Một trong những lý do tại sao các dịch vụ DNS có độ nhạy cảm nhất định đối với các cuộc tấn công là giao thức lớp vận chuyển UDP. Hãy nhớ rằng đó là một không kết hợp truyền giao thức . Điều thứ hai có nghĩa là nó không được định hướng kết nối, giao thức UDP không quan tâm rằng dữ liệu đến đích hoàn toàn, nó cũng sẽ tiếp tục truyền mọi thứ được xếp hàng. Giả sử các gói dữ liệu là của riêng chúng, chúng có thể đến đích thành công hoặc chúng có thể gặp phải một số bất tiện ở giữa. Hãy xem sơ đồ sau để hiểu rõ hơn:
- Nửa đầu của hình ảnh cho chúng ta thấy một giao thức phổ biến khác hoạt động theo định hướng kết nối: TCP . Nó không chấp nhận các gói dữ liệu bị hỏng hoặc toàn vẹn. Có hoặc có, chúng phải được gửi lại để nó đến đích 100%.
- Nửa còn lại đề cập đến UDP . Như chúng tôi đã đề cập, nó không phải là kết nối theo định hướng. Đích đến sẽ nhận được các gói dữ liệu bất kể chúng có gặp rắc rối hay không.
Hãy nghĩ về các dịch vụ phát trực tuyến. Họ, tại một số thời điểm, dừng lại và sau đó tiếp tục truyền. Hình ảnh phát ra hơi bị pixel hoặc bạn nghe thấy giọng nói rô bốt nổi tiếng của người nói tiếng Anh. Mặc dù tất cả những điều đó có thể xảy ra, việc truyền tải không tự dừng lại. Tất nhiên, có những trường hợp ngoại lệ như không có kết nối Internet hoặc người đó hết pin hoặc năng lượng.
Chúng tôi khuyên bạn nên đọc hướng dẫn của chúng tôi về TCP vs UDP, đặc điểm và cách sử dụng của hai giao thức lớp vận chuyển.
Các cuộc tấn công DNS mạnh nhất
Các cuộc tấn công DNS dựa trên Botnet
Hãy nhớ rằng với một botnet nhỏ, có nhiều khả năng cho các cuộc tấn công. Chưa kể nếu bạn có nhiều hơn một và lần lượt, mỗi người trong số họ có hàng ngàn zombie máy tính. Về cơ bản, cuộc tấn công dựa trên các mạng máy tính bị kết nối và bị nhiễm này bao gồm chạy DDoS.
Một botnet sẽ đủ lớn để khiến máy chủ DNS thông thường trở nên vô dụng. Đơn giản, mỗi zombie phải được lập trình trên hệ thống điều khiển để gửi nhiều yêu cầu truy cập đến tài nguyên web được máy chủ DNS đó công nhận. Sau đó, máy chủ cho biết sẽ bị bão hòa bởi rất nhiều yêu cầu, nó không thể trả lời chúng và do đó, nó ngừng hoạt động.
Trong bài viết này, chúng tôi có một danh sách cực kỳ thú vị bản đồ đe dọa và tấn công mạng . Trong bài viết đó, bạn có thể thấy một số trong số họ minh họa hành vi của các botnet khi thực hiện một cuộc tấn công. Các cuộc tấn công dựa trên Botnet có thể được ngăn chặn bằng cách áp dụng một vài hành động, về lâu dài, sẽ ngăn chặn một hoặc nhiều sự kiện:
- Kiểm tra xem các thiết bị nối mạng của bạn có lỗ hổng không.
- Bạn có thiết bị IoT trong mạng của mình không? Xem lại các cài đặt bảo mật càng sớm càng tốt.
- Có mối đe dọa tấn công DNS? Các giải pháp bảo mật IDS / IPS là rất cần thiết để xác định chúng và hành động phù hợp.
Tấn công lũ lụt DNS
Mục đích của cuộc tấn công này là đưa khả năng của máy chủ DNS đến giới hạn. Đến mức bạn không còn có thể nhận được bất kỳ yêu cầu nào. Chúng ta hãy xem một sơ đồ nhỏ dưới đây:
Một tội phạm mạng có thể lây nhiễm một hoặc nhiều máy tính trên mạng bằng cách tạo ra một mạng lưới zombie. Như bạn có thể thấy, đây là một trong những cuộc tấn công có thể được thực hiện thông qua mạng botnet. Tất cả các máy tính bị nhiễm bắt đầu gửi nhiều yêu cầu DNS để khớp tên miền và địa chỉ IP.
Nó đạt đến một trường hợp có rất nhiều yêu cầu và nó ngừng hoạt động. Do đó, bất kỳ người dùng hợp pháp nào thực hiện yêu cầu DNS và đi qua máy chủ bị ảnh hưởng, đơn giản là không thể có được kết quả mong đợi: truy cập tài nguyên web. Đây là một trong những trường hợp mà người dùng sẽ không có quyền truy cập vào một hoặc nhiều trang trên Internet.
Là một quản trị viên máy chủ web, một lá chắn bảo vệ tốt có thể là việc thực hiện Phân phối nội dung mạng or CDN các giải pháp. Họ không chỉ quan tâm đến việc tăng tốc độ tải các trang web mà còn bảo vệ họ khỏi các mối đe dọa tiềm ẩn. Một số trong số chúng có thể là yêu cầu DNS từ bot, botnet zombie hoặc bất kỳ người dùng nào có ý định thực hiện các cuộc tấn công lũ lụt DNS, ví dụ.
Ngộ độc bộ đệm
Cuộc tấn công này là một trong những cách hiệu quả nhất để người dùng trở thành nạn nhân của tấn công lừa đảo . Vâng, người dùng, biết rằng họ đang truy cập một trang web hợp pháp, thực sự đang truy cập vào một trang web có nhiệm vụ thu thập tất cả dữ liệu của bạn. Đặc biệt là thông tin truy cập và chi tiết ngân hàng.
Giả sử bạn muốn vào trang web của ngân hàng của bạn và, không cần quan tâm quá nhiều, bạn thấy rằng bạn đã truy cập trang chính thức một cách hiệu quả. Rõ ràng mọi thứ trông giống nhau và không có gì phải lo lắng. Tuy nhiên, bạn nhập dữ liệu truy cập của mình và tại một thời điểm nhất định, bạn nhận ra rằng có điều gì đó không ổn.
Nhưng cái gì là bộ nhớ đệm trong DNS ? Đây là một quá trình trong đó một DNS máy chủ giải quyết . Chức năng của nó là lưu trữ các phản hồi của các yêu cầu DNS trong một thời gian nhất định. Điều này là để đáp ứng tất cả các yêu cầu DNS nhanh hơn nhiều, mà không cần thông qua toàn bộ quá trình giải quyết tên miền.
Thật không may, một tội phạm mạng có thể giành quyền kiểm soát DNS bằng cách giải quyết và thay đổi các phản hồi cho tất cả các yêu cầu DNS được lưu trữ. Ví dụ: nếu trang web www.example.com là ban đầu được liên kết với IP 192.0.0.16, tội phạm mạng có thể thay đổi phản hồi này bằng cách liên kết tên miền với IP độc hại: 192.0.0.17. Chúng ta hãy xem bên dưới một phác thảo minh họa những gì chúng ta đã đề cập:
Vô tình, người dùng truy cập một trang web độc hại mặc dù đã nhập một tên miền hợp pháp. Là quản trị viên dịch vụ web, bạn nên thực hiện như sau:
- Hạn chế truy vấn đệ quy [yêu cầu].
- Lưu trữ các bản ghi DNS chỉ được liên kết với tên miền.
- Hạn chế phản hồi yêu cầu DNS đối với thông tin thực sự liên quan đến tên miền.
DrDoS [Tấn công từ chối dịch vụ phân tán theo phản xạ]
Đây là bằng chứng khác cho thấy các cuộc tấn công DDoS có thể đạt đến quy mô lớn. Các máy chủ đóng vai trò phản xạ trong biến thể DDoS này có thể thuộc về các mạng khác nhau. Lợi thế cho kẻ tấn công là việc truy tìm lại sơ đồ tấn công trở nên rất khó khăn.
Do đó, nhiều mạng có thể tham gia vào một Tấn công DrDoS . Nếu tôi có ba máy chủ phản xạ thuộc ba mạng khác nhau, tội phạm mạng có thể kiểm soát ba mạng đó để tất cả các thiết bị được kết nối tham gia vào cuộc tấn công.
Hãy chuyển điều này sang bối cảnh DNS. Nếu có nhiều thiết bị được kết nối từ một số mạng và lần lượt, tất cả các mạng này đều có máy chủ phản chiếu, thiết bị sau sẽ không bị ảnh hưởng bởi số lượng lớn yêu cầu DNS đi qua chúng. Chính xác, tính năng này của gương phản xạ làm cho chúng trực tiếp chuyển hướng số lượng lớn yêu cầu đó đến máy chủ DNS nạn nhân.
Máy chủ bị ảnh hưởng sẽ nhận được rất nhiều yêu cầu bất hợp pháp, cùng với những yêu cầu hợp pháp. Khi năng lực của nó đã đạt đến giới hạn, nó sẽ bắt đầu loại bỏ các gói bao gồm cả các gói tương ứng với các yêu cầu hợp pháp. Do đó, ngừng trả lời.
Làm gì để ngăn chặn một cuộc tấn công trên quy mô lớn như vậy? Tất cả các biện pháp phòng ngừa đề nghị cho đến nay áp dụng. Tuy nhiên, nếu cơ sở hạ tầng mạng bạn quản lý lớn, đáng để xem xét như sau:
- Nhiều máy chủ phải được đặt tại nhiều trung tâm dữ liệu.
- Trung tâm dữ liệu phải thuộc các phân đoạn mạng khác nhau.
- Đảm bảo rằng các trung tâm dữ liệu có nhiều tuyến đường.
- Có ít hoặc hầu như không có lỗ hổng bảo mật.
Tác động của các cuộc tấn công DNS
Các cuộc tấn công DNS gây tổn hại lớn cho các tổ chức khác nhau là nạn nhân của chúng. Các khoản tiền là kết quả của tổn thất dễ dàng đạt tới hàng triệu đô la. Đáng lo ngại nhất, các cuộc tấn công DNS có xu hướng ngày càng tinh vi và cụ thể liên quan đến modus operandi .
Insider các mối đe dọa là thứ tự trong ngày. Các tổ chức, mặc dù dường như ít bị tấn công DNS hơn, phải bảo vệ cơ sở hạ tầng của họ khỏi những người trong cuộc bằng cách sử dụng các công cụ Threat Intelligence rất may mắn được cung cấp. Mặt khác, các công cụ bảo mật để quản lý dịch vụ web cũng có nhiều tùy chọn.
Các cuộc tấn công DNS, mặc dù chúng đã được thực hiện trong nhiều năm, nhưng không ngừng phát triển về số lượng các sự kiện xảy ra mỗi năm. Mặc dù tổ chức của bạn có thể không bao giờ là nạn nhân của bất kỳ cuộc tấn công nào đã nói ở trên, bảo vệ cơ sở hạ tầng mạng không phải là một lựa chọn.