một đối tượng trong cơ sở dữ liệu của Active Directory. - Thông tin về DNS Zones đều chứa trên tất cả Domain Contronller. Cho phép việc cập nhật tự động cơ sở dữ liệu DNS Zones bảo mật(secureupdates). 7. Resource Records : - Là hệ thống cơ sở dữ liệu của DNS, được sử dụng để phục vụ cho quá trình trả lời các truy vấn từ DNS Client. Record Type Mục đích A Host – Phân giải tên máy thành địa chỉ IP (IPv4) MX Mail exchange – Chỉ đến mail Server trong domain. CNAME (Alias) Canonical name – Cho phép một host có thể có nhiều tên. NS Name Server – Chứa địa chỉ IP của DNS Server cùng với các thông tin về domain đó. SOA Start of Authority – Bao gồm các thông tin về domain trên DNS Server. SRV Service – Được sử dụng bởi Active Directory để lưu thông tin về vị trí của Domain Controllers
- AAAA Host – Phân giải tên máy thành địa chỉ IP (IPv6) PTR Pointer – Phân giải địa chỉ IP thành tên máy. Zone Transfer : - Do đề phòng rủi ro khi DNS Server không hoạt động hoặc kết nối bị đứt người ta khuyên nên dùng hơn một DNS Server để quản lý một Zone nhằm tránh trục trặc đường truyền. Do vậy ta phải có cơ chể chuyển dữ liệu các Zone và đồng bộ giữa các DNS Server khác nhau. - Để cấu hình Zone Transfer, ta chọn Zone, chọn tiếp Properties, chọn tab Zone Transfer, gõ vào địa chỉ IP của DNS Server. 9. Cơ chế hoạt động đồng bộ dữ liệu giữa các DNS Server : - Với trao đổi IXFR Zone thì sự khác nhau giữa số serial của nguồn dữ liệu và bản sao của nó. Nếu cả hai đều có cùng số serial thì việc truyền dữ liệu của Zone sẽ không thực hiên. - Nếu số serial cho dữ liệu nguồn lớn hơn số serial của Secondary Server thì nó sẽ thực hiện gửi những thay đổi của bản ghi nguồn (Resource record – RR) của Zone ở Primary Server. - Để truy vấn IXFR thực hiên thành công và các thay đổi được gửi thì tai DNS Server nguồn của Zone phải được lưu giữ các phần thay đổi để sử dụng truyền đến nơi yêu cầu của truy vấn IXFR. Incremental sẽ cho phép lưu lượng truyền dữ liệu it và thực hiện nhanh hơn. - Zone transfer sẽ xảy ra khi có những hành động sau xảy ra: + Khi quá trình làm mới của Zone đã kết thúc (refresh exprire). + Khi Secondary Server được thông báo Zone đã thay đổi tại nguồn quản lý Zone. + Khi thêm mới Secondary Server. + Tại Secondary Server yêu cầu chuyển Zone. - Các bước yêu cầu chuyển dữ liệu từ Secondary Server đến DNS Server chứa Zone để yêu cầu lấy dữ liệu về Zone mà nó quản lý :
- + Khi cấu hình DNS Server mới, thì nó sẽ gửi truy vấn yêu cầu gửi toàn bộ Zone ( all Zone transfer request (AXFR) ) đến DNS Server chính quản lý dữ liệu của Zone. + DNS Server chính quản lý dữ liệu của Zone trả lời và chuyển toàn bộ dữ liệu về Zone cho Secondary Server (destination) mới cấu hình.. + Để xác định có chuyển dữ liệu hay không thì nó dựa vào số serial được khai báo bằng bản ghi SOA. + Khi thời gian làm mới (refresh interval ) của Zone đã hết, thì DNS Server nhận dữ liệu sẽ truy vấn yêu cầu làm mới Zone tới DNS Server chính chứa dữ liêu Zone. + DNS Server chính quản lý dữ liệu sẽ trả lời truy vấn và gửi lại dữ liệu. Trả lời truy vấn dữ liệu gồm số serial của Zone tại DNS Server chính. + DNS Server nhận dữ liệu về Zone và sẽ kiểm tra số serial trong trả lời và quyết định xem có cần truyền dữ liêu không : o Nếu giá trị của số serial của Primary Server bằng với số serial lưu tại nó thì sẽ kết thúc luôn. Và nó sẽ thiết lập lại với các thông số cũ lưu trong máy. o Nếu giá trị của số serial tại Primary Server lớn hơn giá trị serial hiện tại DNS nhận dữ liệu. Thì nó kết luận Zone cần được cập nhật và cần đồng bộ dữ liệu giữa hai DNS Server + Nếu DNS Server nhận kết luận rằng Zone cần phải lấy dữ liệu thì nó sẽ gửi yêu cầu IXFR tới DNS Server chính để yêu cầu truyền dữ liệu của Zone. + DNS Server chính sẽ trả lời với việc gửi những thay đổi của Zone hoặc toàn bộ Zone : o Nếu DNS Server chính có hỗ trợ việc gửi những thay đổi của Zone thì nó sẽ gửi những phần thay đổi của nó (Incremental Zone transfer of the Zone). o Nếu DNS Server chính không hỗ trợ thì nó sẽ gửi toàn bộ Zone (Full AXFR transfer of the Zone). 11. Forwaders : - Cũng giống như Root Hint, forwarder cũng trỏ đến DNS Server khác, khi nó không thể phân giải được các truy vấn do Client gởi đến. - Một số DNS Server nội bộ không cho truy cập đến Internet vì mục đích bảo mật, nên DNS Server không thể truy vấn đến Root Server bằng Root Hint, vì thế ta phải sử dụng Forwarder, để chuyển các truy vấn của Client đến DNS Server được chỉ định. 12. Delegating Zones : - Hệ thống tên miền mới được xây dựng trên cấu trúc quản lý không tập trung. Cấu trúc
- này được xây dựng bằng cách ủy quyền ( Delegation). Là một quá trình phân chia một Domain thành các Subdomain và giao cho các tổ chức khác nhau quản lý các Subdomain này. - Giả sử ta có một domain : www.microsoft.com. - Ta có 2 chi nhánh ở Aisa và Viet Nam. Vì thế ta sẽ ủy quyền cho 2 nơi này để quản lý các Zone : asia.microsoft.com và vietnam.microsoft.com. - Tất cả máy tính ở Asia và Việt Nam sẽ được quản lý bởi 2 Zone trên. - Các DNS Server quản lý Zone Asia và Việt Nam phải Forwarder về DNS root (DNS ủy quyền cho nó) , trong trường hợp các Client ở Asia muốn truy cập các Client ở Việt Nam và ngược lại. - Serial number : là giá trị được áp dụng cho tất cả dữ liệu trong một Zone. Khi Secondary DNS kết nối Primary DNS để thực hiện chuyển dữ liệu về, Secondary DNS sẽ hỏi giá trị serial number của Primary DNS. Nếu giá trị trên Primary DNS lớn hơn Secondary DNS thì quá trình chuyển dữ liệu mới được bắt đầu. - Refresh interval : thời gian cập nhật các record. - Retry interval : trong trường hợp Secondary DNS không thể kết nối với Primary DNS, thì Secondary DNS sẽ thực hiện kết nối lại sau khoảng thời gian Retry interval. - Experis after : đây là khoảng thời gian mà Secondary DNS không thể kết nối với Primary DNS, dữ liệu trên Secondary DNS sẽ bị hủy. - Minimum (default) TTL : đây là giá trị áp dụng cho tất cả các bản ghi trong file dữ liệu, tham số này xác định dữ liệu sẽ được cache tại Primary DNS trong bao lâu. - TTL ( time to live) : Primary DNS không thể caching dữ liệu mãi mãi, khi dữ liệu về tên miền thay đổi, và sự thay đổi này sẽ không được cập nhật. Để tránh điều này, người ta đưa ra TTL. Đây là khoảng thời gian Primary DNS đươc caching dữ liệu. Khi hết khoảng thời gian này, dữ liệu được caching sẽ bị xóa. TTL ảnh hưởng đến khả năng hoạt động của DNS và tính nhất quán của dữ liệu. DNS Resolvers : - Là dịch vụ sử dụng để truy vấn thông tin từ DNS Server của Client. Qui trình phân giải tên miền được tiến hành như sau : + Giả sử người sử dụng muốn truy cập vào trang web có địa chỉ là http://www.google.com + Trước hết chương trình trên máy người sử dụng gửi yêu cầu tìm kiếm địa chỉ IP ứng với tên miền www.google.com tới máy chủ quản lý tên miền (name Server) cục bộ thuộc
- mạng của nó (ISP DNS Server). + Máy chủ tên miền cục bộ này kiểm tra trong cơ sở dữ liệu của nó có chứa cơ sở dữ liệu chuyển đổi từ tên miền sang địa chỉ IP của tên miền mà người sử dụng yêu cầu không. Trong trường hợp máy chủ tên miền cục bộ có cơ sở dữ liệu này, nó sẽ gửi trả lại địa chỉ IP của máy có tên miền nói trên (www.google.com) + Trong trường hợp máy chủ tên miền cục bộ không có cơ sở dữ liệu về tên miền này nó thường hỏi lên các máy chủ tên miền ở cấp cao nhất (máy chủ tên miền làm việc ở mức Root). Máy chủ tên miền ở mức Root này sẽ trả về cho máy chủ tên miền cục bộ địa chỉ của máy chủ tên miền quản lý các tên miền có đuôi .com. + Máy chủ tên miền cục bộ gửi yêu cầu đến máy chủ quản lý tên miền có đuôi (.com) tìm tên miền www.google.com. Máy chủ tên miền quản lý các tên miền .com sẽ gửi lại địa chỉ của máy chủ quản lý tên miền google.com. + Máy chủ tên miền cục bộ sẽ hỏi máy chủ quản lý tên miền google.com này địa chỉ IP của tên miền www.google.com. Do máy chủ quản lý tên miền google.com có cơ sở dữ liệu về tên miền www.google.com nên địa chỉ IP của tên miền này sẽ được gửi trả lại cho máy chủ tên miền cục bộ. + Máy chủ tên miền cục bộ chuyển thông tin tìm được đến máy của người sử dụng. + PC của người dùng sẽ sử dụng địa chỉ IP này để mở một phiên kết nối TCP/IP đến Server chứa trang web có địa chỉ http://www.google.com [/b]
- Giới thiệu chung DNS (Domain Name System) là một hệ cơ sở dữ liệu phân tán dùng để ánh xạ giữa các tên miền và các địa chỉ IP. DNS đưa ra một phương pháp đặc biệt để duy trì và liên kết các ánh xạ này trong một thể thống nhất. Trong phạm vi lớn hơn, các máy tính kết nối với internet sử dụng DNS để tạo địa chỉ liên kết dạng URL (Universal Resource Locators). Theo phương pháp này, mỗi máy tính sẽ không cần sử dụng địa chỉ IP cho kết nối. Các tên DNS tạo ra theo định dạng sau ., ví dụ infosec.vasc.com.vn. Trong khi danh sách các kiểu tên DNS được thiết kết lại bởi ICANN (Công ty quản lý dịch vụ tên miền), một số các kiểu thông thường bao gồm: .edu (dạng các website giáo dục) , .mil (các website cho quân đội), .org (thuộc dạng các tổ chức phi thương mại) .com (các tổ chức kinh tế),… Và cũng có các kiểu tên miền chỉ định theo tên nước, ví dụ .ie (Ireland), .jp (Japan), .de (Germany) Khi một máy tính (một DNS client) muốn tìm kiểm một URL, nó đưa yêu cầu (GetHostByName) tới DNS server của nó. DNS client sử dụng một DNS resolver để định vị DNS server. Nếu DNS server không xác định được tên miền cần tìm, hay DNS server không có chút thông tin gì về URL đó trong vùng nhớ đệm của nó, nó sẽ không thể trả lời yêu cầu của client ngay lập tức. Thay vào đó, DNS server sẽ hoặc sử dụng một DNS forwarder hoặc tạo lại một yêu cầu theo quy tắc đệ quy. Việc giả mạo DNS liên quan tới việc bắt buộc một DNS client tạo yêu cầu tới một server mạo danh, và khi đó client sẽ nhận được trả lời sai từ server giả mạo đó. Có 3 cách thực hiện kiểu tấn công giả mạo DNS này, bao gồm: 1. Giả mạo các phản hồi DNS Kẻ tấn công có thể sử dụng cơ chế đệ quy, giả mạo yêu cầu mà DNS server gửi ra ngoài trong quá trình tìm kiểm một địa chỉ, và phản hồi các thông tin sai trước khi các thông tin thật đến. Mỗi gói tin DNS có một số ID dạng 16 bit mà DNS server dùng để kiểm tra yêu cầu ban đầu gửi đi là gì. Khi sử dụng BIND, một phần mềm thông dụng dạng DNS server, số này tăng lên 1 sau mỗi yêu cầu gửi đến, và việc tạo yêu cầu rất dễ dàng giả mạo. BIND đã được sửa lỗi theo phiên bản gần đây, mà các gói tin DNS được khởi tạo theo các con số ngẫu nhiên (phiên bản BIND v9).
- Để kiểm tra liệu một DNS server có thể có lỗ hổng hay không đối với sự tấn công giả mạo địa chỉ DNS, bạn có thể gửi các yêu cầu tới server, thẩm định liệu có thể đoán số ID kế tiếp trong một gói tin yêu cầu giử tới DNS. Nếu các yêu cầu ID có thể đoán trước được, điều này có nghĩa là vùng nhớ đệm trong DNS có thể ánh xạ không đúng tới địa chỉ IP thật, và đó chính là lỗ hổng bảo mật trong DNS. 2. Giả mạo địa chỉ trong vùng nhớ đệm của DNS Sau các yêu cầu đệ quy, các ánh xạ địa chỉ nhận được sẽ tồn tại trong DNS cache. DNS server sẽ dựa vào cùng nhớ đệm này để xác định thông tin cho các yêu cầu đến và phản hồi từ client gửi tới, giúp cho việc truy cập thông tin nhanh hơn. Độ dài thời gian mà các kết quả yêu cầu đệ quy được giữ luôn trong DNS cache (kí hiệu là TTL — time to live) có thể được thiết lập. Việc các địa chỉ bị giả mạo nằm trong DNS cache kéo theo việc gửi thông tin ánh xạ không đúng với thời gian tồn tại (TTL) dài. Vậy nên, tại thời điểm kế tiếp khi có một yêu cầu gửi tới, nó sẽ nhận được thông tin sai. Việc sai thông tin này cũng có thể bị ảnh hưởng do việc nhận dữ liệu từ một DNS server từ xa nào đó bị giả mạo . Có thể giới hạn sự giả mạo thông tin này bằng cách giảm thời gian thông tin tồn tại trong cache (TTL), nhưng điều này cũng làm giảm hiệu năng của server. Một ứng dụng thông dụng của DNS dạng phần mềm mã nguồn mở là BIND (Berkeley Internet Name Daemon), mà cung cấp hầu hết các chức năng quan trọng về DNS server. Tuy nhiên, cũng có rất nhiều lỗ hổng bảo mật trong BIND, và vì vậy, việc đảm bảo đang sử dụng phần mềm BIND với phiên bản mới nhất là rất quan trọng. Hiện tại, các chuẩn mới về DNS đã khắc phục được lỗi này trong vùng nhớ đệm của DNS. 3. Phá vỡ mức bảo mật môi trường Việc tấn công bằng cách giả mạo địa DNS phá vỡ mức bảo mật của môi trường làm việc mạng trong DNS server. Ví dụ: tấn công dựa theo các lỗ hổng dạng tràn vùng đệm đối với các phiên bản BIND cũ, mà cho phép kẻ tấn công đoạt được quyền root truy cập. Khi kẻ tấn công đoạt được quyền truy cập trong môi trường DNS, anh ta có thể điều khiển được môi trường mạng. Để giúp đỡ trong việc quản lý và gỡ rối, rất hữu ích khi biết rằng việc truyền thông DNS sử dụng cả giao thức TCP (Transmission Control Protocol) và UDP (User Datagram Protocol), và thông thường người ta sử dụng một firewall được cấu hình đứng lọc gói tin trước khi đi qua DNS. Một cách để ngăn các nguy hiểm không được chứng thực là sử dụng một hệ thống DNS được chia theo vùng quản lý. Điều này liên quan tới cài đặt một DNS server bên trong. Khi đó, mỗi DNS bên ngoài được thiết lập chỉ chứa các thông tin liên quan bởi các host bên ngoài,như SMTP gateway, hay một NS bên ngoài. Hầu hết các mail server hiện tại có thể điều khiển SMTP mail rất tốt (như MS Outlook và Lotus Lote của IBM đều có các SMTP gateway), nó cũng an toàn hơn vì có cơ chế riêng rẽ cho việc nhận SMTP mail.
- Sau đó, nếu mail bên ngoài chuyển đổi thành công, kẻ tấn công sẽ không thể tự động truy cập tới hệ thống mail bên trong. Tương lai phát triển của DNS DNS có thể có lỗ hổng do bị giả mạo gói tin bởi vì thiếu vắng quyền chứng thực khi truy cập. Điều này có thể được khắc phục với DNSSEC. Đây là một cơ chế bảo mật mới bằng cách cho phép các Website kiểm tra các tên miền của họ và chịu trách nhiệm đối với các địa chỉ IP theo các chữ ký điện tử và thuật toán mã hoá công khai. Điều này cũng có nghĩa rằng, khi DNS client nhận một phản hồi từ yêu cầu của nó, nó có thể kiểm tra yêu cầu đó từ một tài nguyên được chứng thực. DNSSEC đã bắt đầu được nhúng trong BIND 9, và trong một số hệ điều hành. DNSSEC sẽ đòi hỏi nhiều hơn về hiệu năng của phần cứng, băng thông lớn hơn và đòi hỏi phải thay đổi đối với tất cả các DNS server hiện tại. Vì vậy, việc áp dụng công nghệ mới này vẫn còn đang được triển khai và hứa hẹn trong tương lai. Hôm nay,thông qua bài viết này Bình triệu đề cập tới vấn đề chuyển vùng.Chắc hẳn bạn sẽ quan tâm.Mong bài viết sẽ cho bạn hiểu rõ hơn về nó,cũng như có nhưng kiến thức nhất định về vấn đề này. Chuyển vùng (Phần này được sưu tập của tác giả Binh Trieu - vietnam security) Một trong những cấu hình sai nghiêm trọng mà người quản trị hệ thống có thể mắc phải là cho phép người dùng Internet không đáng tin cậy được tiến hành chuyển vùng DNS. Chuyển vùng (Zone Transfer)cho phép máy phục vụ phụ cập nhật cơ sỡ dữ liệu từ máy chính.Như vậy là làm dư thừa khi chạy DNS,nhỡ như máy phục vụ tên chính không khả dụng.Nói chung,máy phục vụ DNS phụ chỉ cần chuyển vùng DNS.Thế nhưng,nhiều máy phục vụ DNS bị lập cấu hình sai và cung cấp bản sao vùng cho người nào yêu cầu.không nhất thiết là xấu nếu thông tin cung cấp liên quan đến hệ thống nối mạng Internet và có tên máy chủ hợp lệ,dẫu tạo điều kiện dễ dàng cho kẻ tấn công tìm thấy đích.Vấn đề thực sự nảy sinh khi tổ chức không áp cụng cơ chế DNS cổng riêng để cách ly thông tin DNS ngoài (công khai) với thông tin DNS trong.Cung cấp thông tin địa chỉ IP trong cho người dùng không đáng tin cậy qua mạng Internet cũng giống như cung cấp bản đồ trong của tổ chức. Chúng ta hãu xem xét một vài phương pháp chuyển vùng,và các loại thông tin.Tuy có nhiều công cụ chuyển vùng,nhưng tôi giới hạn thào luận ở vài loại phổ biến mà thôi. Cách đơn giản để chuyển vùng là dùng máy khách “nslookup”thường do thi hành UNIX và NT mang lại.Chúng ta áp dụng “nslookup” trong chế độ tương tác với nhau: [bash] $ nslookup Default Server: ns1.example.net Address:10.10.20.2 >216.182.1.1
- Default Server : [10.10.20.2] Address: 10.10.20.2 Name: gate.tellurian.net Address:10.10.20.2 >set type=any >ls –d tellurian.net. >>/tmp/zone_out Đầu tiên chúng ta chạy “nslookup” trong chế độ tương tác.Một khi khởi động xong,nó sẽ cho biết máy phục vụ tên mặc định,thường là máy phục vụ DNS của tổ chức hoặc máy phục vụ DNS của người cung cấp dịch vụ Internet.Tuy nhiên,máy phục vụ DNS (10.10.20.2)không có thẩm quyềncho vùng đích,nên sẽ không có hết thảy mẫu tin DNS.Bởi vậy,chúng ta cần tự tay cho “nslookup” biết là sẽ truy vấn máy phục vụ DNS nào.Trong ví dụ này,chúng ta dùng máy phục vụ DNS chính cho Tellurian network (10.10.20.2). Tiếp theo chúng ta định loại mẫu tin là “any”.Tác vụ này cho phép bạn kéo mẫu tin DNS bất kì (man nslookup) cho danh sách hoàn chỉnh. Sau cùng,liệt kê toàn bộ mẫu tin liên quan đến vùng bằng tuỳ chọn “ls”.”-d” liệt kê tất cả mẩu tin vùng.Chúng ta thêm “.”ở cuối câu để cho biết tên vùng hội đủ điều kiện-song đa phần là để vậy.Hãy đổi hướng kết quả và tập tin “/tmp/zone_out” để có thể thao tác sau này. Chuyển vùng xong,chúng ta xem trong tập tin coi có thông tin lý thú nào cho phép nhắm đến hệ thống cụ thể không.Hãy xem kết quả sau: [bash] more zone_out acct18 1D IN A 192.168.230.3 1D IN HINFO 1D IN MX 0 tellurianadmin-smtp 1D IN RP- bsmith.rci bsmith.who 1D IN TXT “Location:Telephone Room” ce 1D IN CNAME aesop au 1D IN A 192.168.230.4 1D IN HINFO “aspect” “MS-DOS” 1D IN MX 0 andromeda 1D IN RP jcoy.erebus jcoy.who 1D IN TXT “Location: Library” acct21 1D IN A 192.168.230.5 1D IN HINFO “Gateway2000” “WinWKGRPS” 1D IN MX 0 tellurianadmin-smtp 1D IN RP bsmith.rci bsmith.who 1D IN TXT “Location: Acounting” Chúng ta sẽ không đi chi tiết từng mẫu tin,chỉ lưu ý vài loại quan trọng.Đối với mỗi mục nhập,chúng ta có mẫu tin A cho biết địa chỉ IP của tên hệ thống nằm bên phải.Ngoài ra,mỗi máy chủ đều có mẩu tin HINFO nhận diện nền hoặc hoặc loại hệ điều hành đang chạy (RFC-952).Mẩu tin HINFO tuy không cần thiết song cung cấp nhiều thông tin cho
- kẻ tấn công.Vì chúng ta đã lưu kết quả chuyển vùng vào tập tin đầu ra nên dễ dàng thao tác kết quả bằng chương trình UNIX như : grep,sed,awk,hoặc Perl. Giả thiết chúng ta là những chuyên gia trong SunOS hoặc Solaris,có thể tìm ra địa chỉ IP có mẩu tin HINFO liên quan đến SPARC,Sun,hoặc Solaris. [bash] $ grep -i solaris zone_out |wc -1 388 Chúng ta có 388 mẩu tin tham chiếu “Solaris”.Khỏi phải nói,chúng ta có quá nhiều mục tiêu. Giả sử chúng ta muốn tìm hệ thống thử nghiệm,vô tình là chọn lựa cho kẻ tấn công.Tại sao? Thật đơn giản-chúng thường không kích hoạt nhiều đặc tính bảo mật,mật mã để đoán,nhà quản trị không hay để ý hoặc bận tâm ai đăng nhập chúng.Một chốn lý tưởng cho những kẻ xâm nhập.Do đó,chúng ta tìm hệ thống thử nghiệm như sau: [bash] $ grep -i test /tmp/zone_out |wc -1 96 Nên có khỏang 96 mục nhập trong tập tin vùng có chứa từ “test”.Phải bằng với số hệ thống thử nghiệm thật.Trên đây chỉ là một vài ví dụ đơn giản.Hầu hết kẻ xâm nhập sẽ mổ xẻ dữ liệu này để tập trung vào loại hệ thống cụ thể có chổ yếu đã biết. Có vài điểm cần ghi nhớ.Phương pháp neu trên chỉ truy cập lần lượt máy phục vụ tên.Tức là bạn phải thực hiện cùng một tác vụ cho tất cả máy phục vụ tên có thẩm quyền đối với vùng đích.Chúng ta chỉ truy vấn vùng Tellurian.net mà thôi.Nếu có vùng con,sẽ phải thực hiện cùng loại truy vấn cho từng vùng con(chẳng hạn như greenhouse.tellurian.net).Sau cùng bạn nhận thông báo không thể liệt kê vùng hoặc từ chối truy vấn.Thường điều này cho thấy máy phục vụ đã được lập cấu hình để vô hiệu hóa chuyển vùng của người dùng bất hợp pháp.Vì vậy,bạn khó lòng chuyển vùng từ máy phục vụ này.Nhưng nếu có nhiều máy phục vụ DNS,bạn sẽ có cơ may tìm được máy cho phép chuyển vùng. Có rất nhiều công cụ đẩy nhanh tiến trình này,bao gồm: host,Sam Spade,axfr và dig(không đề cập ở đây). Lệnh “host” mang nhiều hương vị của UNIX.Cách dùng lệnh “host”như sau: host -1 tellurian.net hoặc host -1 -v -t any tellurian.net Nếu cần mỗi địa chỉ IP để đưa vào kịch bản shell,bạn cut(cắt) địa chỉ IP khỏi lệnh “host”
- host -1 tellurian.net |cut -f 4 -d” ” >>/tmp/ip_out Không phải chức năng in dấn chân nào cũng buộc phải thực hiện qua lệnh UNIX.Một số sản phẩm Windows cũng cung cấp thông tin như vậy. Sau cùng bạn chuyển vùng bằng một trong những công cụ siêu việt,axfr của Gaius.Trình tiện ích này sẽ chuyển thông tin vùng,cơ sở dữ liệu vùng và tập tin máy chủ cho từng vùng được truy vấn dưới dạng nén.Thâm chí bạn có thể chuyểnvu2ng cấp cao như com và edu để lấy tất cả vùng liên quan đến “com” và “edu”.Tuy nhiên,không nên làm vậy.Muốn chạy axfr,bạn gõ như sau” [bash] $ axfr tellurian.net axfr: Using default directory: /root/axfrdb Found 2 name servers for domain “Tellurian.net”; Text deleted. Received xxx answer (xxx records). Để truy vấn thông tin vừa lấy trong cơ sở dữ liệu “axfr”,bạn gõ như sau: [bash] $ axfr tellurian.net
CÓ THỂ BẠN MUỐN DOWNLOAD
-
tìm hiểu mạng wlan - mạng lan không dây
120 p | 776 | 250
-
Giới thiệu về thế hệ địa chỉ internet mới IPV6
192 p | 293 | 152
-
Giới thiệu về hê thống tên miền DNS I
16 p | 308 | 120
-
Tìm hiểu về tấn công Man-in-the-Middle – Giả mạo ARP Cache
10 p | 279 | 91
-
Understanding DNS and DHCP
0 p | 186 | 78
-
DNS Trong Linux
38 p | 213 | 68
-
Tìm hiểu về tấn công Man-in-the-Middle – Chiếm quyền điểu khiển SSL
12 p | 214 | 60
-
Kỹ thuật cài đặt máy chủ DNS
104 p | 165 | 57
-
Chương 1: Giới thiệu về hê thống tên miền DNS
16 p | 173 | 30
-
Bài giảng Quản trị mạng Linux - Chương 3: Dịch vụ DNS
28 p | 152 | 26
-
Giới thiệu về DNS và chuyển vùng DNS
3 p | 116 | 19
-
Sử dụng NSLOOKUP để chuẩn đoán DNS Server
3 p | 107 | 12
-
Bảo mật cơ bản về DNS
9 p | 82 | 9
-
Bài giảng Dịch vụ mạng Linux: Chương 4 - Phạm Mạnh Cương
11 p | 70 | 7
-
Chương 1: Giới thiệu về DNS và chuyển vùng DNS
14 p | 70 | 7
-
Bài giảng Hệ điều hành mạng Windows NT VÀ 2000: Chủ đề 4 - ThS. Trần Bá Nhiệm
120 p | 72 | 5
-
DNS Server: Hiểu lý thuyết - biết ứng dụng
4 p | 4 | 1
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn