tr m ng Trong lo t bài này chúng tôi s gi i thi u cho các b n m t s v n đ trong
b o m t DNS và cách b o m t các máy ch DNS đã b th a hi p.
Không th ph nh n đ c t m quan tr ng c a DNS đ i v i các ho t đ ng m ng thông ượ
th ng cho m ng n i b Internet, do đó vi c phát hi n các v n đ tìm ra cách kh cườ
ph c m t đi u c n thi t. Sau đây chúng ta s cùng nhau đi xem xét m t s v n đ nói ế
chung đ i v i các máy ch DNS:
Th a hi p file vùng DNS
L h ng thông tin vùng DNS
Nâng c p đ ng b th a hi p
Gây l t máy khách DNS (t ch i d ch v )
Gi m o Cache
Th a hi p file vùng DNS
Máy ch DNS s đ c c u hình trên m t s phiên b n Windows Server. Qu n tr viên DNS có ượ
th thi t l p c u hình vùng các b n ghi b ng dòng l nh ho c giao di n DNS mmc. M t ế
trong nh ng cách hay g p ph i cũng d dàng nh t đ th a hi p c s h t ng DNS ơ
ch nh s a tr c ti p c u hình máy ch DNS ho c b n thân các b n ghi trên máy ch DNS hay ế
t m t máy tính xa.
Ki u t n công này th đ c th c hi n b i b t c ng i nào m t chút ki n th c v ượ ườ ế
DNS và có th truy c p máy ch . K t n công có th ng i tr c ti p tr c màn hình máy ch , ế ướ
k t n i thông qua RDP hay th m chí đăng nh p qua Telnet. Th ph m đây th ng iế ườ
bên trong t ch c hay th qu n tr viên m c l i. Cách th c b o m t đây khóa ch n
máy ch DNS, ch nh ng ng i có trách nhi m m i đ c truy c p vào c u hình DNS, b t c ườ ượ
ph ng pháp truy c p t xa nào đ n máy ch DNS c n đ c h n ch cho nh ng ng i th cươ ế ượ ế ườ
s c n thi t. ế
L h ng thông tin vùng DNS
Các file vùng DNS trên máy ch DNS s ch a các tên máy tính trong vùng đó, tên máy tính này
s đ c c u hình m t cách th công hay c u hình thông qua các nâng c p đ ng. Các máy ch ượ
DNS trong m ng n i b th ng ch a tên c a t t c các máy ch trên m ng (ho c t i thi u ườ
cũng các máy ch b n mu n truy c p thông qua tên). Trên máy ch Internet, thông th ng ườ
chúng ta ch nh p vào các tên máy ch mu n truy c p tuy nhiên m t s th t n t i trong
m t location đ c c u hình b i ISP và m t trong s có th n m trong m ng n i b . ượ
L h ng thông tin vùng có th x y ra khi k đ t nh p khai thác đ c các thông tin quan tr ng ượ
v các vai trò máy ch trên m ng qua tên c a các máy ch đó. Cho ví d , n u b n có m t máy ế
ch th truy c p thông qua tên PAYROLL, thông tin này s r t giá tr đ i v i k t n công.
Đây là th mà chúng ta có th t m g i là “d u v t”. ế
K t n công th khai thác tên c a các máy tính khác trên m ng b ng nhi u ph ng pháp ươ
khác nhau. Cho d , n u cho phép t t c các máy có kh năng chuy n vùng, k đ t nh p ế
th download toàn b c s d li u vùng đ n máy tính c a anh ta thông qua c ch chuy n ơ ế ơ ế
vùng. Th m chí n u không cho phép chuy n vùng, k t n công cũng th l i d ng các truy ế
v n DNS ng c đ dò tìm ra tên máy tính trong m ng. T đó chúng có th t o m t s đ toàn ượ ơ
di n v m ng t d li u DNS này.
Ngoài ra k xâm nh p th l m l t thông tin xác đ nh đ c đâu các đ a ch không ượ ượ
đ c s d ng trong m ng. Sau đó s d ng các đ a ch không đ c s d ng này đ thi t l pượ ượ ế
máy ch DNS gi m o, đi u này trong m t s tr ng h p, đi u khi n truy c p m ng ườ
đ c thi t l p cho toàn b ID m ng ho c t p các ID nào đó thay vì các đ a ch IP riêng bi t.ượ ế
Cu i cùng, m t th c t chung trong cách hosting DNS c a các doanh nghi p nh (n i đang ế ơ
hosting các d ch v DNS riêng) vi c k t h p các vùng chung riêng trên cùng m t máy ế
ch DNS trong khi đó c s h t ng DNS l i chia tách. Trong tr ng h p này, b n s đ l ơ ườ
c tên bên trong và bên ngoài trong cùng m t vùng, đi u cho phép k t n công d dàng tìm ra
không gian đ a ch bên trong và các th a thu n đ t tên. Thông th ng, chúng s ph i đ t nh p ườ
vào bên trong m ng đ khám phá thông tin vùng bên trong, tuy nhiên khi cùng m t máy ch
hosting c thông tin chung riêng trên cùng máy ch DNS thì k t n công lúc này s c ơ
h i l n đ t n công b n.
Nâng c p đ ng b th a hi p
Các nâng c p đ ng DNS r t thu n ti n cho qu n tr viên DNS. Thay ph i t t o các b n
ghi cho t t c máy khách và máy ch , t t c nh ng gì b n c n th c hi n lúc này kích ho t
các nâng c p DNS đ ng trên c máy ch máy khách. Khi s d ng máy khách máy ch
DNS Windows, b n th c u hình DHCP đ h tr ch c năng nâng c p DNS đ ng. V i
nâng c p đ ng này, ch c n b t ch c năng đ cho các máy tính t đăng trong DNS; b n
không c n ph i t t o b n ghi DNS.
ràng t t c m i th đ u giá c a trong tr ng h p này cũng v y, s thu n ti n ườ
này cũng kéo theo nguy c b o m t ti n n đ i v i DNS đ ng. Có r t nhi u cách có th th cơ
hi n các nâng c p DNS đ ng này, có th phân lo i chúng thành hai m ng: nâng c p an toàn và
không an toàn. V i các nâng c p an toàn, h th ng khách c n ph i đ c th m đ nh (cho ví d , ượ
s d ng tài kho n máy tính ch a trong Active Directory) tr c khi th t nâng c p. Các ướ
nâng c p không an toàn xu t hi n khi b n cho phép b t c host nào cũng th đăng đ a
ch c a nó trong DNS mà không yêu c u th m đ nh.
Tuy nhiên các nâng c p đ ng an toàn không ph i t t c đ u gi ng nhau. Cho d , n u b n ế
h n ch ch nh ng qu n tr viên mi n hay qu n tr viên b o m t m i th gia nh p mi n, ế
khi đó các nâng c p DNS đ ng t ra khá an toàn trong môi tr ng Windows. Tuy nhiên n u ườ ế
cho phép b t c ai cũng th join máy tính c a h vào mi n, b n v n đ b o m t đây s
b gi m đi đáng k .
Khi nâng c p đ ng b th a hi p, k t n công th thay đ i các thông tin trong b n ghi đ
các tên máynh s đ c redirect đ n các máy ch k t n công thi t l p nh m đ t đ c ượ ế ế ượ
các m c đích c a chúng (ch ng h n nh load ph n m mđ c vào máy tính đ bi n nó tr ư ế
thành m t ph n trong botnet mà k t n công đang đi u khi n). M t v n đ khác k t n công
th th c hi n trong tình hu ng này th c hi n t n công t ch i d ch v m c đ n gi n ơ
b ng cách xóa b n ghi chính, ch ng h n nh các b n ghi cho máy ch DNS hay b đi u ư
khi n mi n.
T ch i d ch v DNS b ng cách gây l t máy khách
Nói đ n DoS, n u ch a bao gi g p ph i ki u t n công này thì hãy xem đó nh m t may m nế ế ư ư
đ i v i b n. Do các truy v n DNS không đ c th m đ nh nên máy ch DNS luôn c g ng tr ượ
l i các truy v n mà nó nh n đ c. Đi u này có nghĩa r t d có th th c hi n m t t n công t ượ
ch i d ch v đ i v i m t máy ch DNS. khá nhi u botnet th t o các ki u t n công
DDoS đ hi u hóa máy ch DNS đ lâu cho k t n công thi t l p máy ch DNS gi m o ế
đ tr l i các truy v n. Ng i dùng không cách nào bi t đ c máy ch DNS m i máy ườ ế ượ
ch gi m o, h s b redirect đ n máy ch c a k t n công. Các site này th ng đ c thi t ế ườ ượ ế
k đ gi ng các site th t s d ng s tin t ng c a ng i dùng vào các site th c tăng sế ưở ườ
truy c p vào thông tin nh n d ng cá nhân, sau đó là th c hi n các t n công ki u này.
Gi m o cache
Máy ch DNS này s truy v n máy ch DNS khác đ l y thông tin. Đ c i thi n hi u su t
cho toàn b c s h t ng DNS, các máy ch DNS s l u các k t qu truy v n trong m t ơ ư ế
kho ng th i gian tr c đó vào các b n ghi đ cung c p s phân gi i tên. N u truy v n th hai ướ ế
cùng tên tr c khi timeout, máy ch DNS s đáp tr các thông tin đã l u trong DNSướ ư
cache thay vì truy v n sang máy ch DNS khác.
Tuy th c i thi n đáng k đ c hi u su t t ng th nh ng cách th c hi n này gây ra m t ượ ư
l h ng b o m t. L h ng b o m t b khai thác đây đ c g i là “DNS cache poisoning” có ượ
nghĩa gi m o DNS. Vi c gi m o DNS di n ra khi máy ch DNS g i m t truy v n đ n ế
máy ch DNS khác máy ch DNS đó tr v các thông tin không đúng. Trong h u h t các ế
tr ng h p, máy ch DNS tr v các thông tin sai là các máy ch đã b th a hi p.ườ
Vi c gi m o cache có th di n ra vì các máy ch DNS không ki m tra s h p l c a các đáp
tr , cũng nh không th c hi n th m đ nh các đáp tr chúng nh n đ c t máy ch DNS ư ượ
khác. Máy ch DNS “khách” s nh n đ c thông tin trong đáp tr l u thông tin đó, sau đó ượ ư
cung c p thông tin sai đ n các máy đ c c u hình là máy khách DNS c a máy ch này. ế ượ
K t lu nế
Trong ph n này chúng tôi đã gi i thi u cho các b n m t s v n đ trong b o m t DNS
cách b o m t các máy ch DNS b th a hi p nh th nào. Trong ph n hai, chúng tôi s gi i ư ế
thi u k h n v m t s m o giúp c i thi n b o m t DNS xem xét k tính năng b o m t ơ
trong Windows Server 2008, DNSSEC. Bên c nh đó chúng ta cũng s đi c u hình m t vùng an
toàn b ng DNSSEC xem xét cách s d ng DNSSEC đ c i thi n b o m t DNS cho t
ch c.
Văn Linh (Theo Windowsecurity)
Xem thêm: b o m t , dns, domain name system, cache poisoning, máy ch, máy tr m, dhcp