DNS Cache Poisoning và DNS Spoofing là gì?

DNS Cache Poisoining và DNS Spoofing là hai hình thức cyberattack phổ biến hiện nay. Vậy cụ thể, DNS Cache Poisoining và DNS Spoofing là gì? Chúng có thể ảnh hưởng ra sao? Làm sao để ngăn chặn chúng? Hãy theo dõi bài viết ngay sau đây để bảo vệ chính mình!

DNS Poisoning và DNS Spoofing là gì?

Domain Name System (DNS) poisoning và spoofing là các loại cyberattack (tấn công mạng) phổ biến hiện nay. Chúng khai thác các lỗ hổng của DNS server để chuyển hướng lưu lượng truy cập từ các server hợp pháp sang các server giả mạo. Khi bạn đã truy cập vào một trang lừa đảo, bạn có thể bối rối về cách giải quyết nó. Bạn sẽ cần biết chính xác cách thức hoạt động của nó để tự bảo vệ mình.

DNS spoofing và DNS cache poisoning là một trong những cyberthreat lừa đảo phổ biến. Nếu không hiểu cách internet kết nối bạn với các trang web, bạn có thể bị lừa khi nghĩ rằng chính một trang web đã bị hack. Trong một số trường hợp, có thể là chính thiết bị của bạn vừa bị hack. Tệ hơn nữa, các bộ cybersecurity hiện nay chỉ có thể ngăn chặn một số mối đe dọa liên quan đến DNS spoof.

DNS là gì? DNS Server là gì?

Để nhắc lại, DNS là viết tắt của “Domain Name System”. Trước khi tìm hiểu DNS server, điều quan trọng là phải làm rõ các định nghĩa liên quan đến chủ đề này.

• Địa chỉ Internet Protocol (IP) là một chuỗi số, được đặt cho mỗi máy tính và server. Những IP này là những gì máy tính sử dụng để xác định vị trí và “giao tiếp” với nhau.
• Domain là một tên gợi nhớ mà con người sử dụng để ghi nhớ, xác định và kết nối với các website server cụ thể. Ví dụ: domain “www.example.com” được sử dụng như một target server ID thực tế – tức là địa chỉ IP.
• Domain name system (DNS) được sử dụng để dịch domain thành địa chỉ IP tương ứng.
• Domain name system server (DNS server) là một tập hợp của bốn loại server tạo ra DNS lookup process. Chúng bao gồm resolving name server, root name servers, top-level domain (TLD) name servers, và authoritative name servers. Để đơn giản, chúng ta sẽ chỉ tìm hiểu chi tiết về resolver server.
• Resolver server (hoặc recursive resolver) là thành phần phiên dịch của DNS lookup process nằm trong hệ điều hành. Nó được thiết kế để hỏi. Tức là query – một loạt các DNS server cho địa chỉ target IP của một domain name.

Cách hoạt động của DNS Lookup

Khi bạn tìm kiếm một trang web thông qua tên domain, đây là cách hoạt động của DNS lookup:

1. Web browser và HĐH (OS) của bạn cố gắng recall địa chỉ IP được đính kèm với tên domain. Nếu đã truy cập trước đó, địa chỉ IP có thể được recall từ internal storage của máy tính hoặc memory cache.
2. Quá trình này sẽ tiếp tục nếu không có thành phần nào biết đích đến của IP ở đâu.
3. HĐH (OS) query resolving name server cho địa chỉ IP. Query này bắt đầu tìm kiếm thông qua một chuỗi server để tìm IP phù hợp cho domain.
4. Cuối cùng, resolver sẽ tìm và cung cấp địa chỉ IP tới OS, địa chỉ này sẽ chuyển nó trở lại trình duyệt web.

DNS lookup process là một framework quan trọng được toàn bộ internet sử dụng. Thật không may, bọn tội phạm có thể lạm dụng các lỗ hổng trong DNS. Nghĩa là bạn cần phải biết về các redirect có thể xảy ra. Để giúp bạn, hãy tìm hiểu DNS spoofing là gì và cách hoạt động của nó.

Cách hoạt động của DNS Cache Poisoning và Spoofing

Liên quan đến DNS, đây là 2 mối đe dọa nổi bật nhất:

1. DNS spoofing: bắt chước các điểm đến của server hợp pháp để chuyển hướng lưu lượng truy cập của domain. Các nạn nhân không nghi ngờ gì sẽ truy cập vào các trang web độc hại. Đó cũng là mục tiêu của DNS spoofing.
2. DNS cache poisoning là một phương pháp DNS spoofing phía user. Trong đó, hệ thống của bạn log địa chỉ IP giả trong local memory cache. Điều này dẫn đến việc DNS sẽ recall trang web xấu. Ngay cả khi sự cố đã được giải quyết hoặc chưa bao giờ tồn tại ở phía server.

Các phương pháp tấn công DNS Spoofing hoặc Cache Poisoning

Có nhiều phương pháp để tấn công DNS Spoof, sau đây là một số phương pháp phổ biến:

Man-in-the-middle duping: Nơi kẻ tấn công nằm giữa web browser của bạn và DNS server để lây nhiễm cả hai. Một tool được sử dụng để tấn công cache poisoning đồng thời trên cả thiết bị local của bạn và server poisoning trên DNS server. Kết quả là chuyển hướng đến một trang web độc hại được host trên local server của chính kẻ tấn công.

DNS server hijack: Tội phạm trực tiếp cấu hình lại server để hướng tất cả request của user đến trang web độc hại. Khi DNS entry giả được đưa vào DNS server, bất kỳ IP request nào cho spoofed domain sẽ dẫn đến trang web giả mạo.

DNS cache poisoning via spam: Code của DNS cache poisoning thường được tìm thấy trong các URL được gửi qua email spam. Những email này cố gắng khiến user sợ hãi khi nhấp vào URL được cung cấp. Từ đó lây nhiễm vào máy tính của họ.
Bên cạnh đó, quảng cáo biểu ngữ và hình ảnh cả trong email và các trang web không đáng tin cậy cũng có thể hướng user đến code này. Sau khi bị poisoned, máy tính của bạn sẽ đưa bạn đến các trang web giả được giả mạo để trông giống như thật. Đây là nơi các mối đe dọa thực sự sẽ xâm nhập vào thiết bị của bạn.

Hậu quả của DNS Poisoning và DNS Spoofing là gì?

Dưới đây là những rủi ro phổ biến khi bị DNS Poisoning và Spoofing. Mỗi rủi ro đều gây hại cho thiết bị và dữ liệu cá nhân của bạn.

• Bị đánh cắp dữ liệu
• Bị nhiễm Malware (phần mềm xấu)
• Cập nhật bảo mật bị tạm dừng
• Kiểm duyệt

Cách ngăn chặn và ngăn ngừa DNS Cache Poisoning và Spoofing

Đối với chủ sở hữu trang web và nhà cung cấp DNS server:

1. Sử dụng các công cụ phát hiện DNS Poisoning
2. Sử dụng các tiện ích bảo mật DNS
3. Mã hóa end-to-end

Đối với endpoint user:

1. Không bao giờ nhấp vào liên kết mà bạn không nhận ra
2. Thường xuyên scan máy tính để tìm phần mềm độc hại
3. Flush DNS cache của bạn để giải quyết vấn đề nhiễm độc
4. Sử dụng virtual private network (VPN).

Lời kết

Hy vọng bài viết trên đã giúp bạn hiểu được DNS Spoofing là gì? Nếu có thắc mắc hay đóng góp ý kiến, mời bạn để lại bình luận phía dưới bài viết này. Vietnix xin chân thành cảm ơn bạn.