Ngộ độc bộ nhớ cache DNS, còn được gọi là giả mạo DNS, là một kiểu tấn công khai thác các lỗ hổng trong hệ thống tên miền (DNS) để chuyển hướng lưu lượng truy cập Internet khỏi các máy chủ hợp pháp và sang các máy chủ giả mạo.

Một trong những lý do khiến việc nhiễm độc DNS rất nguy hiểm là do nó có thể lây lan từ máy chủ DNS sang máy chủ DNS. Năm 2010, một sự kiện nhiễm độc DNS đã dẫn đến việc Great Firewall of China tạm thời thoát khỏi biên giới quốc gia của Trung Quốc, kiểm duyệt Internet ở Hoa Kỳ cho đến khi sự cố được khắc phục.

Cách hoạt động của DNS

Bất cứ khi nào máy tính của bạn liên hệ với một tên miền như “google.com”, trước tiên nó phải liên hệ với máy chủ DNS của nó. Máy chủ DNS phản hồi bằng một hoặc nhiều địa chỉ IP mà máy tính của bạn có thể truy cập google.com. Sau đó, máy tính của bạn kết nối trực tiếp với địa chỉ IP số đó. DNS chuyển đổi các địa chỉ con người có thể đọc được như “google.com” thành các địa chỉ IP mà máy tính có thể đọc được như “173.194.67.102”.

  • Đọc thêm: Giải thích HTG: DNS là gì?

DNS Cache

Internet không chỉ có một máy chủ DNS duy nhất, vì điều đó sẽ cực kỳ kém hiệu quả. Nhà cung cấp dịch vụ Internet của bạn chạy các máy chủ DNS của riêng mình, máy chủ này sẽ lưu trữ thông tin từ các máy chủ DNS khác. Bộ định tuyến tại nhà của bạn hoạt động như một máy chủ DNS, lưu trữ thông tin từ các máy chủ DNS của ISP. Máy tính của bạn có bộ nhớ cache DNS cục bộ, vì vậy nó có thể nhanh chóng tham chiếu đến các tra cứu DNS mà nó đã được thực hiện thay vì thực hiện tra cứu DNS nhiều lần.

Ngộ độc bộ nhớ đệm DNS

Bộ nhớ cache DNS có thể bị nhiễm độc nếu nó chứa mục nhập không chính xác. Ví dụ: nếu kẻ tấn công có quyền kiểm soát máy chủ DNS và thay đổi một số thông tin trên đó – ví dụ: chúng có thể nói rằng google.com thực sự trỏ đến địa chỉ IP mà kẻ tấn công sở hữu – máy chủ DNS đó sẽ yêu cầu người dùng tìm kiếm. cho Google.com không đúng địa chỉ. Địa chỉ của kẻ tấn công có thể chứa một số loại trang web lừa đảo độc hại

Tình trạng nhiễm độc DNS như thế này cũng có thể lây lan. Ví dụ: nếu các nhà cung cấp dịch vụ Internet khác nhau đang lấy thông tin DNS của họ từ máy chủ bị xâm nhập, mục nhập DNS bị nhiễm độc sẽ lây lan đến các nhà cung cấp dịch vụ Internet và được lưu vào bộ nhớ đệm ở đó. Sau đó, nó sẽ lây lan đến các bộ định tuyến gia đình và DNS lưu trữ trên máy tính khi chúng tra cứu mục nhập DNS, nhận phản hồi không chính xác và lưu trữ nó.

Bức tường lửa lớn của Trung Quốc lan sang Mỹ

Đây không chỉ là một vấn đề lý thuyết – nó đã xảy ra trong thế giới thực trên quy mô lớn. Một trong những cách hoạt động của Great Firewall của Trung Quốc là chặn ở cấp DNS. Ví dụ: một trang web bị chặn ở Trung Quốc, chẳng hạn như twitter.com, có thể có các bản ghi DNS của nó được trỏ đến một địa chỉ không chính xác trên các máy chủ DNS ở Trung Quốc. Điều này sẽ dẫn đến việc Twitter không thể truy cập được thông qua các phương tiện thông thường. Hãy coi điều này là do Trung Quốc cố tình đầu độc bộ nhớ đệm máy chủ DNS của chính họ.

Năm 2010, một nhà cung cấp dịch vụ Internet bên ngoài Trung Quốc đã định cấu hình nhầm các máy chủ DNS của mình để lấy thông tin từ các máy chủ DNS ở Trung Quốc. Nó đã tìm nạp các bản ghi DNS không chính xác từ Trung Quốc và lưu trữ chúng trên các máy chủ DNS của chính nó. Các nhà cung cấp dịch vụ Internet khác đã tìm nạp thông tin DNS từ nhà cung cấp dịch vụ Internet đó và sử dụng nó trên các máy chủ DNS của họ. Các mục DNS bị nhiễm độc tiếp tục lan rộng cho đến khi một số người ở Mỹ bị chặn truy cập Twitter, Facebook và YouTube trên các nhà cung cấp dịch vụ Internet ở Mỹ của họ. Great Firewall của Trung Quốc đã bị “rò rỉ” ra bên ngoài biên giới quốc gia, ngăn cản mọi người từ các nơi khác trên thế giới truy cập vào các trang web này. Về cơ bản, điều này hoạt động như một cuộc tấn công đầu độc DNS quy mô lớn. (Nguồn.)

Giải pháp

Lý do thực sự khiến việc nhiễm độc bộ nhớ cache DNS là một vấn đề như vậy là vì không có cách thực sự nào để xác định xem các phản hồi DNS bạn nhận được có thực sự hợp pháp hay chúng đã bị thao túng.

Giải pháp lâu dài cho việc nhiễm độc bộ nhớ cache DNS là DNSSEC. DNSSEC sẽ cho phép các tổ chức ký bản ghi DNS của họ bằng mật mã khóa công khai, đảm bảo rằng máy tính của bạn sẽ biết liệu bản ghi DNS có đáng tin cậy hay không hay bản ghi đó đã bị nhiễm độc và chuyển hướng đến một vị trí không chính xác.

  • Đọc thêm: DNSSEC sẽ giúp bảo mật Internet như thế nào và SOPA hầu như biến nó thành bất hợp pháp như thế nào


Nhà cung cấp hình ảnh: Andrew Kuznetsov trên Flickr, Jemimus trên Flickr, NASA

Tham khảo (HowToGeek)