Phương pháp đảm bảo an toàn cho hệ thống DNS trên đám mây (P1)

03/11/2015 20:52
Theo dõi ICTVietnam trên

Trong vài năm trở lại đây, sự phổ biến của các dịch vụ đám mây đã gia tăng đột biến. Việc đảm bảo tính minh bạch trong kiến trúc và quản lý các dịch vụ đám mây là một trong những yếu tố cần thiết để lấy được lòng tin từ khách hàng.

Và chính khách hàng cũng cần trang bị những kiến thức để có cái nhìn sâu sắc đối với các mối đe dọa mà các dịch vụ đám mây phải đối mặt. Nhất là với những tổ chức sở hữu trung tâm dữ liệu và website, các cuộc tấn công vào hệ thống tên miền (DNS) có thể xảy ra bất kỳ lúc nào dù lớn hay nhỏ. Vậy khi sử dụng các dịch vụ đám mây, những hình thức tấn công DNS nào mà tổ chức của bạn phải quan tâm? Việc lựa chọn nhà cung cấp dịch vụ đám mây (CSP) có kiến trúc như thế nào để đảm bảo an toàn cho hệ thống DNS tốt hơn? Bài viết sẽ cho bạn câu trả lời.

CÁC CÁCH TẤN CÔNG HỆ THỐNG DNS

Hệ thống tên miền (Domain Name System - DNS) là một hệ thống cho phép thiết lập mối quan hệ tương ứng giữa địa chỉ IP và tên miền (domain). Mỗi website được gắn với một tên miền và một địa chỉ IP cụ thể. Thực chất, hệ thống DNS là một tập hợp hệ thống phần cứng và các công cụ phần mềm phục vụ cho nhiệm vụ phân giải tên miền. Ngoài ra cần có các giao thức DNS (định dạng gói tin, giao thức truyền...) để có thể tiến hành trao đổi thông tin giữa máy client với các máy chủ DNS và giữa các máy chủ DNS với nhau. Chính vì hội tụ đầy đủ các yếu tố: Phần cứng, phần mềm và giao thức nên hệ thống DNS luôn luôn tiềm ẩn các lỗ hổng mà kẻ tấn công (hacker) có thể sử dụng để khai thác và làm chủ hệ thống, từ đó gây ra các ảnh hưởng tới người dùng [2].

Một số kịch bản tấn công hệ thống DNS phổ biến gồm:

Tấn công giả mạo DNS (DNS cache poisoning)

-Giả mạo phản hồi DNS

Đây là một phương pháp tấn công mà dữ liệu được thêm vào hệ thống cache của các DNS server. Từ đó, các địa chỉ IP sai (thường là các địa chỉ IP do attacker chỉ định) được trả về cho các truy vấn tên miền nhằm chuyển hướng người dùng từ một Để khai thác theo hướng này, kẻ tấn công lợi dụng lỗ hổng của phần mềm DNS, do các DNS responses không được xác nhận để đảm bảo chúng được gửi từ các server đã xác thực, các bản ghi không đúng sẽ được lưu cache và phục vụ cho các user khác.

-Giả mạo địa chỉ DNS

Đây là cách một số phần mềm quảng cáo hay mã độc thường hay thực hiện. Đầu tiên, chúng dựng lên các DNS server, giống với chức năng DNS server thông thường. Tuy nhiên, các DNS server này có khả năng điều khiển để thêm, bớt hay chỉnh sửa các bản ghi DNS nhằm chuyển hướng người dùng tới các địa chỉ IP không chính xác với mục đích: gia tăng quảng cáo, cài mã độc, thay đổi kết quả tìm kiếm...

Để thực hiện hành vi này, các phần mềm độc hại sau khi được cài vào máy tính người dùng, chúng sẽ tìm cách để thay đổi cấu hình DNS của người dùng thành địa chỉ DNS của phần mềm đã thiết lập từ trước. Qua đó, các truy vấn DNS của người dùng thay vì đi qua các DNS server của ISP hoặc do người dùng thiết lập thì lại đi qua các DNS server của kẻ tấn công [2].

Tấn công khuếch đại DNS (DNS Amplification Attack)

Đây là một dạng tấn công từ chối dịch vụ (DDoS). Kẻ tấn công sử dụng các máy chủ DNS mở (trả lời truy vấn từ mọi địa chỉ IP) để làm tràn băng thông của đối tượng cần tấn công.

Có hai yếu tố cơ bản cho cách thức tấn công này:

-Địa chỉ tấn công được che giấu nhờ ánh xạ sang một bên thứ ba (Reflection).

-Lưu lượng mà nạn nhân nhận được sẽ lớn hơn lưu lượng gửi từ kẻ tấn công rất nhiều (Amplification). [2,4]


Đỗ Hữu Tuyến

(Còn nữa)

(TCTTTT Kỳ 1/12/2014)

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Phương pháp đảm bảo an toàn cho hệ thống DNS trên đám mây (P1)
POWERED BY ONECMS - A PRODUCT OF NEKO