Giới thiệu về DNS và chuyển vùng DNS

Tham khảo tài liệu giới thiệu về dns và chuyển vùng dns, công nghệ thông tin, cơ sở dữ liệu phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Nội dung trích xuất từ tài liệu:
Giới thiệu về DNS và chuyển vùng DNS Giới thiệu về DNS và chuyển vùng DNSDNS (Domain Name System) là một hệ cơ sở dữ liệu phân tán dùng để ánh xạgiữa các tên miền và các địa chỉ IP. DNS đưa ra một phương pháp đặc biệt để duytrì và liên kết các ánh xạ này trong một thể thống nhất. Trong phạm vi lớn hơn, cácmáy tính kết nối với internet sử dụng DNS để tạo địa chỉ liên kết dạng URL(Universal Resource Locators). Theo phương pháp này, mỗi máy tính sẽ khôngcần sử dụng địa chỉ IP cho kết nối.Các tên DNS tạo ra theo định dạng sau ., ví dụ infosec.vasc.com.vn. Trong khidanh sách các kiểu tên DNS được thiết kết lại bởi ICANN (Công ty quản lý dịchvụ tên miền), một số các kiểu thông thường bao gồm: .edu (dạng các website giáodục) , .mil (các website cho quân đội), .org (thuộc dạng các tổ chức phi thươngmại) .com (các tổ chức kinh tế),... Và cũng có các kiểu tên miền chỉ định theo tênnước, ví dụ .ie (Ireland), .jp (Japan), .de (Germany)Khi một máy tính (một DNS client) muốn tìm kiểm một URL, nó đưa yêu cầu(GetHostByName) tới DNS server của nó. DNS client sử dụng một DNS resolverđể định vị DNS server. Nếu DNS server không xác định được tên miền cần tìm,hay DNS server không có chút thông tin gì về URL đó trong vùng nhớ đệm củanó, nó sẽ không thể trả lời yêu cầu của client ngay lập tức. Thay vào đó, DNSserver sẽ hoặc sử dụng một DNS forwarder hoặc tạo lại một yêu cầu theo quy tắcđệ quy.Việc giả mạo DNS liên quan tới việc bắt buộc một DNS client tạo yêu cầu tới mộtserver mạo danh, và khi đó client sẽ nhận được trả lời sai từ server giả mạo đó. Có3 cách thực hiện kiểu tấn công giả mạo DNS này, bao gồm:1. Giả mạo các phản hồi DNSKẻ tấn công có thể sử dụng cơ chế đệ quy, giả mạo yêu cầu mà DNS server gửi rangoài trong quá trình tìm kiểm một địa chỉ, và phản hồi các thông tin sai trước khicác thông tin thật đến. Mỗi gói tin DNS có một số ID dạng 16 bit mà DNS serverdùng để kiểm tra yêu cầu ban đầu gửi đi là gì. Khi sử dụng BIND, một phần mềmthông dụng dạng DNS server, số này tăng lên 1 sau mỗi yêu cầu gửi đến, và việctạo yêu cầu rất dễ dàng giả mạo. BIND đã được sửa lỗi theo phiên bản gần đây,mà các gói tin DNS được khởi tạo theo các con số ngẫu nhiên (phiên bản BINDv9).Để kiểm tra liệu một DNS server có thể có lỗ hổng hay không đối với sự tấn cônggiả mạo địa chỉ DNS, bạn có thể gửi các yêu cầu tới server, thẩm định liệu có thểđoán số ID kế tiếp trong một gói tin yêu cầu giử tới DNS. Nếu các yêu cầu ID cóthể đoán trước được, điều này có nghĩa là vùng nhớ đệm trong DNS có thể ánh xạkhông đúng tới địa chỉ IP thật, và đó chính là lỗ hổng bảo mật trong DNS.2. Giả mạo địa chỉ trong vùng nhớ đệm của DNSSau các yêu cầu đệ quy, các ánh xạ địa chỉ nhận được sẽ tồn tại trong DNS cache.DNS server sẽ dựa vào cùng nhớ đệm này để xác định thông tin cho các yêu cầuđến và phản hồi từ client gửi tới, giúp cho việc truy cập thông tin nhanh hơn. Độdài thời gian mà các kết quả yêu cầu đệ quy được giữ luôn trong DNS cache (kíhiệu là TTL -- time to live) có thể được thiết lập.Việc các địa chỉ bị giả mạo nằm trong DNS cache kéo theo việc gửi thông tin ánhxạ không đúng với thời gian tồn tại (TTL) dài. Vậy nên, tại thời điểm kế tiếp khicó một yêu cầu gửi tới, nó sẽ nhận được thông tin sai. Việc sai thông tin này cũngcó thể bị ảnh hưởng do việc nhận dữ liệu từ một DNS server từ xa nào đó bị giảmạo . Có thể giới hạn sự giả mạo thông tin này bằng cách giảm thời gian thông tintồn tại trong cache (TTL), nhưng điều này cũng làm giảm hiệu năng của server.Một ứng dụng thông dụng của DNS dạng phần mềm mã nguồn mở là BIND(Berkeley Internet Name Daemon), mà cung cấp hầu hết các chức năng quan trọngvề DNS server. Tuy nhiên, cũng có rất nhiều lỗ hổng bảo mật trong BIND, và vìvậy, việc đảm bảo đang sử dụng phần mềm BIND với phiên bản mới nhất là rấtquan trọng. Hiện tại, các chuẩn mới về DNS đã khắc phục được lỗi này trong vùngnhớ đệm của DNS.3. Phá vỡ mức bảo mật môi trườngViệc tấn công bằng cách giả mạo địa DNS phá vỡ mức bảo mật của môi trườnglàm việc mạng trong DNS server. Ví dụ: tấn công dựa theo các lỗ hổng dạng trànvùng đệm đối với các phiên bản BIND cũ, mà cho phép kẻ tấn công đoạt đượcquyền root truy cập. Khi kẻ tấn công đoạt được quyền truy cập trong môi trườngDNS, anh ta có thể điều khiển được môi trường mạng. ...