Phương pháp đảm bảo an toàn cho hệ thống DNS trên đám mây (P1)

Và chính khách hàng cũng cần trang bị những kiến thức để có cái nhìn sâu sắc đối với các mối đe dọa mà các dịch vụ đám mây phải đối mặt. Nhất là với những tổ chức sở hữu trung tâm dữ liệu và website, các cuộc tấn công vào hệ thống tên miền (DNS) có thể xảy ra bất kỳ lúc nào dù lớn hay nhỏ. Vậy khi sử dụng các dịch vụ đám mây, những hình thức tấn công DNS nào mà tổ chức của bạn phải quan tâm? Việc lựa chọn nhà cung cấp dịch vụ đám mây (CSP) có kiến trúc như thế nào để đảm bảo an toàn cho hệ thống DNS tốt hơn? Bài viết sẽ cho bạn câu trả lời.

CÁC CÁCH TẤN CÔNG HỆ THỐNG DNS

Hệ thống tên miền (Domain Name System - DNS) là một hệ thống cho phép thiết lập mối quan hệ tương ứng giữa địa chỉ IP và tên miền (domain). Mỗi website được gắn với một tên miền và một địa chỉ IP cụ thể. Thực chất, hệ thống DNS là một tập hợp hệ thống phần cứng và các công cụ phần mềm phục vụ cho nhiệm vụ phân giải tên miền. Ngoài ra cần có các giao thức DNS (định dạng gói tin, giao thức truyền...) để có thể tiến hành trao đổi thông tin giữa máy client với các máy chủ DNS và giữa các máy chủ DNS với nhau. Chính vì hội tụ đầy đủ các yếu tố: Phần cứng, phần mềm và giao thức nên hệ thống DNS luôn luôn tiềm ẩn các lỗ hổng mà kẻ tấn công (hacker) có thể sử dụng để khai thác và làm chủ hệ thống, từ đó gây ra các ảnh hưởng tới người dùng [2].

Một số kịch bản tấn công hệ thống DNS phổ biến gồm:

Tấn công giả mạo DNS (DNS cache poisoning)

-Giả mạo phản hồi DNS

Đây là một phương pháp tấn công mà dữ liệu được thêm vào hệ thống cache của các DNS server. Từ đó, các địa chỉ IP sai (thường là các địa chỉ IP do attacker chỉ định) được trả về cho các truy vấn tên miền nhằm chuyển hướng người dùng từ một Để khai thác theo hướng này, kẻ tấn công lợi dụng lỗ hổng của phần mềm DNS, do các DNS responses không được xác nhận để đảm bảo chúng được gửi từ các server đã xác thực, các bản ghi không đúng sẽ được lưu cache và phục vụ cho các user khác.

-Giả mạo địa chỉ DNS

Đây là cách một số phần mềm quảng cáo hay mã độc thường hay thực hiện. Đầu tiên, chúng dựng lên các DNS server, giống với chức năng DNS server thông thường. Tuy nhiên, các DNS server này có khả năng điều khiển để thêm, bớt hay chỉnh sửa các bản ghi DNS nhằm chuyển hướng người dùng tới các địa chỉ IP không chính xác với mục đích: gia tăng quảng cáo, cài mã độc, thay đổi kết quả tìm kiếm...

Để thực hiện hành vi này, các phần mềm độc hại sau khi được cài vào máy tính người dùng, chúng sẽ tìm cách để thay đổi cấu hình DNS của người dùng thành địa chỉ DNS của phần mềm đã thiết lập từ trước. Qua đó, các truy vấn DNS của người dùng thay vì đi qua các DNS server của ISP hoặc do người dùng thiết lập thì lại đi qua các DNS server của kẻ tấn công [2].

Tấn công khuếch đại DNS (DNS Amplification Attack)

Đây là một dạng tấn công từ chối dịch vụ (DDoS). Kẻ tấn công sử dụng các máy chủ DNS mở (trả lời truy vấn từ mọi địa chỉ IP) để làm tràn băng thông của đối tượng cần tấn công.

Có hai yếu tố cơ bản cho cách thức tấn công này:

-Địa chỉ tấn công được che giấu nhờ ánh xạ sang một bên thứ ba (Reflection).

-Lưu lượng mà nạn nhân nhận được sẽ lớn hơn lưu lượng gửi từ kẻ tấn công rất nhiều (Amplification). [2,4]

Đỗ Hữu Tuyến

(Còn nữa)

(TCTTTT Kỳ 1/12/2014)