Trang Chính
Theo
Trung tâm An ninh mạng Bách Khoa (Bkis), lỗ hổng DNS cache poisoning
đang đặt các hệ thống máy chủ DNS tại Việt Nam cũng như trên toàn thế
giới trước nguy cơ bị tin tặc tấn công đầu độc trên diện rộng.
Đây là một lỗ hổng đặc biệt nghiêm trọng nhất là khi hacker đã có phương
thức mới để có khả năng khai thác thành công lỗ hổng này. Điều này gây
hoang mang cho nhiều quản trị mạng khi không có công cụ để kiểm tra xem
hệ thống máy chủ DNS của mình có mắc lỗi này hay không và cách khắc phục
như thế nào.
Ngày 25/07/2008, Bkis đã phát hành phần mềm Bkav DNS Check cho phép kiểm
tra, phát hiện hệ thống máy chủ DNS có lỗ hổng Subdomain Exploit DNS
Cache Poisoning hay không. Cùng với việc phát hành phần mềm này, Bkis
cũng hướng dẫn cách vá lỗ hổng để tránh nguy cơ bùng phát các cuộc tấn
công vào hệ thống DNS tại Việt Nam.
Để kiểm tra xem hệ thống của mình có mắc lỗi hay không, quản trị mạng các cơ quan, các ISP làm theo các bước như sau:
1. Tải phần mềm Bkav DNS Check tại địa chỉ sau: [You must be registered and logged in to see this link.]
2. Cấu hình DNS Server Forwarders: để trỏ domain name BkavDnsCheck.vn tới địa chỉ IP 203.162.1.239 (địa chỉ máy chủ của phần mềm kiểm tra lỗi Bkav DNS Check). Hướng dẫn chi tiết tải tại địa chỉ sau: [You must be registered and logged in to see this link.]
Trong trường hợp kết quả kiểm tra cho thấy có lỗi, bạn làm các bước sau để tiến hành khắc phục:
1. Kiểm tra xem hệ thống DNS đang sử dụng là phần mềm của nhà sản xuất nào (Microsoft, Red Hat,…)
2.Vá lỗi theo bản hướng dẫn tương ứng với hệ thống DNS của mình:
+ Microsoft: [You must be registered and logged in to see this link.]
+ Red Hat: [You must be registered and logged in to see this link.]
+ FreeBSD: [You must be registered and logged in to see this link.]
+ Sun: [You must be registered and logged in to see this link.]
+ Cisco Systems: [You must be registered and logged in to see this link.]
Đối với người sử dụng cá nhân, cần thận trọng trong
thời gian này khi truy cập Internet. Nếu vào một website quen thuộc
nhưng lại gặp hiện tượng không bình thường, bạn nên thông báo ngay với
quản trị mạng của cơ quan, hỗ trợ kỹ thuật của các ISP để có biện pháp
xử lý kịp thời. Bạn cũng nên cập nhật đầy đủ các bản vá của hệ điều hành
và phần mềm diệt virus để tránh nguy cơ bị lây nhiễm mã độc.
Giao thức DNS là giao thức phân giải địa chỉ, dùng để ánh xạ giữa tên
miền (domain name) sang địa chỉ Internet (IP). Theo giao thức này, máy
chủ DNS khi nhận được yêu cầu phân giải địa chỉ (request) từ máy trạm,
nó sẽ tra cứu trong bộ đệm (cache) và trả về địa chỉ IP tương ứng với
tên miền mà máy trạm yêu cầu. Tuy nhiên, nếu không tìm thấy trong bộ
đệm, máy chủ DNS sẽ chuyển tiếp yêu cầu phân giải tới một máy chủ DNS
khác. Đây chính là khâu đã bị phát hiện là có lỗ hổng nghiêm trọng và mã
khai thác lỗ hổng này đã được lan truyền trên mạng Internet trong vài
ngày qua.
Cách thức tấn công DNS cache poisoning của hacker như sau: hacker (máy
H) gửi hàng loạt yêu cầu phân giải địa chỉ tới máy chủ DNS nạn nhân (máy
A). Các tên miền cần phân giải đã được hacker tính toán sao cho máy chủ
A không thể tìm thấy trong bộ đệm của nó và buộc phải chuyển tiếp tới
máy chủ DNS tiếp theo (máy B). Mỗi trao đổi phân giải giữa A và B được
xác thực thông qua một số hiệu TID (Transaction ID) ngẫu nhiên. Tuy
nhiên, điểm yếu ở đây chính là việc số TID này chỉ là một số 16 bit (nhỏ
hơn 65535) và mọi trao đổi giữa A và B đều diễn ra trên một cổng (port)
cố định của A.
Lỗ hổng DNS cache poisoning đã xuất hiện lần đầu tiên vào những năm 90.
Từ đó đến nay hacker đã sử dụng nhiều phương pháp khác nhau để khai thác
lỗ hổng này. Đây là lỗi trong thiết kế của giao thức DNS. Với mỗi
phương pháp khai thác, các nhà sản xuất phần mềm DNS Server cũng đã cung
cấp các bản vá để ngăn chặn và vấn đề đã được khắc phục. Tuy nhiên, gần
đây hacker đã tìm ra được phương thức tấn công mới, tiếp tục khai thác
lỗ hổng DNS cache poisoning.
Điểm quan trọng nhất trong phương pháp khai thác lỗ hổng DNS cache
poisoning lần này là việc hacker sử dụng các tên miền con (subdomain) để
tạo ra các yêu cầu phân giải địa chỉ hợp lệ. Các tên miền con được tạo
ngẫu nhiên với số lượng lớn, điều này đảm bảo các tên miền này chưa từng
tồn tại trong cache của máy chủ A và buộc A phải tạo ra cùng số lượng
tương ứng các yêu cầu chuyển tiếp tới máy chủ B. Kết quả là xác suất một
gói tin giả mạo trả lời của B do hacker tạo ra có TID trùng với TID mà
máy A đang chờ được nâng cao lên nhiều lần. Cơ hội đầu độc thành công bộ
đệm của máy chủ A cũng vì thế được nâng cao.
Trung tâm An ninh mạng Bách Khoa (Bkis), lỗ hổng DNS cache poisoning
đang đặt các hệ thống máy chủ DNS tại Việt Nam cũng như trên toàn thế
giới trước nguy cơ bị tin tặc tấn công đầu độc trên diện rộng.
Đây là một lỗ hổng đặc biệt nghiêm trọng nhất là khi hacker đã có phương
thức mới để có khả năng khai thác thành công lỗ hổng này. Điều này gây
hoang mang cho nhiều quản trị mạng khi không có công cụ để kiểm tra xem
hệ thống máy chủ DNS của mình có mắc lỗi này hay không và cách khắc phục
như thế nào.
Ngày 25/07/2008, Bkis đã phát hành phần mềm Bkav DNS Check cho phép kiểm
tra, phát hiện hệ thống máy chủ DNS có lỗ hổng Subdomain Exploit DNS
Cache Poisoning hay không. Cùng với việc phát hành phần mềm này, Bkis
cũng hướng dẫn cách vá lỗ hổng để tránh nguy cơ bùng phát các cuộc tấn
công vào hệ thống DNS tại Việt Nam.
Để kiểm tra xem hệ thống của mình có mắc lỗi hay không, quản trị mạng các cơ quan, các ISP làm theo các bước như sau:
1. Tải phần mềm Bkav DNS Check tại địa chỉ sau: [You must be registered and logged in to see this link.]
2. Cấu hình DNS Server Forwarders: để trỏ domain name BkavDnsCheck.vn tới địa chỉ IP 203.162.1.239 (địa chỉ máy chủ của phần mềm kiểm tra lỗi Bkav DNS Check). Hướng dẫn chi tiết tải tại địa chỉ sau: [You must be registered and logged in to see this link.]
Trong trường hợp kết quả kiểm tra cho thấy có lỗi, bạn làm các bước sau để tiến hành khắc phục:
1. Kiểm tra xem hệ thống DNS đang sử dụng là phần mềm của nhà sản xuất nào (Microsoft, Red Hat,…)
2.Vá lỗi theo bản hướng dẫn tương ứng với hệ thống DNS của mình:
+ Microsoft: [You must be registered and logged in to see this link.]
+ Red Hat: [You must be registered and logged in to see this link.]
+ FreeBSD: [You must be registered and logged in to see this link.]
+ Sun: [You must be registered and logged in to see this link.]
+ Cisco Systems: [You must be registered and logged in to see this link.]
Đối với người sử dụng cá nhân, cần thận trọng trong
thời gian này khi truy cập Internet. Nếu vào một website quen thuộc
nhưng lại gặp hiện tượng không bình thường, bạn nên thông báo ngay với
quản trị mạng của cơ quan, hỗ trợ kỹ thuật của các ISP để có biện pháp
xử lý kịp thời. Bạn cũng nên cập nhật đầy đủ các bản vá của hệ điều hành
và phần mềm diệt virus để tránh nguy cơ bị lây nhiễm mã độc.
Giao thức DNS là giao thức phân giải địa chỉ, dùng để ánh xạ giữa tên
miền (domain name) sang địa chỉ Internet (IP). Theo giao thức này, máy
chủ DNS khi nhận được yêu cầu phân giải địa chỉ (request) từ máy trạm,
nó sẽ tra cứu trong bộ đệm (cache) và trả về địa chỉ IP tương ứng với
tên miền mà máy trạm yêu cầu. Tuy nhiên, nếu không tìm thấy trong bộ
đệm, máy chủ DNS sẽ chuyển tiếp yêu cầu phân giải tới một máy chủ DNS
khác. Đây chính là khâu đã bị phát hiện là có lỗ hổng nghiêm trọng và mã
khai thác lỗ hổng này đã được lan truyền trên mạng Internet trong vài
ngày qua.
Cách thức tấn công DNS cache poisoning của hacker như sau: hacker (máy
H) gửi hàng loạt yêu cầu phân giải địa chỉ tới máy chủ DNS nạn nhân (máy
A). Các tên miền cần phân giải đã được hacker tính toán sao cho máy chủ
A không thể tìm thấy trong bộ đệm của nó và buộc phải chuyển tiếp tới
máy chủ DNS tiếp theo (máy B). Mỗi trao đổi phân giải giữa A và B được
xác thực thông qua một số hiệu TID (Transaction ID) ngẫu nhiên. Tuy
nhiên, điểm yếu ở đây chính là việc số TID này chỉ là một số 16 bit (nhỏ
hơn 65535) và mọi trao đổi giữa A và B đều diễn ra trên một cổng (port)
cố định của A.
Lỗ hổng DNS cache poisoning đã xuất hiện lần đầu tiên vào những năm 90.
Từ đó đến nay hacker đã sử dụng nhiều phương pháp khác nhau để khai thác
lỗ hổng này. Đây là lỗi trong thiết kế của giao thức DNS. Với mỗi
phương pháp khai thác, các nhà sản xuất phần mềm DNS Server cũng đã cung
cấp các bản vá để ngăn chặn và vấn đề đã được khắc phục. Tuy nhiên, gần
đây hacker đã tìm ra được phương thức tấn công mới, tiếp tục khai thác
lỗ hổng DNS cache poisoning.
Điểm quan trọng nhất trong phương pháp khai thác lỗ hổng DNS cache
poisoning lần này là việc hacker sử dụng các tên miền con (subdomain) để
tạo ra các yêu cầu phân giải địa chỉ hợp lệ. Các tên miền con được tạo
ngẫu nhiên với số lượng lớn, điều này đảm bảo các tên miền này chưa từng
tồn tại trong cache của máy chủ A và buộc A phải tạo ra cùng số lượng
tương ứng các yêu cầu chuyển tiếp tới máy chủ B. Kết quả là xác suất một
gói tin giả mạo trả lời của B do hacker tạo ra có TID trùng với TID mà
máy A đang chờ được nâng cao lên nhiều lần. Cơ hội đầu độc thành công bộ
đệm của máy chủ A cũng vì thế được nâng cao.