Tiểu Luận Về DNS: Tìm Hiểu Về Hệ Thống Tên Miền

Báo cáo nghiên cứu Tiểu luận báo cáo kết thúc học phần chủ đề tìm hiểu về dns, thống kê phân tích số liệu, đánh giá xu hướng phát triển trong lĩnh vực hiện nay.

Chuyên ngành

Công nghệ thông tin

Người đăng

Ẩn danh

Thể loại

báo cáo

2020

58
13
0

Phí lưu trữ

30 Point

Tóm tắt

I. Tìm Hiểu Về Hệ Thống DNS

Hệ thống DNS (Domain Name System) là một phần quan trọng trong cơ sở hạ tầng Internet, giúp chuyển đổi tên miền thành địa chỉ IP. Điều này cho phép người dùng dễ dàng truy cập các trang web mà không cần nhớ địa chỉ IP phức tạp. DNS hoạt động như một cuốn từ điển khổng lồ, giúp các thiết bị mạng giao tiếp với nhau. Kiến trúc của DNS bao gồm các thành phần như DNS Zone và DNS File Zone, nơi lưu trữ các bản ghi cần thiết cho việc phân giải tên miền. Mỗi miền có thể chứa nhiều bản ghi khác nhau, bao gồm bản ghi A, CNAME, MX, và TXT, mỗi loại có chức năng riêng biệt trong việc quản lý và định tuyến lưu lượng Internet. Việc hiểu rõ về cấu trúc DNS và các loại bản ghi là rất cần thiết cho việc quản lý và bảo trì hệ thống mạng.

1.1. Kiến Trúc của DNS

Kiến trúc của DNS được tổ chức theo dạng cây phân cấp, với các miền gốc ở đỉnh. Mỗi miền có thể có nhiều miền con, cho phép quản lý linh hoạt và hiệu quả. DNS Zone là một phần của không gian tên DNS, nơi mà các bản ghi được quản lý bởi một tổ chức hoặc cá nhân cụ thể. DNS File Zone chứa các bản ghi thực tế cho miền, bắt đầu bằng bản ghi SOA (Start of Authority), cung cấp thông tin quan trọng về quản trị viên của miền. Việc cập nhật thường xuyên các bản ghi trong DNS là cần thiết để đảm bảo hệ thống hoạt động hiệu quả và chính xác.

1.2. Cơ Chế Hoạt Động của DNS

Cơ chế hoạt động của DNS bắt đầu từ việc người dùng nhập tên miền vào trình duyệt. DNS Recursor sẽ tìm kiếm thông tin trong bộ nhớ cache hoặc yêu cầu từ các máy chủ DNS khác nếu không tìm thấy. Quá trình này bao gồm việc truy vấn đến Root Nameserver, sau đó đến TLD Nameserver, và cuối cùng là Authoritative Nameserver để lấy địa chỉ IP tương ứng. Mỗi bước trong quy trình này đều quan trọng để đảm bảo rằng người dùng có thể truy cập trang web một cách nhanh chóng và hiệu quả. Sự hiểu biết về cơ chế này giúp các quản trị viên mạng tối ưu hóa hiệu suất và bảo mật cho hệ thống DNS.

II. Các Dạng Tấn Công Vào DNS

Các tấn công vào DNS có thể gây ra những hậu quả nghiêm trọng cho người dùng và hệ thống mạng. Một trong những dạng tấn công phổ biến là DNS Cache Poisoning, nơi kẻ tấn công thay đổi thông tin trong cache của DNS để điều hướng người dùng đến các trang web giả mạo. DNS Hijacking cũng là một hình thức tấn công, trong đó kẻ tấn công chiếm quyền điều khiển DNS của người dùng, dẫn đến việc chuyển hướng đến các trang web độc hại. Những tấn công này không chỉ ảnh hưởng đến trải nghiệm người dùng mà còn có thể dẫn đến mất mát dữ liệu và thông tin nhạy cảm. Việc hiểu rõ về các dạng tấn công này là rất quan trọng để có thể triển khai các biện pháp bảo mật hiệu quả.

2.1. DNS Cache Poisoning

DNS Cache Poisoning là một kỹ thuật tấn công mà kẻ tấn công thay đổi thông tin trong cache của DNS, dẫn đến việc người dùng được điều hướng đến các trang web giả mạo. Kịch bản tấn công thường bắt đầu khi người dùng nhập tên miền vào trình duyệt. Nếu DNS cache đã bị thay đổi, người dùng có thể bị chuyển hướng đến một trang web độc hại mà không hề hay biết. Điều này có thể dẫn đến việc lộ thông tin cá nhân hoặc lừa đảo tài chính. Để bảo vệ hệ thống khỏi loại tấn công này, việc sử dụng các biện pháp bảo mật như DNSSEC là rất cần thiết.

2.2. DNS Hijacking

DNS Hijacking là một hình thức tấn công mà kẻ tấn công chiếm quyền điều khiển DNS của người dùng, dẫn đến việc chuyển hướng đến các trang web độc hại. Kẻ tấn công có thể sử dụng phần mềm độc hại để thay đổi cài đặt DNS trên máy tính của nạn nhân, khiến cho mọi yêu cầu truy cập đều được chuyển hướng đến các máy chủ giả mạo. Điều này không chỉ gây ra sự bất tiện cho người dùng mà còn có thể dẫn đến việc mất mát thông tin nhạy cảm. Việc nhận thức và phòng ngừa các hình thức tấn công này là rất quan trọng trong việc bảo vệ an toàn thông tin cá nhân.

III. Các Cơ Chế Bảo Mật DNS

Bảo mật cho hệ thống DNS là một yếu tố quan trọng để đảm bảo tính toàn vẹn và bảo mật của dữ liệu. DNSSEC (Domain Name System Security Extensions) là một công nghệ bảo mật được thiết kế để bảo vệ hệ thống DNS khỏi các tấn công như DNS Spoofing và Cache Poisoning. DNSSEC cung cấp một cơ chế xác thực giữa các máy chủ DNS, đảm bảo rằng dữ liệu được truyền tải là chính xác và không bị thay đổi. Việc triển khai DNSSEC không chỉ giúp bảo vệ thông tin mà còn tăng cường độ tin cậy của hệ thống DNS trong việc phân giải tên miền.

3.1. Tổng Quan Về DNSSEC

DNSSEC là một công nghệ an toàn mở rộng cho hệ thống DNS, cung cấp cơ chế xác thực cho dữ liệu DNS. Điều này giúp ngăn chặn các tấn công giả mạo và đảm bảo rằng thông tin được truyền tải giữa các máy chủ DNS là chính xác. DNSSEC sử dụng các chữ ký số để xác thực nguồn gốc của dữ liệu, giúp người dùng yên tâm hơn khi truy cập các trang web. Việc triển khai DNSSEC là một bước quan trọng trong việc bảo vệ an toàn thông tin trên Internet.

3.2. Cơ Chế Bảo Mật của DNSSEC

Cơ chế bảo mật của DNSSEC bao gồm việc sử dụng các bản ghi DNS đặc biệt để xác thực dữ liệu. Mỗi bản ghi DNSSEC được ký bằng một khóa riêng, và người dùng có thể xác minh chữ ký này để đảm bảo rằng dữ liệu không bị thay đổi. Việc sử dụng DNSSEC không chỉ giúp bảo vệ thông tin mà còn tăng cường độ tin cậy của hệ thống DNS. Các tổ chức và cá nhân nên xem xét việc triển khai DNSSEC như một phần của chiến lược bảo mật tổng thể của họ.

01/02/2025

Trích đoạn nội dung tài liệu

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA CÔNG NGHỆ THÔNG TIN ---------- BÁO CÁO KẾT THÚC HỌC PHẦN CHỦ ĐỀ: TÌM HIỂU VỀ DNS Giảng viên hướng dẫn: TS Hoàng Xuân Dậu Nhóm 4: Vũ Hồng Dương B16DCAT042 Tống Đình Hoàn B16DCAT062 Ngô Thành Công B16DCAT017 Nguyễn Thị Hà Trang B16DCAT057 Nguyễn Thùy Dương B16DCAT041 Hà Nội, ngày 16 tháng 11 năm 2020 1 MỤC LỤC LỜI NÓI ĐẦU. 4 PHẦN 1: TÌM HIỂU VỀ HỆ THỐNG DNS. Kiến trúc của DNS. DNS Zone và DNS File Zone.

Cơ chế hoạt động của DNS.14 PHẦN 2: CÁC DẠNG TẤN CÔNG VÀO DNS.19 PHẦN 3: CÁC CƠ CHẾ BẢO MẬT DNS. Tổng quan về DNSSEC. Cơ chế bảo mật của DNSSEC. Domain Key Identify Mail.29 PHẦN 4: CÀI ĐẶT VÀ QUẢN TRỊ DNS SERVER TRÊN WINDOWS SERVER 2012 R2.

Mô hình bài Lab. Các bước thực hiện.32 PHẦN 5: CÀI ĐẶT QUẢN TRỊ DNS SERVER SỬ DỤNG BIND9. Mô hình bài lab. Các bước cài đặt.43 PHẦN 6: DEMO MỘT DẠNG TẤN CÔNG HỆ THỐNG DNS.47 TÀI LIỆU THAM KHẢO.54 2 DANH MỤC HÌNH ẢNH Hình 1: Cấu trúc bản ghi SOA.8 Hình 2: Mô hình hoạt động của DNS.15 Hình 3: Mô hình tấn công DNS Spoofing.17 Hình 4: NXDOMAIN Attack.

Zone-Signing Key.22 Hình 6: Key-Signing Key.23 Hình 7: Key-Signing Key Identified.24 Hình 8: Zone Identify.25 Hình 9: DS Record.26 Hình 10: Trust of chain.28 Hình 11: Domain Key Identify Mail.29 Hình 12: IP config Windows Server 2012.32 Hình 13: Giao diện Server Manager.33 Hình 14: Tạo Role and Feature.33 Hình 15: Thêm DNS Server.34 Hình 16: Tạo DNS Server.34 Hình 17: Giao diện DNS Server.37 Hình 18: Tạo Forward Zone.37 Hình 19: Nhập tên Forward Zone.38 Hình 20: Tạo các bản ghi trong Zone.38 Hình 21: Nhập địa chỉ IP cho bản ghi A.39 Hình 22: Tạo Reverse Zone.40 Hình 23: Tạo bản ghi PTR.40 Hình 24: Đặt địa chỉ DNS Server cho máy client.41 Hình 25: Kiểm tra dịch vụ trên máy client.42 Hình 26: Cấu trúc file trong Bind9 DNS Server.43 Hình 27: Sửa file name.44 Hình 28: Chỉnh sửa file name.44 Hình 29: Tạo Forward Zone và khai báo các bản ghi.45 Hình 30: Tạo reverse zone và khai báo các bản ghi.45 Hình 31: Kiểm tra dịch vụ Bind9.46 Hình 32: Kiểm tra dịch vụ DNS bằng máy client.46 Hình 33: Mô hình tấn công DNS Spoofing.47 Hình 34: Sử dụng công cụ Setoolkit.48 Hình 35: Clone site thành công.49 Hình 36: Cấu hình ettercap.50 Hình 37: Kích hoạt ARP Spoofing.51 Hình 38: Kích hoạt plugin dns_spoofing.51 Hình 39: Fake google website.52 Hình 40: DNS spoof thành công.52 Hình 41: Thu thập thông tin đăng nhập.53 3 LỜI NÓI ĐẦU Trong thế giới công nghệ nói chung và thiết kế website nói riêng, DNS là khái niệm đóng vai trò vô cùng quan trọng. Chắc hẳn trong chúng ta, kể cả đối với những người không học chuyên sâu về công nghệ thông tin đều đã nghe tới cụm từ viết tắt này. Dịch vụ DNS đóng vai trò như xương sống trong thế giới Internet, như một cuốn từ điển khổng lồ, dịch vụ DNS giúp chúng ta có thể duyệt web hay gửi mail một cách dễ dàng hơn mà không cần phải nhớ hàng tá những địa chỉ IP. Trong báo cáo này, nhóm 4 chúng em tìm hiểu về những kiến thức xoay quanh DNS, các phương thức tấn công cũng như bảo mật cho hệ thống này.

Trong báo cáo không thể tránh khỏi những thiếu xót, mong thầy góp ý để nhóm em hoàn thiện báo cáo một cách tốt nhất. Xin cảm ơn thầy. 4 PHẦN 1: TÌM HIỂU VỀ HỆ THỐNG DNS 1. DNS là gì ? DNS là Hệ thống phân giải tên miền, viết tắt của Domain Name Servers, nó "dịch" tên miền Internet và tên máy chủ sang địa chỉ IP (giúp các máy chủ và thiết bị mạng có thể hiểu được) và ngược lại.

Trên Internet, DNS tự động chuyển đổi các tên miền chúng ta gõ vào thanh địa chỉ trên trình duyệt web thành địa chỉ IP. Khi “dịch” như thế, trình duyệt sẽ hiểu và đăng nhập vào được. Và khi người dùng đăng nhập vào một website, thay vì phải nhớ và nhập một dãy số địa chỉ IP của hosting, thì chỉ cần nhập tên website là trình duyệt tự động nhận diện. Mỗi máy tính trên Internet đều có một địa chỉ IP duy nhất.

Địa chỉ IP này được dùng để thiết lập kết nối giữa server và máy khách để khởi đầu một kết nối. Bất kỳ khi nào, bạn truy cập vào một website tùy ý hoặc gửi một email, thì DNS đóng vai trò rất quan trọng trong trường hợp này. Trong vô vàn trang web trên thế giới, sẽ không có ai có thể nhớ hết từng dãy số địa chỉ IP trong mỗi lần đăng nhập. Do đó, khái niệm tên miền được đưa ra, từ đó mỗi trang web sẽ được xác định với tên duy nhất.

Tuy nhiên, địa chỉ IP vẫn được sử dụng như một nền tảng kết nối bởi các thiết bị mạng. Đó là nơi DNS làm việc phân giải tên domain thành địa chỉ IP để các thiết bị mạng giao tiếp với nhau. Đồng thời, bạn cũng có thể tải một website bằng cách nhập trực tiếp địa chỉ IP thay vì nhập tên domain của website đó. Kiến trúc của DNS 1.

DNS Zone và DNS File Zone DNS Zone là vùng DNS, một phần của không gian tên DNS được quản lý bởi một tổ chức hoặc quản trị viên cụ thể. Vùng DNS là không gian quản trị cho phép kiểm soát chi tiết hơn các thành phần DNS, chẳng hạn như máy chủ định danh có thẩm quyền. Các miền không gian tên là một cây phân cấp, với các tên miền DNS root ở đầu trang. Vùng DNS bắt đầu từ một miền trong cây và cũng có thể mở rộng xuống các miền phụ để nhiều miền phụ có thể được quản lý bởi một thực thể.

DNS file zone là một tệp văn bản thuần túy được lưu trữ trong máy chủ DNS chứa bản đại diện thực tế của vùng và chứa tất cả các bản ghi cho mọi miền trong vùng. DNS file zone phải luôn bắt đầu bằng bản ghi Start of Authority (SOA), bản ghi này chứa thông tin quan trọng bao gồm thông tin liên hệ cho người quản trị vùng. Resource Record (Các bản ghi DNS) RR hay còn gọi là Resource Record là mẫu thông tin sử dụng để miêu tả những thông tin về DNS, những mẫu thông tin này được lưu trong các zone file nằm ở các DNZ zone. Mỗi DNS Zone có một zone file.

Zone file cũng có thể được xem giống như là cơ sở dữ liệu DNS. Các zone file có 1 hoặc nhiều resource records – bản ghi tài nguyên. Các bản ghi DNS phải được cập nhật thường xuyên, định kỳ khi các tên miền mới được thêm vào hoặc có sự thay đổi ở các tên miền cũ. Nếu không có quá trình này thì hệ thống sẽ trở nên chậm 6 chạp và lỗi thời.

Do đó khả năng chuyển vùng giữa các DNS server là thực sự cần thiết. Resource Record là một bản ghi đơn mô tả chi tiết phần thông tin trong cơ sở dữ liệu DNS. Các bản ghi này có dạng văn bản đơn giản, giống như là: Owner TTL Class Type RDATA Mỗi trường này phải được phân tách bằng ít nhất một khoảng trắng Các loại Resource Record a. SOA (Start of Authority) Thông thường, mỗi tên miền sẽ sử dụng 1 cặp DNS nào đó để trỏ về 1 hoặc nhiều máy chủ DNS, và ở đây, các máy chủ DNS có trách nhiệm cung cấp thông tin bản ghi DNS của hệ thống cho tên miền này để nó hoạt động.

SOA được coi như dấu hiệu nhận biết của hệ thống về tên miền này. Một cấu trúc của bản ghi SOA thông thường sẽ bao gồm: [tên miền] IN SOA [tên-server-dns] [địa-chỉ-email] (serial number; refresh number; retry number; experi number; time-to-live number) Ví dụ: $TTL 86400 7 @ IN SOA masterdns. ( 2014090401 ; serial 3600 ; refresh 1800 ; retry 604800 ; expire 86400 ) ; TTL Hình 1: Cấu trúc bản ghi SOA Trong đó: masterdns.: Giá trị DNS chính của tên miền hoặc máy chủ. : Chuyển đổi từ dạng admin@hiennt.com, thể hiện chủ thể sở hữu tên miền này.

8 Serial: Áp dụng cho mọi dữ liệu trong zone và có định dạng YYYYMMDDNN với YYYY là năm, MM là tháng, DD là ngày, NN là số lần sửa đổi dữ liệu zone trong ngày. Luôn luôn phải tăng số này lên mỗi lần sửa đổi dữ liệu zone. Khi Slave DNS Server liên lạc với Master DNS Server, trước tiên nó sẽ hỏi số serial. Nếu số serial của Slave nhỏ hơn số serial của máy Master tức là dữ liệu zone trên Slave đã cũ và sau đó Slave sẽ sao chép dữ liệu mới từ Master thay cho dữ liệu đang có.

Refresh:Chỉ ra khoảng thời gian Slave DNS Server kiểm tra dữ liệu zone trên Master để cập nhật nếu cần. Giá trị này thay đổi tùy theo tuần suất thay đổi dữ liệu trong zone. Retry: Nếu Slave DNS Server không kết nối được với Master DNS Server theo thời hạn mô tả trong refresh (ví dụ Master DNS Server bị shutdown vào lúc đó thì Slave DNS Server phải tìm cách kết nối lại với Master DNS Server theo một chu kỳ thời gian mô tả trong retry. Thông thường, giá trị này nhỏ hơn giá trị refresh).

Expire:Nếu sau khoảng thời gian này mà Slave DNS Server không kết nối được với Master DNS Server thì dữ liệu zone trên Slave sẽ bị quá hạn. Khi dữ liệu trên Slave bị quá hạn thì máy chủ này sẽ không trả lời mỗi truy vấn về zone này nữa. Giá trị expire này phải lớn hơn giá trị refresh và giá trị retry. Minimum TTL: Chịu trách nhiệm thiết lập TTL tối thiểu cho 1 zone.

NS (Name Server) Bản ghi NS dùng để khai báo máy chủ tên miền cho một tên miền. Nó cho biết các thông tin về tên miền này được khai báo trên máy chủ nào. Với mỗi một tên miền phải có tổi thiểu hai máy chủ tên 9 miền quản lý, do đó yêu cầu có tối thiểu hai bản ghi NS cho mỗi tên miền. Cú pháp của bản ghi NS: <tên miền> IN NS <tên của máy chủ tên miền> Ví dụ: thuyhiend.space IN NS ns1.space IN NS ns2.vn Với khai báo trên, tên miền thuyhiend.space sẽ do máy chủ tên miền có tên ns1.vn và ns2.

Điều này có nghĩa, các bản ghi như A, CNAME, MX … của tên miền thuyhiend.space và các tên miền cấp dưới của nó sẽ được khai báo trên máy chủ ns1.vn và ns2. Record A Là một record căn bản và quan trọng, dùng để ánh xạ từ một domain thành địa chỉ IP cho phép có thể truy cập website. Đây là chức năng cốt lõi của hệ thống DNS. Record A có dạng như sau: domain IN A <địa chỉ IPv4 của máy> Ví dụ về 1 khai báo bản ghi A thuyhiend.201 10 Tên miền con (subdomain): sub.

Record AAAA Có nhiệm vụ tương tự như bản ghi A, nhưng thay vì địa chỉ IPv4 sẽ là địa chỉ IPv6.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ