Hotline : 07 088 44444
Thích
Chia sẻ

DNS Sinkhole là gì? Tại sao nên sử dụng kỹ thuật DNS Sinkhole?

21/06/2021

DNS sinkhole là gì? Phát hiện botnet sử dụng kỹ thuật DNS Sinkhole ra sao? Cách hoạt động của kỹ thuật DNS Sinkhole ra sao? Mục đích của hệ thống DNS sinkhole là gì? Bài viết này sẽ hướng dẫn chi tiết các câu hỏi bên trên.

DNS Sinkhole là gì?

DNS Sinkhole là một cơ chế nhằm bảo vệ người dùng bằng cách chặn DNS request cố gắng kết nối với các domain độc hại và trả về sai địa chỉ IP. Địa chỉ IP được kiểm soát trỏ đến một sinkhole server do admin của DNS sinkhole xác định.

cách thức hoạt động của DNS sinkhole

Kỹ thuật này có thể được sử dụng để ngăn host kết nối hoặc giao tiếp với các đích độc hại chẳng hạn như botnet C&C server. Sinkhole server có thể được sử dụng để thu thập nhật ký sự kiện, nhưng trong những trường hợp như vậy, admin của Sinkhole phải đảm bảo rằng tất cả việc ghi nhật ký được thực hiện trong ranh giới pháp lý của họ và không vi phạm vào quyền riêng tư.

Cấu trúc hoạt động kỹ thuật DNS Sinkhole

DNS sinkhole là gì

Vậy cách hoạt động của DNS sinkhole là gì ? DNS sinkhole bỏ qua DNS request và cung cấp response được định cấu hình bởi admin của DNS sinkhole. Điều này không cho phép chủ sở hữu có thẩm quyền của domain giải quyết vấn đề này. Thay vào đó, DNS sinkhole chặn DNS request và phản hồi bằng một câu trả lời do tổ chức định cấu hình.

Sau bước này, việc chuẩn bị, phát hiện và ngăn chặn một phần kết thúc. Việc ngăn chặn một phần là vì máy tính bị xâm nhập vẫn có thể cố gắng tấn công các máy tính bên trong. Do đó, các nhóm phân tích và diệt trừ bổ sung nên được thực hiện bởi các nhóm tương ứng.

Cách hoạt động của DNS Sinkhole là gì?

DNS là giao thức nằm trong bộ tiêu chuẩn về cách máy tính trao đổi dữ liệu trên Internet và trên nhiều mạng riêng. Nó được gọi là bộ giao thức TCP / IP. Dịch vụ DNS được sử dụng để route tên miền của các trang web có địa chỉ IP của nó. DNS server hoặc name server quản lý một database khổng lồ, map các tên miền đến địa chỉ IP tương ứng.

Giao thức này có nhiều loại apps phải được chuyển qua giao diện có thể được can thiệp. DNS là database phân cấp chứa thông tin mapping Internet hostname thành địa chỉ IP và ngược lại. User tra cứu thông tin trong DNS bằng cách tham chiếu một resolver library. Thư viện này sẽ gửi các truy vấn đến nhiều name server và cũng hoạt động như một responder.

Dữ liệu trong DNS xác định bởi các tên miền được tổ chức dưới dạng cây. Tên miền của node là ghép của tất cả các label trên đường dẫn từ node đến root node. Tên miền được hiển thị dưới dạng một chuỗi các label được liệt kê từ phải sang trái, tách nhau bằng dấu chấm.

Client server sử dụng cơ chế DNS có nhiệm vụ khớp các tên miền với địa chỉ IP tương ứng. Phân giải DNS này có khả năng phân giải dữ liệu từ các truy vấn. DNS được sử dụng để route dữ liệu và gửi yêu cầu chuyển hướng đến phía server. Việc giải quyết yêu cầu này có thể được xử lý trên cơ sở client.

Lợi ích khi sử dụng hệ thống giám sát DNS Sinkhole

Vậy những lợi ích khi sử dụng hệ thống DNS sinkhole là gì, sẽ có những lợi ích sau:

  • Có quá nhiều lợi ích khi sử dụng DNS sinkhole nội bộ như không quá tốn kém, có thể mở rộng, dễ bảo trì hiệu quả. Nó cũng cung cấp những lợi ích hấp dẫn khi so sánh với các DNS sinkhole thương mại hoặc dưa trên cloud.
  • Một số dịch vụ DNS miễn phí bao gồm Norton DNS Beta, ClearCloud và OpenDNS dưới dạng tính phí.
  • DNS sinkhole được mô tả trong bài này sử dụng open source và có thể vận hành trên hầu như bất kỳ nền tảng phần cứng nào với chi phí vốn tối tiểu.
  • Bảo trì liên tục bao gồm xử lý các bản cập nhật tự động từ một hoặc nhiều danh sách open source gồm các host hoặc domain độc hại.
  • Việc sử dụng danh sách hoàn toàn miễn phí. Các date source cũng được bổ sung thường xuyên. Danh sách cũng có thể được xem toàn bộ và chỉnh sửa nếu cần
  • Admin có thể sử dụng danh sách để xác minh xem host hoặc domain có bị chặn mà không cần thử nghiệm hay không.
  • Các tổ chức có thể dễ dàng tích hợp các sinkhole ‘closed-source’ của riêng họ cho các host hoặc domain. Khả năng tùy chỉnh dữ liệu này là một điểm khác biệt đáng kể so với các dịch vụ thương mại.

Chức năng và hạn chế DNS Sinkhole

Chức năng

DNS sinkhole có một bộ chức năng chính cho nhiều trường hợp để sử dụng:

  • Chặn tải xuống theo Drive

DNS sinkhole chuyển hướng người truy cập vào một website hợp pháp mà hacker đã bí mật chèn link độc hại. Liên kết này buộc khách hàng phải tải xuống và thực thi code độc hại mà họ không hề hay biết.

  • Chặn C&C server

Khi người dùng cố gắng kết nối với C&C server, link giới thiệu có thể xuất hiện, cho biết kết nối trực tiếp với domain. Đây là một indicator tốt cho biết người dùng đang bị xâm phạm và bot đang cố gắng liên hệ với bộ điều khiển để thêm các lệnh độc hại.

Hạn chế 

Vậy hạn chế của DNS sinkhole là gì?

Phần mềm độc hại sẽ yêu cầu sử dụng DNS server của tổ chức. Phần mềm độc hại có DNS server và địa chỉ IP được mã hóa nên không thể phát hiện nó bằng DNS sinkhole. Nhược điểm này có thể được giảm thiểu bằng cách sử dụng firewall perimeter được cấu hình để chặn tất cả các DNS query được gửi đi bởi người thay vì DNS server của tổ chức.

DNS sinkhole không thể ngăn phần mềm độc hại đã được vận hành. Phần mềm độc hại cũng có thể lây lan sang các máy tính khác. Ngoài ra, bằng cách sử dụng DNS sinkhole, phần mềm độc hại không thể bị xóa khỏi máy bị nhiễm.

DNS sinkhole sẽ được input với các indicator của phần mềm độc hại và các indicator này phải được phân tích trước. Ngoài ra, IP độc hại được thu thập từ các open source và đưa vào DNS sinkhole có thể là thông tin sai. Các nguồn có thể chứa một URL không có hại và do đó nó sẽ dẫn đến hạn không mong muốn đối với các website hợp pháp.

DNS sinkhole nên được tách biệt với mạng bên ngoài. Điều này làm cho kẻ tấn công không thể được thông báo vì lưu lượng truy cập C&C của họ đã bị giảm thiểu. Nếu không thì hacker sẽ thao túng các entry trong DNS sinkhole và sử dụng nó cho mục đích xấu.

DNS record phải được triển khai với tim-to-live (TTL) với giá trị ngắn. Nếu không, người dung có thể lưu vào bộ nhớ cache cũ trong một khoản thời gian dài hơn.

Tại sao nên sử dụng DNS Sinkhole?

Khi lưu lượng truy cập vào sinkhole, các nhà nghiên cứu có thể biết máy tính nào có thế bị nhiễm và sẽ thông báo cho người dùng. Không chỉ vậy, việc xem cách máy móc giao tiếp với domain độc hại cho phép các nhà nghiên cứu tạo ra biện pháp phòng thủ chống lại các tấn công đó.

Sau đó, họ có thể chia sẻ thông tin tình báo thu thấp được. Điều này vô hiệu hóa một cách hiệu quả các tấn công.

Vì lý do này, các white hat sinkhole IP là một công cụ hữu ích cho an ninh mạng. Với dữ liệu quý giá có bên trong chúng, các nhà nghiên cứu có thể phát hiện ra phần mềm dộc hại tiềm ẩn, bảo vệ mạng của họ và đóng góp vào sự an toàn của Internet.

Nếu bạn có thắc mắc hay có vấn đề cần hỗ trợ, bạn có thể liên hệ trực tiếp với Vietnix thông qua các kênh sau:
  • Hotline: 1800 1093 - 07 088 44444
  • Email: support@vietnix.vn
  • Hoặc chat trực tiếp với Vietnix thông qua biểu tượng Livechat ở góc phải màn hình. Đội ngũ chuyên viên của chúng tôi luôn sẵn sàng tư vấn và hỗ trợ bạn 24/7.
Vietnix hiện đang có chương trình khuyến mãi lớn nhất trong năm, giảm giá TRỌN ĐỜI: Đăng ký dùng thử ngay và Vietnix sẽ hoàn tiền 100% nếu quý khách không hài lòng với chất lượng sản phẩm, dịch vụ!
Mình là Bo - admin của Quản Trị Linux. Mình đã có 10 năm làm việc trong mảng System, Network, Security và đã trải nghiệm qua các chứng chỉ như CCNP, CISSP, CISA, đặc biệt là chống tấn công DDoS. Gần đây mình trải nghiệm thêm Digital Marketing và đã hòan thành chứng chỉ CDMP của PersonVUE. Mình rất thích được chia sẻ và hỗ trợ cho mọi người, nhất là các bạn sinh viên. Hãy kết nối với mình nhé!
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments