Ngộ độc bộ nhớ cache DNS, còn được gọi là giả mạo dns, là một cuộc tấn công khai thác lỗ hổng trong Hệ thống tên miền (dns – Hệ thống tên miền) để chuyển hướng lưu lượng truy cập Internet từ máy chủ hợp pháp sang máy chủ giả mạo.
Theo trang công nghệ howtogeek, một trong những lý do khiến ngộ độc dns rất nguy hiểm là nó có thể lây lan từ máy chủ dns này sang máy chủ dns khác. Năm 2010, một sự cố nhiễm độc DNS lớn đã khiến “Tường lửa lớn” của Trung Quốc tạm thời bị chuyển ra khỏi đất nước và việc kiểm duyệt internet chuyển hướng sang Mỹ cho đến khi nó được khắc phục.
dns hoạt động như thế nào?
Nói một cách đơn giản, bất cứ khi nào bạn nhập địa chỉ trang web như “google.com” trên máy tính của mình, trước tiên nó phải liên hệ với máy chủ dns của nó (trong ví). Ví dụ này là máy chủ dns của google). Sau đó, máy chủ dns phản hồi bằng một hoặc nhiều địa chỉ ip cho phép máy tính của bạn truy cập google.com. Sau đó, máy tính của bạn kết nối trực tiếp với địa chỉ ip “số”. dns dịch các địa chỉ con người có thể đọc được như “google.com” thành các địa chỉ IP dạng số như “173.194.67.102” mà chỉ máy tính mới có thể đọc được.
dns cache
Internet không phải là một máy chủ dns đơn lẻ, mà là vô số máy chủ dns, giúp cho việc trao đổi thông tin trở nên hiệu quả. Hầu hết các nhà cung cấp dịch vụ internet của bạn đều chạy các máy chủ dns của riêng họ, tuy nhiên, cũng có thể lấy thông tin từ bộ nhớ đệm của các máy chủ dns khác. Bộ định tuyến gia đình của bạn cũng hoạt động như một máy chủ dns, máy chủ này lưu trữ thông tin từ máy chủ dns của nhà cung cấp dịch vụ internet của bạn. Máy tính của bạn cũng có bộ đệm dns cục bộ, vì vậy nó có thể thực hiện tra cứu tham chiếu nhanh chóng thay vì thực hiện trên một máy chủ dns khác.
nhiễm độc bộ nhớ cache dns
Nếu bộ đệm dns chứa các mục nhập không chính xác, nó có thể bị nhiễm. Ví dụ: nếu kẻ tấn công chiếm quyền kiểm soát máy chủ dns và thay đổi một số thông tin trong đó, chẳng hạn như địa chỉ google.com sẽ được chuyển hướng đến địa chỉ ip do kẻ tấn công sở hữu mà người dùng không biết, thì máy chủ dns sẽ gây ra lỗi người dùng google.com để tìm kiếm sai địa chỉ. Địa chỉ của kẻ tấn công có thể chứa một số loại trang web lừa đảo độc hại.
Ngộ độc DNS như thế này hoàn toàn có thể lây lan. Ví dụ: các ISP khác nhau có thể nhận thông tin dns của họ từ một máy chủ bị xâm nhập và các mục dns độc hại sẽ được truyền tới ISP và được lưu trữ ở đó. Sau đó, nó sẽ tiếp tục lan truyền đến bộ đệm dns cục bộ trên bộ định tuyến và máy tính tại nhà của bạn, khiến các mục dns được tìm thấy nhận được phản hồi sai mà người dùng không biết. ..
“Great Firewall” của Trung Quốc được “chuyển” đến Hoa Kỳ
Tất cả những điều trên không chỉ là những câu hỏi lý thuyết. Sự thật là, nó thậm chí còn xảy ra trong thế giới thực với quy mô lớn. Vâng, chúng ta đang nói về vụ đầu độc dns khổng lồ “Great Firewall” xảy ra 3 năm trước. Một trong những cách giúp Great Firewall of China hoạt động là chặn ở mức dns (cấp dns). Ví dụ: một trang web bị chặn ở Trung Quốc, chẳng hạn như twitter.com, có thể có bản ghi dns “trỏ” đến địa chỉ sai trên máy chủ dns của Trung Quốc. Do đó, người dùng không thể truy cập twitter theo cách thông thường. Trung Quốc có thể cố tình đầu độc bộ nhớ cache máy chủ dns của riêng mình vì một số mục đích nếu họ muốn.
Năm 2010, một nhà cung cấp dịch vụ internet bên ngoài Trung Quốc đã nhầm lẫn cấu hình máy chủ dns của mình với thông tin từ máy chủ dns của Trung Quốc. Thật không may, nó nhận được các bản ghi dns không chính xác từ Trung Quốc và lưu trữ chúng trên máy chủ dns của riêng mình. Sau đó, các ISP khác lấy thông tin dns từ ISP này và sử dụng nó trên các máy chủ dns của họ. Các mục DNS độc hại tiếp tục lan rộng cho đến khi nhiều người dùng Hoa Kỳ bị chặn truy cập twitter, facebook và youtube của chính các ISP của Hoa Kỳ. “Great Firewall” của Trung Quốc thực tế đã bị “rò rỉ” ra nước ngoài, ngăn hàng loạt người dùng từ nhiều nơi khác trên thế giới truy cập vào các trang nói trên. Trong khi đây chỉ là một sự cố, diễn biến của sự cố này không khác gì một cuộc tấn công đầu độc DNS lớn.
Giải pháp
Tìm ra nguyên nhân thực sự gây ra ngộ độc bộ nhớ cache dns là một vấn đề rất khó khăn vì không có cách nào thực sự hiệu quả để xác định thư mục dns nào mà máy tính của bạn đã nhận hoặc giả mạo một cách hợp pháp.
Một trong những giải pháp lâu dài để giải độc bộ nhớ cache dns là dnssec. dnssec sẽ cho phép các tổ chức “ký” các bản ghi dns của họ bằng cách sử dụng mã hóa khóa công khai, đảm bảo rằng máy tính của bạn biết liệu các bản ghi dns có đáng tin cậy hay bị tấn công hay không. Độc hại và chuyển hướng đến một địa chỉ không chính xác.
Bắt đầu