5/5 - (9467 bình chọn)

Nhiễm độc bộ nhớ đệm DNS (DNS cache poisoning), hay còn được gọi là giả mạo DNS, là một kiểu tấn công khai thác lỗ hổng trong hệ thống tên miền (DNS – domain name system) để chuyển hướng lưu lượng truy cập Internet từ máy chủ hợp pháp tới các máy chủ giả mạo.

Nhiễm độc DNS Cache là gì ?
Nhiễm độc DNS Cache là gì ? 6

Theo trang công nghệ Howtogeek, một trong những lý do khiến nhiễm độc DNS trở nên rất nguy hiểm là vì nó có thể lây lan từ máy chủ DNS này sang máy chủ DNS khác. Trong năm 2010, một sự kiện ngộ độc DNS lớn đã dẫn đến “Vạn Lý Tường Lửa” (Great Firewall) của Trung Quốc tạm thời được chuyển ra khỏi biên giới nước này, việc kiểm duyệt Internet được chuyển hướng sang Mỹ cho đến khi được sửa chữa.

DNS hoạt động như thế nào?

600x230

Nói một cách dễ hiểu thì bất cứ khi nào bạn gõ một địa chỉ trang web trên máy tính chẳng hạn như “google.com”, thì việc đầu tiên là nó phải liên lạc với máy chủ DNS của mình (trong ví dụ này là máy chủ DNS của Google). Các máy chủ DNS sau đó đáp ứng với một hoặc nhiều địa chỉ IP giúp máy tính của bạn có thể truy cập vào google.com. Máy tính của bạn sau đó kết nối trực tiếp đến địa chỉ IP “số”. DNS chuyển đổi qua lại địa chỉ con người có thể đọc được như “google.com” với các địa chỉ IP bằng số mà chỉ máy tính có thể đọc được như “173.194.67.102”.

Bộ nhớ đệm của DNS

600x275

Internet không chỉ có duy nhất một máy chủ DNS nào đó mà là vô số, giúp cho nó trở nên hiệu quả trong việc trao đổi thông tin. Hầu hết các nhà cung cấp dịch vụ Internet của bạn chạy các máy chủ DNS của riêng mình, tuy nhiên, thông tin cũng có thể được truy xuất từ bộ nhớ cache của máy chủ DNS khác. Bộ định tuyến (router) của nhà bạn cũng đóng vai trò như một máy chủ DNS, trong đó lưu trữ thông tin từ các máy chủ DNS của nhà cung cấp dịch vụ Internet. Máy tính của bạn cũng có một bộ nhớ đệm DNS địa phương, vì vậy nó có thể nhanh chóng tham khảo tra cứu hơn là thực hiện việc đó trên một máy chủ DNS khác.

Nhiễm độc DNS Cache

Một bộ nhớ đệm DNS có thể bị nhiễm độc nếu nó chứa một mục nhập (entry) không chính xác. Ví dụ, nếu một kẻ tấn công được quyền kiểm soát một máy chủ DNS và thay đổi một số thông tin trên đó, ví dụ, địa chỉ google.com sẽ bị chuyển đến địa chỉ IP mà kẻ tấn công sở hữu trong khi người dùng không hề hay biết, khi đó máy chủ DNS sẽ khiến người dùng Google.com để tìm kiếm đi đến sai địa chỉ. Mà địa chỉ đó của kẻ tấn công thì có thể chứa một số loại trang web lừa đảo độc hại.

600x220

Sự nhiễm độc DNS như thế này hoàn toàn có thể lây lan. Ví dụ, các nhà cung cấp dịch vụ Internet khác nhau có thể nhận được thông tin DNS của họ từ các máy chủ đã bị xâm nhập, các entry DNS chứa mã độc sẽ lây lan sang các nhà cung cấp dịch vụ Internet và được lưu trữ ở đó. Sau đó nó sẽ tiếp tục lây lan sang các bộ định tuyến gia đình bạn và bộ nhớ đệm DNS địa phương trên máy tính dẫn đến việc tìm kiếm các entry DNS nhận được phản hồi không chính xác mà người dùng hoàn toàn không hề hay biết.

“Vạn Lý Tường Lửa” của Trung Quốc “bị dời” sang Mỹ

Tất cả những điều đã nêu trên đây không chỉ là một vấn đề lý thuyết. Sự thật là nó thậm chí đã xảy ra trong thế giới thực trên quy mô lớn. Vâng, chúng ta đang nói tới vụ nhiễm độc DNS quy mô lớn “Great Firewall” xảy ra cách đây 3 năm. Một trong những cách giúp Great Firewall Trung Quốc hoạt động là thực hiện chặn ở cấp DNS (DNS level). Ví dụ, một trang web bị chặn ở Trung Quốc, chẳng hạn như twitter.com, có thể có các bản ghi DNS của trang web này “trỏ” vào một địa chỉ không chính xác trên các máy chủ DNS ở Trung Quốc. Và kết quả người dùng không thể truy cập Twitter thông qua các phương tiện bình thường. Nếu muốn, Trung Quốc có thể cố ý đầu độc bộ nhớ đệm máy chủ DNS riêng của chính mình vì một mục đích nào đó.

600x276

Trong năm 2010, một nhà cung cấp dịch vụ Internet bên ngoài lãnh thổ Trung Quốc đã nhầm lẫn cấu hình máy chủ DNS của mình với các thông tin từ các máy chủ DNS ở Trung Quốc. Không may, nó đã lấy các bản ghi DNS không chính xác từ Trung Quốc và lưu trữ chúng trên các máy chủ DNS của riêng mình. Và sau đó, các nhà cung cấp dịch vụ Internet khác lại lấy thông tin DNS từ nhà cung cấp dịch vụ Internet này và sử dụng nó trên các máy chủ DNS của họ. Các entry DNS mang mã độc tiếp tục lan truyền cho đến khi nhiều người dùng ở Mỹ đã bị chặn truy cập vào Twitter, Facebook và YouTube trên chính các nhà cung cấp dịch vụ Internet của Mỹ. “Vạn Lý Tường Lửa” (Great Firewall) của Trung Quốc đã thực sự bị “rò rỉ” ra ngoài biên giới quốc gia này và ngăn hàng loạt người sử dụng từ nhiều nơi khác trên thế giới truy cập vào các trang web trên. Cho dù đây chỉ là sự cố nhưng diễn biến của sự kiện này chẳng khác gì so với một cuộc tấn công đầu độc DNS quy mô lớn.

Giải pháp

Để tìm lý do thực sự của sự nhiễm độc bộ nhớ đệm DNS là một vấn đề rất khó khăn bởi vì không có cách nào thực sự hiệu quả để xác định các danh mục DNS máy tính của bạn nhận được có hợp pháp hay đã bị giả mạo.

Một trong những giải pháp dài hạn để chống đầu độc bộ nhớ đệm DNS là DNSSEC. DNSSEC sẽ cho phép các tổ chức “ký” vào các bản ghi DNS của họ bằng cách sử dụng mật mã khóa công khai, việc này đảm bảo rằng máy tính của bạn sẽ biết liệu một bản ghi DNS nên tin tưởng hay đã bị đầu độc và chuyển hướng đến một địa chỉ không chính xác.