DNS không được thiết kế cho việc bảo mật. Nhưng lại có nhiều cuộc tấn công tạo ra để khai thác vào lỗ hổng của hệ thống DNS. Vậy làm sao để ngăn chặn các cuộc tấn công? Bài viết này sẽ nói về tầm quan trọng của DNS Security và cách sử dụng nó.
DNS Security là gì?
DNS Security (bảo mật DNS) là phương pháp giúp xác định các IP xấu, độc hại trên internet mà server truy cập. Giúp máy chủ tránh trở thành mục tiêu tấn công của kẻ xấu, đánh cắp thông tin và gây thiệt hại cho toàn bộ hệ thống của doanh nghiệp
Tại sao DNS Security lại quan trọng?
Standard DNS query được sử dụng cho hầu hết các lưu lượng truy cập vào trang web. Do đó, chúng tạo cơ hội cho việc khai thác, chiếm quyền điều khiển DNS và tấn công trên on-path. Những cuộc tấn công này có thể chuyển hướng đến một bản sao giả mạo của trang web. Điều này sẽ thu thập thông tin của người dùng và khiến các doanh nghiệp phải chịu trách nhiệm. Và DNS Security có vai trò ngăn chặn những việc đó. Một trong những cách được biết đến để bảo vệ khỏi các mối đe dọa DNS là áp dụng giao thức DNSSEC.
DNSSEC là gì?
Giống như nhiều protocol Internet khác, hệ thống DNS không được thiết kế với khả năng bảo mật và sẽ có một số hạn chế về thiết kế. Điều này khiến các hacker dễ dàng chiếm đoạt DNS lookup cho các mục đích xấu. Chẳng hạn như đưa người dùng đến một trang web lừa đảo có thể phát tán các phần mềm malware độc hại. Hoặc thậm chí thu thập thông tin các nhân.
DNS Security Extensions (DNSSEC) là một giao thức bảo mật được tạo ra để giảm thiểu vấn đề này. DNSSEC bảo vệ, chống lại các cuộc tấn công bằng cách sử dụng chữ ký điện tử vào các dữ liệu, giúp bảo vệ tính hợp lệ của nó. Để đảm bảo việc tìm kiếm an toàn, việc ký phải diễn ra ở mọi cấp trong quy trình DNS lookup. Từ đó đảm bảo data không bị giả mạo.
DNSSEC triển khai chính sách chữ ký số phân cấp trên tất cả các layer DNS. Mặc dù sự cải thiện về bảo mật là ưu tiên. Nhưng DNSSEC được thiết kế để tương thích ngược, đảm bảo DNS lookup giải quyết các vấn đề chính xác. DNSSEC có nhiệm vụ hoạt động với biện pháp bảo mật khác như SSL/TLS. Đây là một phần của chiến lược bảo mật Internet toàn diện.
DNSSEC tạo ra một hệ thống tin cậy parent-child đến tận DNS root zone. Chuỗi tin cậy này không thể bị xâm nhập ở bất kỳ lớp DNS nào.
Để đóng chuỗi tin cậy, DNS root zone cần được xác thực. Thật thú vị, cái được gọi là Root Zone Signing Ceremony sẽ chọn các cá nhân trên khắp thế giới để ký DNSKEY RRset root một cách công khai và được kiểm tra rõ ràng.
Một số cuộc tấn công phổ biến liên quan đến DNS
DNSSEC là một giao thức có tính bảo mật vô cùng mạnh. Nhưng tiếc là nó chưa được áp dụng rộng rãi. Trên thực tế DNS là một phần không thể thiếu trong hầu hết các Internet request. Điều này khiến DNS trở thành mục tiêu chính cho các cuộc tấn công. Những hacker đã tìm ra một số cách để nhắm mục tiêu và khai thác DNS server. Dưới đây là một số cách phổ biến nhất:
DNS spoofing/cache poisoning
Trong các cuộc tấn công này, DNS data sẽ được đưa vào cache DNS. Điều này dẫn đến việc trình phân giải trả về địa chỉ IP không chính xác cho một domain. Thay vì truy cập đúng trang web, lưu lượng truy cập sẽ được chuyển hướng đến một trang web độc hại hoặc bất kỳ nơi nào mà hacker muốn. Thường đây sẽ là bản sao của trang web gốc, sử dụng cho các mục đích xấu. Chẳng hạn như phát tán phần mềm độc hại hoặc thu thập thông tin cá nhân.
DNS tunneling
Cuộc tấn công này sử dụng các giao thức khác và sử dụng kỹ thuật tunneling thông qua DNS query và những phản hồi của DNS. Các hacker có thể sử dụng SSH, TCP hoặc HTTP để chuyển phần mềm độc hại hoặc thông tin bị đánh cắp vào DNS query. Điều này sẽ không bị phát hiện bởi hầu hết các firewall.
DNS hijacking
Các hacker sẽ chuyển hướng các DNS query đến một server với tên miền khác. Điều này có thể được thực hiện bằng phần mềm độc hại hoặc sửa đổi DNS server. Mặc dù kết quả là tương tự như DNS spoofing, nhưng cách thức tấn công thì khác. Cụ thể, nó sẽ nhắm vào các DNS record của trang web trên nameserver.
Tấn công NXDOMAIN
Đây là một kiểu tấn công DNS flood. Trong đó, các hacker sẽ flood DNS server bằng cách liên tục request những record không tồn tại. Điều này nhằm gây ra lỗi từ chối dịch vụ DDoS cho lưu lượng truy cập hợp pháp. Việc này có thể được thực hiện bằng cách sử dụng công cụ tấn công tinh vi. Chúng có thể tự động tạo subdomain cho mỗi request. Các cuộc tấn công NXDOMAIN cũng có thể nhắm vào các trình phân giải đệ quy. Mục đích là nhằm lấp đầy bộ nhớ cache của trình phân giải với các request rác.
Tấn công Phantom Domain
Một cuộc tấn công Phantom Domain sẽ cho kết quả tương tự như tấn công NXDOMAIN trên trình phân giải DNS. Kẻ tấn công thiết lập nhiều server Phantom domain có thể phản hồi các request rất chậm hoặc không phản hồi. Sau đó, trình phân giải bị ảnh hưởng bởi một loạt request đến các domain này và buộc phải cờ phản hồi. Điều này dẫn đến hiệu suất chậm và bị từ chối dịch vụ.
Tấn công một subdomain ngẫu nhiên
Trong trường hợp này, kẻ tấn công gửi DNS query cho một số subdomain ngẫu nhiên, không tồn tại của một trang web hợp pháp. Mục đích là tạo ra DDoS cho nameserver có thẩm quyền của domain. Khi đó, bạn không thể tra cứu trang web từ nameserver. ISP phục vụ kẻ tấn công cũng có thể bị ảnh hưởng. Vì bộ nhớ cache của trình phân giải đệ quy của chúng sẽ bị tràn ngập với các bad request.
Tấn công Domain lock-up
Những kẻ tấn công sẽ thiết lập các domain và trình phân giải đặc biệt để tạo kết nối TCP. Khi các trình phân giải mục tiêu gửi request, các domain này sẽ gửi lại các packet ngẫu nhiên. Do đó sẽ khóa các resource của trình phân giải.
Tấn công CPE dựa trên botnet
Các cuộc tấn công này được thực hiện bằng cách sử dụng CPE. Những kẻ tấn công xâm phạm CPE và thiết bị trở thành một phần của mạng botnet. Các botnet này được sử dụng để tấn công subdomain hoặc domain ngẫu nhiên.
Các công cụ DNS Security khác
Ngoài DNSSEC, nhà điều hành DNS zone có thể thực hiện các biện pháp DNS Security khác để bảo mật server của họ. Cơ sở hạ tầng “dư thừa” là một chiến lược đơn giản để vượt qua các cuộc tấn công DDoS. Nói một cách đơn giản, ta cần nameserver có thể xử lý nhiều lưu lượng truy cập. Khi đó, sẽ khó xảy ra một cuộc tấn công lớn trên server.
Anycast routing là một công cụ tiện dụng khác có thể phòng chống tấn công DDoS. Anycast cho phép nhiều server chia sẻ một địa chỉ IP. Vì vậy ngay cả khi một DNS server bị shut down thì các server khác vẫn hoạt động. Một chiến lược phổ biến khác để bảo mật DNS server là DNS firewall.
Tham khảo thêm dịch vụ firewall chống DDoS của Vietnix.
DNS firewall cũng là công cụ DNS security phổ biến
DNS firewall là một công cụ DNS Security. Nó cung cấp bảo mật và nâng cao hiệu suất cho các DNS server. Nó nằm giữa trình phân giải đệ quy của user và nameserver. Firewall có thể cung cấp dịch vụ giới hạn tốc độ để ngăn hacker cố gắng tấn công server. Nếu server gặp phải downtime do bị tấn công hoặc lý do khác, DNS firewall có thể đảm bảo hoạt động ổn định. Cụ thể là bằng cách cung cấp các phản hồi DNS từ bộ nhớ cache.
Ngoài tính năng bảo mật, DNS firewall cũng cung cấp các giải pháp hiệu suất. Chẳng hạn như DNS lookup nhanh hơn và giảm chi phí bandwidth cho nhà khai thác DNS.
DNS Security là một công cụ bảo mật
Trình phân giải DNS cũng có thể được cấu hình để cung cấp các giải pháp bảo mật cho người dùng của họ. Một số trình phân giải DNS cung cấp các tính năng như lọc nội dung, chặn các trang web độc hại và bảo vệ mạng botnet. Hiện nay, có nhiều trình phân giải DNS Security được sử dụng miễn phí. Người dùng có thể chuyển sang dịch vụ DNS đệ quy bằng cách thay đổi cài đặt trong router của họ.
DNS query có riêng tư không?
Một vấn đề DNS Security quan trọng khác là quyền riêng tư của người dùng. DNS query không được mã hóa, ngay cả khi sử dụng trình phân giải như 1.1.1.1. Các DNS query sẽ truyền qua Internet dưới dạng plaintext. Điều này có nghĩa là nếu ai chặn DNS query đều có thể xem trang web người dùng đang truy cập.
Sự thiếu riêng tư này có thể ảnh hưởng đến bảo mật và nhân quyền. Nếu DNS query không riêng tư, chính phủ sẽ dễ dàng kiểm duyệt Internet hơn. Những hacker cũng dễ dàng theo dõi hành vi trực tuyến của người dùng hơn.
DNS qua TLS và DNS qua HTTPS là hai tiêu chuẩn mã hóa để DNS query ngăn chặn những hành vi xấu.
>> Xem thêm: Adguard DNS là gì? An toàn Internet với AdGuard DNS
Lời kết
Đến đây bạn có thể hiểu được sự cần thiết của DNS Security và các kiểu tấn công DNS phổ biến để có thể ngăn chặn nó. Hy vọng bài viết này cung cấp cho bạn nhiều thông tin bổ ích!
