Tấn công DNS Amplification có đáng sợ không ?

Cuộc tấn công DNS Amplification

Công nghệ ở thời đại chúng ta ngày càng một phát triển. Chính bởi vậy đã có rất nhiều từ ” ngôn ngữ máy tính ” khiến chúng ta khó có thể hiểu được. Chẳng hạn như cụm từ ” Tấn công DNS Amplification ” quen thuộc mà ta thường loáng thoáng nghe qua.  Cụm từ này chắc hẳn đã khiến bạn suy nghĩ nhiều xem liệu máy bạn có đang thực sự bị ” tấn công ” ?

Nếu bạn đang có thắc mắc về cụm từ này. Hãy cùng CongGame24h đi tìm hiểu về cuộc tấn công này tại bài viết này nhé!

Tất tần tật về” tấn công DNS Amplification “

Giải mã cuộc tấn công

DNS Amplification thực chất là một cuộc tấn công Distributed Denial of Service hay còn được gọi tắt là DDoS. Tại cuộc tấn công này, họ sẽ tấn công khai thác các lỗ hổng trong những DNS (Domain Name System) server để biến truy vấn nhỏ ban đầu thành các payload lớn hơn. Điều này nhằm múc đích sử dụng để “hạ gục” máy chủ của nạn nhân.

Cuộc tấn công này có đáng sợ không ?

Ngoài ra, DNS Amplification còn là một kiểu tấn công phản chiếu. Cuộc tấn công này nhằm thao túng các DNS có thể truy cập công khai, khiến chúng trở thành mục tiêu với số lượng lớn các gói UDP. Bằng nhiều thủ thuật khác nhau, kẻ gian có thể “thổi phồng” kích thước của các gói UDP này. Đây chính là chìa khóa khiến cuộc tấn công trở nên mạnh mẽ. Chúng mạnh đến mức có thể phá hủy cả cơ sở hạ tầng Internet mạnh mẽ nhất.

Cuộc tấn công diễn ra như thế nào ?

Như đã nhắc ở trên, DNS Amplification giống như các cuộc tấn công khuếch đại khác. Nói dễ hiểu thì đây là một loại tấn công phản chiếu. Trên thực tế của các cuộc tấn công, việc phản chiếu đạt được bằng cách gợi ra các phản hồi từ trình phân giải DNS tới một địa chỉ IP giả mạo.

Cuộc tấn công xảy ra như thế nào ?

Nói kỹ hơn thì trong một cuộc tấn công DNS Amplification, thủ phạm sẽ gửi một truy vấn DNS kèm theo một địa chỉ IP giả mạo (của nạn nhân) tới một trình phân giải DNS đang mở. Điều này khiến nó trả lời lại địa chỉ đó bằng cách phản hồi DNS. Với nhiều truy vấn giả được gửi đi cùng một số trình phân giải DNS trả lời lại. Bấy giờ mạng của nạn nhân lúc này có thể dễ dàng bị “choáng ngợp” bởi số lượng phản hồi DNS không kiểm soát.

Đòn khuếch đại

Bấy giờ khi kẻ gian sử dụng đòn phản kích sẽ càng nguy hiểm hơn khi được khuếch đại. Cụm từ “Khuếch đại” ở đây đề cập đến việc phản hồi của máy chủ hiển thị không tương xứng với yêu cầu ban đầu được gửi.

Để thực hiện khuếch đại một cuộc tấn công DNS, mỗi yêu cầu DNS có thể được gửi bằng protocol extension DNS EDNS0. Cho phép các DNS message lớn hoặc sử dụng tính năng mật mã của DNSSEC (DNS security extension). Điều này nhằm tăng kích thước message. Các truy vấn giả mạo thuộc loại “ANY” (bất kỳ), trả lại tất cả thông tin đã biết về vùng DNS trong một yêu cầu duy nhất, cũng có thể được sử dụng.

Thông qua các thủ thuật này hoặc nhiều thủ thuật khác. Một thông báo yêu cầu DNS có kích thước khoảng 60 byte sẽ được cấu hình để gửi thông báo phản hồi trên 4000 byte tới máy chủ đích. Đây chính là nguyên nhân dẫn đến hệ số khuếch đại 70:1. Việc khuếch đại này làm tăng đáng khối lượng lưu lượng truy cập mà máy chủ mục tiêu nhận được và tăng tốc độ cạn kiệt tài nguyên của máy chủ một cách đáng kể.

Hơn nữa, các cuộc tấn công DNS Amplification thường chuyển tiếp các yêu cầu DNS thông qua một hoặc nhiều mạng botnet. Đây là nguyên nhân làm tăng lưu lượng truy cập trực tiếp vào máy chủ được nhắm đến. Ngoài ra việc này còn khiến việc theo dõi danh tính của kẻ tấn công thêm phần khó hơn nhiều.

Làm sao để giảm thiểu cuộc tấn công DNS Amplification

Dù nghe chúng đáng sự nhưng chúng ta vẫn có thể tìm ra những cách phổ biến để ngăn chặn hoặc giảm thiểu tác động của các cuộc tấn công DNS Amplification. Trong đó bao gồm việc :

  • Thắt chặt bảo mật DNS server
  • Chặn những DNS server cụ thể hoặc tất cả các recursive relay server và giới hạn tốc độ

Nhưng trên thực tế những phương pháp này không hoàn toàn loại bỏ các nguồn tấn công. Đồng thời cũng không làm giảm tải trên mạng và chuyển đổi giữa máy chủ định danh (name server) và máy chủ đệ quy (recursive server) mở.

Không chỉ vậy mà việc chặn tất cả lưu lượng truy cập từ các máy chủ đệ quy mở có thể cản trở những nỗ lực giao tiếp DNS hợp pháp. Ví dụ như một số tổ chức duy trì máy chủ đệ quy mở để nhân viên làm việc trên thiết bị di động. Điều này cho phép họ có thể phân giải từ máy chủ định danh “đáng tin cậy”. Việc chặn lưu lượng truy cập từ các máy chủ có thể sẽ cản trở quyền truy cập của họ.

Cách ngăn chặn cuộc tấn công DNS Amplification

Vậy phải làm gì để ngăn việc chúng ta trở thành nạn nhân của cuộc tấn công DNS Amplification?

Cài đặt trình phân giải ở chế độ riêng tư và được bảo vệ

Nếu bạn đang trong trường hợp vận hành trình phân giải của riêng mình. Lúc này việc sử dụng trình phân giải đó nên được giới hạn cho người dùng trên mạng của bạn. Điều này nhằm mục đích để giúp ngăn bộ nhớ cache của nó bị nhiễm độc bởi tin tặc bên ngoài tổ chức. Nó sẽ không thể được mở cho người dùng bên ngoài.

Bảo mật máy tính của mình

Cấu hình bảo mật nhất có thể nhằm chống lại việc lây nhiễm phần mềm độc hại vào bộ nhớ cache. Các biện pháp bảo vệ được tích hợp trong phần mềm DNS bảo vệ chống lại việc lây nhiễm sang bộ nhớ cache. Bao gồm cả tính năng thay đổi đối với các yêu cầu gửi đi. Việc này sẽ khiến hacker khó nhận được phản hồi không có thật.

Bạn có thể làm theo những hướng dẫn dưới đây để có thể thực hiện điều này:

  • Sử dụng cổng nguồn ngẫu nhiên (thay vì cổng UDP 53)
  • Ngẫu nhiên hóa ID truy vấn
  • Đặt ngẫu nhiên các chữ cái viết hoa, viết thường trong tên miền gửi đi để phân giải

Quản lý DNS server

Khi nhắc đến các máy chủ có thẩm quyền. Bạn cần ra quyết định rằng tự mình host chúng hay làm việc đó thông qua nhà cung cấp dịch vụ hoặc công ty đăng ký domain. Một chuyên gia đã từng chia sẻ rằng:

“Không ai quan tâm đến bảo mật của bạn nhiều hơn chính bạn đâu, vì vậy bạn nên tự host và quản lý, nếu bạn có đủ kỹ năng để làm như vậy“.

Tuy nhiên nếu bạn không thể tự mình host thì hoàn toàn bình thường. Hãy nhờ người khác bạn tin tưởng làm điều đó thay cho bạn. Bởi đây không chỉ là vấn đề chuyên môn. Chúng còn liên quan đến quy mô vì nhiều tổ chức cần phải có DNS server ở ba hoặc bốn nơi trên thế giới.

Mong rằng bài viết này sẽ giúp bạn phần nào hiểu về Tấn công DNS Amplification. Ngoài ra hãy bảo mật thêm máy tính cá nhân của mình bằng nhiều phương pháp khác nhé !

Hãy bình luận đầu tiên

Để lại một phản hồi

Thư điện tử của bạn sẽ không được hiện thị công khai.


*