DNS là viết tắt của Domain Name System, và điều này giúp một trình duyệt trong việc tìm ra địa chỉ IP của một trang web để nó có thể tải nó trên máy tính của bạn. Bộ nhớ cache DNS là một tệp trên máy tính của ISP hoặc ISP của bạn có chứa danh sách địa chỉ IP của các trang web được sử dụng thường xuyên. Bài viết này giải thích tình trạng nhiễm độc DNS cache và giả mạo DNS là gì.
Ngộ độc bộ nhớ cache DNS
Mỗi lần người dùng nhập URL trang web vào trình duyệt của mình, trình duyệt sẽ liên hệ với một tệp cục bộ (DNS Cache) để xem có bất kỳ mục nhập nào để giải quyết địa chỉ IP của trang web hay không. Trình duyệt cần địa chỉ IP của các trang web để nó có thể kết nối với trang web. Nó không thể chỉ sử dụng URL để kết nối trực tiếp với trang web. Nó phải được giải quyết vào một địa chỉ IP IPv4 hoặc IPv6 thích hợp. Nếu bản ghi ở đó, trình duyệt web sẽ sử dụng nó; nếu không nó sẽ đi đến một máy chủ DNS để có được địa chỉ IP. Điều này được gọi là tra cứu DNS.
Bộ nhớ cache DNS được tạo trên máy tính hoặc máy chủ DNS của ISP của bạn để lượng thời gian dành cho việc truy vấn DNS của một URL bị giảm. Về cơ bản, DNS cache là các tệp nhỏ chứa địa chỉ IP của các trang web khác nhau thường được sử dụng trên máy tính hoặc mạng. Trước khi liên hệ với máy chủ DNS, máy tính trên mạng liên hệ với máy chủ cục bộ để xem có bất kỳ mục nhập nào trong bộ nhớ cache DNS hay không. Nếu có, máy tính sẽ sử dụng nó; nếu không máy chủ sẽ liên lạc với máy chủ DNS và tìm nạp địa chỉ IP. Sau đó, nó sẽ cập nhật bộ nhớ cache DNS cục bộ với địa chỉ IP mới nhất cho trang web.
Mỗi mục nhập trong bộ nhớ cache DNS có giới hạn thời gian được đặt, tùy thuộc vào hệ điều hành và độ chính xác của độ phân giải DNS. Sau khi hết hạn, máy tính hoặc máy chủ chứa bộ đệm DNS sẽ liên hệ với máy chủ DNS và cập nhật mục nhập sao cho thông tin chính xác. Tuy nhiên, có những người có thể nhiễm độc bộ đệm DNS cho hoạt động tội phạm.
Ngộ độc bộ nhớ cache có nghĩa là thay đổi giá trị thực của URL. Ví dụ: tội phạm mạng có thể tạo trang web giống như nói, xyz.com và nhập bản ghi DNS của nó vào bộ đệm DNS của bạn. Do đó, khi bạn nhập xyz.com trong thanh địa chỉ của trình duyệt, sau này sẽ nhận địa chỉ IP của trang web giả mạo và đưa bạn đến đó, thay vì trang web thực. Điều này được gọi là Pharming. Sử dụng phương pháp này, bọn tội phạm mạng có thể phát hiện thông tin xác thực đăng nhập của bạn và các thông tin khác như chi tiết thẻ, số an sinh xã hội, số điện thoại và nhiều thông tin khác để đánh cắp nhận dạng. Việc đầu độc DNS cũng được thực hiện để tiêm phần mềm độc hại vào máy tính hoặc mạng của bạn. Khi bạn truy cập trang web giả mạo bằng bộ nhớ cache DNS bị nhiễm độc, bọn tội phạm có thể làm bất cứ điều gì họ muốn.
Đôi khi, thay vì bộ nhớ cache cục bộ, bọn tội phạm cũng có thể thiết lập máy chủ DNS giả để khi được truy vấn, họ có thể phát ra địa chỉ IP giả mạo. Đây là mức độc hại DNS cao và làm hỏng hầu hết các bộ đệm DNS trong một khu vực cụ thể do đó ảnh hưởng đến nhiều người dùng hơn.
Đọc về: Comodo Secure DNS | OpenDNS | Google Public DNS | Yandex Secure DNS | Thiên thần DNS.
DNS Cache Spoofing
DNS spoofing is a type of attack that involves impersonation of DNS server responses in order to introduce false information. In a spoofing attack, a malicious user attempts to guess that a DNS client or server has sent a DNS query and is waiting for a DNS response. A successful spoofing attack will insert a fake DNS response into the DNS server’s cache, a process known as cache poisoning. A spoofed DNS server has no way of verifying that DNS data is authentic, and will reply from its cache using the fake information.
DNS Cache Spoofing có vẻ tương tự như DNS Cache Poisoning, nhưng có một sự khác biệt nhỏ. DNS Cache Spoofing là một tập hợp các phương pháp được sử dụng để đầu độc một bộ nhớ cache DNS. Điều này có thể là một mục nhập buộc vào máy chủ của mạng máy tính để sửa đổi và điều khiển bộ nhớ cache DNC. Điều này có thể được thiết lập một máy chủ DNS giả để phản ứng giả mạo được gửi ra khi truy vấn. Có rất nhiều cách để đầu độc một bộ nhớ cache DNS, và một trong những cách phổ biến là DNS Cache Spoofing.
Đọc: Cách tìm hiểu xem cài đặt DNS của máy tính của bạn đã bị xâm phạm chưa bằng cách sử dụng ipconfig.
Ngộ độc DNS Cache - Ngăn ngừa
Không có nhiều phương pháp có sẵn để ngăn chặn ngộ độc DNS Cache. Phương pháp tốt nhất là mở rộng hệ thống bảo mật của bạn để không kẻ tấn công nào có thể xâm phạm mạng của bạn và thao tác bộ nhớ cache DNS cục bộ. Sử dụng một tường lửa tốt có thể phát hiện các cuộc tấn công ngộ độc DNS cache. Xóa bộ đệm DNS thường xuyên cũng là một lựa chọn mà bạn có thể cân nhắc.
Ngoài việc mở rộng quy mô hệ thống bảo mật, quản trị viên nên cập nhật phần mềm và phần mềm của họ để giữ cho hệ thống an ninh hiện tại. Hệ điều hành nên được vá với các bản cập nhật mới nhất. Không được có bất kỳ liên kết gửi đi của bên thứ ba nào. Máy chủ phải là giao diện duy nhất giữa mạng và Internet và phải ở phía sau tường lửa tốt.
Các quan hệ tin cậy của máy chủ trong mạng nên được di chuyển lên cao hơn để chúng không yêu cầu bất kỳ máy chủ nào cho các độ phân giải DNS. Bằng cách đó, chỉ các máy chủ có chứng chỉ chính hãng mới có thể giao tiếp với máy chủ mạng trong khi phân giải các máy chủ DNS.
Các giai đoạn của mỗi mục trong bộ nhớ cache DNS phải ngắn để các bản ghi DNS được tìm nạp thường xuyên hơn và được cập nhật. Điều này có thể có nghĩa là khoảng thời gian dài hơn khi kết nối với các trang web (đôi khi) nhưng sẽ làm giảm cơ hội sử dụng bộ nhớ cache bị nhiễm độc.
Khóa bộ nhớ cache DNS nên được cấu hình đến 90% hoặc cao hơn trên hệ thống Windows của bạn. Khóa bộ nhớ cache trong Windows Server cho phép bạn kiểm soát xem thông tin trong bộ đệm DNS có bị ghi đè hay không. Xem TechNet để biết thêm về điều này.
Sử dụng DNS Socket Pool vì nó cho phép máy chủ DNS sử dụng ngẫu nhiên cổng nguồn khi phát hành truy vấn DNS. Điều này cung cấp bảo mật nâng cao chống lại các cuộc tấn công ngộ độc bộ nhớ cache, TechNet nói.
Phần mở rộng bảo mật hệ thống tên miền (DNSSEC) là một bộ các phần mở rộng cho Windows Server để thêm bảo mật cho giao thức DNS. Bạn có thể đọc thêm về điều này tại đây.
Có hai công cụ mà bạn có thể quan tâm: Trình kiểm tra bộ định tuyến F-Secure sẽ kiểm tra việc tấn công DNS và Công cụ bảo mật WhiteHat giám sát các tấn công DNS.
Hãy đọc ngay bây giờ: DNS Hijacking là gì?
Quan sát và bình luận được hoan nghênh.
Bài viết liên quan:
- Tấn công DNS Hijacking là gì và cách ngăn chặn nó
- Tối ưu hóa kết nối Internet của bạn cho tốc độ với điểm chuẩn DNS
- Tìm hiểu về DNS Lookup: Hướng dẫn 101 về DNS
- Yandex DNS Review: Nhanh hơn, an toàn hơn với các điều khiển Internet
- DNS bị rò rỉ là gì và làm thế nào để ngăn chặn rò rỉ DNS
