Nhiễm độc bộ nhớ đệm DNS (DNS cache poisoning), hay còn được gọi là giả mạo DNS, là một kiểu tấn công khai thác lỗ hổng trong hệ thống tên miền (DNS - domain name system) để chuyển hướng lưu lượng truy cập Internet từ máy chủ hợp pháp tới các máy chủ giả mạo.
Theo trang công nghệ Howtogeek,
một trong những lý do khiến nhiễm độc DNS trở nên rất nguy hiểm là vì
nó có thể lây lan từ máy chủ DNS này sang máy chủ DNS khác. Trong năm
2010, một sự kiện ngộ độc DNS lớn đã dẫn đến "Vạn Lý Tường Lửa" (Great
Firewall) của Trung Quốc tạm thời được chuyển ra khỏi biên giới nước
này, việc kiểm duyệt Internet được chuyển hướng sang Mỹ cho đến khi được
sửa chữa.
DNS hoạt động như thế nào?
Nói một cách dễ hiểu thì bất cứ khi nào bạn gõ một địa chỉ trang web
trên máy tính chẳng hạn như "google.com", thì việc đầu tiên là nó phải
liên lạc với máy chủ DNS của mình (trong ví dụ này là máy chủ DNS của
Google). Các máy chủ DNS sau đó đáp ứng với một hoặc nhiều địa chỉ IP
giúp máy tính của bạn có thể truy cập vào google.com. Máy tính của bạn
sau đó kết nối trực tiếp đến địa chỉ IP "số". DNS chuyển đổi qua lại địa
chỉ con người có thể đọc được như "google.com" với các địa chỉ IP bằng
số mà chỉ máy tính có thể đọc được như "173.194.67.102".
Bộ nhớ đệm của DNS
Internet không chỉ có duy nhất một máy chủ DNS nào đó mà là vô số, giúp
cho nó trở nên hiệu quả trong việc trao đổi thông tin. Hầu hết các nhà
cung cấp dịch vụ Internet của bạn chạy các máy chủ DNS của riêng mình,
tuy nhiên, thông tin cũng có thể được truy xuất từ bộ nhớ cache của máy
chủ DNS khác. Bộ định tuyến (router) của nhà bạn cũng đóng vai trò như
một máy chủ DNS, trong đó lưu trữ thông tin từ các máy chủ DNS của nhà
cung cấp dịch vụ Internet. Máy tính của bạn cũng có một bộ nhớ đệm DNS
địa phương, vì vậy nó có thể nhanh chóng tham khảo tra cứu hơn là thực
hiện việc đó trên một máy chủ DNS khác.
Nhiễm độc DNS Cache
Một bộ nhớ đệm DNS có thể bị nhiễm độc nếu nó chứa một mục nhập (entry)
không chính xác. Ví dụ, nếu một kẻ tấn công được quyền kiểm soát một
máy chủ DNS và thay đổi một số thông tin trên đó, ví dụ, địa chỉ
google.com sẽ bị chuyển đến địa chỉ IP mà kẻ tấn công sở hữu trong khi
người dùng không hề hay biết, khi đó máy chủ DNS sẽ khiến người dùng
Google.com để tìm kiếm đi đến sai địa chỉ. Mà địa chỉ đó của kẻ tấn công
thì có thể chứa một số loại trang web lừa đảo độc hại.
Sự nhiễm độc DNS như thế này hoàn toàn có thể lây lan. Ví dụ, các nhà
cung cấp dịch vụ Internet khác nhau có thể nhận được thông tin DNS của
họ từ các máy chủ đã bị xâm nhập, các entry DNS chứa mã độc sẽ lây lan
sang các nhà cung cấp dịch vụ Internet và được lưu trữ ở đó. Sau đó nó
sẽ tiếp tục lây lan sang các bộ định tuyến gia đình bạn và bộ nhớ đệm
DNS địa phương trên máy tính dẫn đến việc tìm kiếm các entry DNS nhận
được phản hồi không chính xác mà người dùng hoàn toàn không hề hay biết.
"Vạn Lý Tường Lửa" của Trung Quốc "bị dời" sang Mỹ
Tất cả những điều đã nêu trên đây không chỉ là một vấn đề lý thuyết. Sự
thật là nó thậm chí đã xảy ra trong thế giới thực trên quy mô lớn.
Vâng, chúng ta đang nói tới vụ nhiễm độc DNS quy mô lớn "Great Firewall"
xảy ra cách đây 3 năm. Một trong những cách giúp Great Firewall Trung
Quốc hoạt động là thực hiện chặn ở cấp DNS (DNS level). Ví dụ, một trang
web bị chặn ở Trung Quốc, chẳng hạn như twitter.com, có thể có các bản
ghi DNS của trang web này "trỏ" vào một địa chỉ không chính xác trên các
máy chủ DNS ở Trung Quốc. Và kết quả người dùng không thể truy cập
Twitter thông qua các phương tiện bình thường. Nếu muốn, Trung Quốc có
thể cố ý đầu độc bộ nhớ đệm máy chủ DNS riêng của chính mình vì một mục
đích nào đó.
Trong năm 2010, một nhà cung cấp dịch vụ Internet bên ngoài lãnh thổ
Trung Quốc đã nhầm lẫn cấu hình máy chủ DNS của mình với các thông tin
từ các máy chủ DNS ở Trung Quốc. Không may, nó đã lấy các bản ghi DNS
không chính xác từ Trung Quốc và lưu trữ chúng trên các máy chủ DNS của
riêng mình. Và sau đó, các nhà cung cấp dịch vụ Internet khác lại lấy
thông tin DNS từ nhà cung cấp dịch vụ Internet này và sử dụng nó trên
các máy chủ DNS của họ. Các entry DNS mang mã độc tiếp tục lan truyền
cho đến khi nhiều người dùng ở Mỹ đã bị chặn truy cập vào Twitter,
Facebook và YouTube trên chính các nhà cung cấp dịch vụ Internet của Mỹ.
"Vạn Lý Tường Lửa" (Great Firewall) của Trung Quốc đã thực sự bị "rò
rỉ" ra ngoài biên giới quốc gia này và ngăn hàng loạt người sử dụng từ
nhiều nơi khác trên thế giới truy cập vào các trang web trên. Cho dù đây
chỉ là sự cố nhưng diễn biến của sự kiện này chẳng khác gì so với một
cuộc tấn công đầu độc DNS quy mô lớn.
Giải pháp
Để tìm lý do thực sự của sự nhiễm độc bộ nhớ đệm DNS là một vấn đề rất
khó khăn bởi vì không có cách nào thực sự hiệu quả để xác định các danh
mục DNS máy tính của bạn nhận được có hợp pháp hay đã bị giả mạo.
Một trong những giải pháp dài hạn để chống đầu độc bộ nhớ đệm DNS là
DNSSEC. DNSSEC sẽ cho phép các tổ chức "ký" vào các bản ghi DNS của họ
bằng cách sử dụng mật mã khóa công khai, việc này đảm bảo rằng máy tính
của bạn sẽ biết liệu một bản ghi DNS nên tin tưởng hay đã bị đầu độc và
chuyển hướng đến một địa chỉ không chính xác.
EmoticonEmoticon
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.