Phát hành phần mềm kiểm tra lỗ hổng máy chủ DNS

Theo Trung tâm An ninh mạng Bách Khoa (Bkis), lỗ hổng DNS cache poisoning đang đặt các hệ thống máy chủ DNS tại Việt Nam cũng như trên toàn thế giới trước nguy cơ bị tin tặc tấn công đầu độc trên diện rộng.Đây là một lỗ hổng đặc biệt nghiêm trọng nhất là khi hacker đã có phương thức mới để có khả năng khai thác thành công lỗ hổng này.
Nội dung trích xuất từ tài liệu:
Phát hành phần mềm kiểm tra lỗ hổng máy chủ DNS Phát hành phần mềmkiểm tra lỗ hổng máy chủ DNSTheo Trung tâm An ninh mạng Bách Khoa (Bkis), lỗ hổng DNScache poisoning đang đặt các hệ thống máy chủ DNS tại ViệtNam cũng như trên toàn thế giới trước nguy cơ bị tin tặc tấn côngđầu độc trên diện rộng.Đây là một lỗ hổng đặc biệt nghiêm trọng nhất là khi hacker đã cóphương thức mới để có khả năng khai thác thành công lỗ hổng này.Điều này gây hoang mang cho nhiều quản trị mạng khi không có côngcụ để kiểm tra xem hệ thống máy chủ DNS của mình có mắc lỗi nàyhay không và cách khắc phục như thế nào.Ngày 25/07/2008, Bkis đã phát hành phần mềm Bkav DNS Checkcho phép kiểm tra, phát hiện hệ thống máy chủ DNS có lỗ hổngSubdomain Exploit DNS Cache Poisoning hay không. Cùng với việcphát hành phần mềm này, Bkis cũng hướng dẫn cách vá lỗ hổng đểtránh nguy cơ bùng phát các cuộc tấn công vào hệ thống DNS tại ViệtNam.Để kiểm tra xem hệ thống của mình có mắc lỗi hay không, quản trịmạng các cơ quan, các ISP làm theo các bước như sau:1. Tải phần mềm Bkav DNS Check tại địa chỉsau: http://www.bkav.com.vn/DNSCheck/BkavDNSCheck.exe2. Cấu hình DNS Server Forwarders: để trỏ domainname BkavDnsCheck.vn tới địa chỉ IP 203.162.1.239 (địa chỉ máychủ của phần mềm kiểm tra lỗi Bkav DNS Check). Hướng dẫn chi tiếttải tại địa chỉsau:http://www.bkav.com.vn/DNSCheck/BkavDNSCheckGuide.htmlTrong trường hợp kết quả kiểm tra cho thấy có lỗi, bạn làm các bướcsau để tiến hành khắc phục:1. Kiểm tra xem hệ thống DNS đang sử dụng là phần mềm của nhàsản xuất nào (Microsoft, Red Hat,…)2.Vá lỗi theo bản hướng dẫn tương ứng với hệ thống DNS của mình:+ Microsoft: http://www.bkav.com.vn/DNSCheck/Microsoft+ Red Hat: http://www.bkav.com.vn/DNSCheck/RedHat+ FreeBSD: http://www.bkav.com.vn/DNSCheck/FreeBSD+ Sun: http://www.bkav.com.vn/DNSCheck/Sun+ Cisco Systems: http://www.bkav.com.vn/DNSCheck/CiscoĐối với người sử dụng cá nhân, cần thận trọng trong thời gian này khitruy cập Internet. Nếu vào một website quen thuộc nhưng lại gặp hiệntượng không bình thường, bạn nên thông báo ngay với quản trị mạngcủa cơ quan, hỗ trợ kỹ thuật của các ISP để có biện pháp xử lý kịpthời. Bạn cũng nên cập nhật đầy đủ các bản vá của hệ điều hành vàphần mềm diệt virus để tránh nguy cơ bị lây nhiễm mã độc.Giao thức DNS là giao thức phân giải địa chỉ, dùng để ánh xạ giữa tênmiền (domain name) sang địa chỉ Internet (IP). Theo giao thức này,máy chủ DNS khi nhận được yêu cầu phân giải địa chỉ (request) từmáy trạm, nó sẽ tra cứu trong bộ đệm (cache) và trả về địa chỉ IPtương ứng với tên miền mà máy trạm yêu cầu. Tuy nhiên, nếu khôngtìm thấy trong bộ đệm, máy chủ DNS sẽ chuyển tiếp yêu cầu phângiải tới một máy chủ DNS khác. Đây chính là khâu đã bị phát hiện làcó lỗ hổng nghiêm trọng và mã khai thác lỗ hổng này đã được lantruyền trên mạng Internet trong vài ngày qua.Cách thức tấn công DNS cache poisoning của hacker như sau: hacker(máy H) gửi hàng loạt yêu cầu phân giải địa chỉ tới máy chủ DNS nạnnhân (máy A). Các tên miền cần phân giải đã được hacker tính toánsao cho máy chủ A không thể tìm thấy trong bộ đệm của nó và buộcphải chuyển tiếp tới máy chủ DNS tiếp theo (máy B). Mỗi trao đổiphân giải giữa A và B được xác thực thông qua một số hiệu TID(Transaction ID) ngẫu nhiên. Tuy nhiên, điểm yếu ở đây chính là việcsố TID này chỉ là một số 16 bit (nhỏ hơn 65535) và mọi trao đổi giữaA và B đều diễn ra trên một cổng (port) cố định của A.Lỗ hổng DNS cache poisoning đã xuất hiện lần đầu tiên vào nhữngnăm 90. Từ đó đến nay hacker đã sử dụng nhiều phương pháp khácnhau để khai thác lỗ hổng này. Đây là lỗi trong thiết kế của giao thứcDNS. Với mỗi phương pháp khai thác, các nhà sản xuất phần mềmDNS Server cũng đã cung cấp các bản vá để ngăn chặn và vấn đề đãđược khắc phục. Tuy nhiên, gần đây hacker đã tìm ra được phươngthức tấn công mới, tiếp tục khai thác lỗ hổng DNS cache poisoning.Điểm quan trọng nhất trong phương pháp khai thác lỗ hổng DNScache poisoning lần này là việc hacker sử dụng các tên miền con(subdomain) để tạo ra các yêu cầu phân giải địa chỉ hợp lệ. Các tênmiền con được tạo ngẫu nhiên với số lượng lớn, điều này đảm bảo cáctên miền này chưa từng tồn tại trong cache của máy chủ A và buộc Aphải tạo ra cùng số lượng tương ứng các yêu cầu chuyển tiếp tới máychủ B. Kết quả là xác suất một gói tin giả mạo trả lời của B do hackertạo ra có TID trùng với TID mà máy A đang chờ được nâng cao lênnhiều lần. Cơ hội đầu độc thành công bộ đệm của máy chủ A cũng vìthế được nâng cao. ...