DNS Server vẫn dễ dàng bị tấn công
04:10, 01/12/2008
Theo các giám định về DNS do ủy ban dụng dịch vụ mạng Infoblox (http://www.infoblox.com) công bố, mặc dù đã có một số cải tiến đáng kể về hệ thống Server và bảo mật so với 2007, tuy nhiên hàng triệu tên miền vẫn có khả năng bị tấn công theo kiểu từ chối dịch vụ - DOSS hoặc làm sập Cache.
Infoblox đã tiến hành thử nghiệm đo lường, sử dụng hai tập dữ liệu. Dữ liệu đầu tiên chứa hơn 90.000 địa chỉ IP định tuyến, được lấy ngẫu nhiên 5% trong tổng số không gian địa chỉ IPv4. Dữ liệu thứ hai được sử dụng là một triệu tên miền, chọn ngẫu nhiên từ danh sách của 182 triệu tên miền .Com và .Net được cung cấp bởi Verisign (http://www.verisign.com/).
Theo kết quả của cuộc thử nghiệm thì các địa chỉ IP trên được quản lý bởi 11,9 triệu máy chủ trên khắp thế giới, và đa số chúng sử dụng phần mềm quản trị máy chủ tên miền Internet BIND (Berkeley Internet Name Domain), và hầu hết định tuyến trên port 53.
Infoblox đã tiến hành thử nghiệm đo lường, sử dụng hai tập dữ liệu. Dữ liệu đầu tiên chứa hơn 90.000 địa chỉ IP định tuyến, được lấy ngẫu nhiên 5% trong tổng số không gian địa chỉ IPv4. Dữ liệu thứ hai được sử dụng là một triệu tên miền, chọn ngẫu nhiên từ danh sách của 182 triệu tên miền .Com và .Net được cung cấp bởi Verisign (http://www.verisign.com/).
Theo kết quả của cuộc thử nghiệm thì các địa chỉ IP trên được quản lý bởi 11,9 triệu máy chủ trên khắp thế giới, và đa số chúng sử dụng phần mềm quản trị máy chủ tên miền Internet BIND (Berkeley Internet Name Domain), và hầu hết định tuyến trên port 53.
Nói thêm một chút về BIND (Berkeley Internet Name Distributed) là một chương trình phục vụ DNS (Domain Name System) trên nền các hệ thống AIX/BSD/HP-UX/Unix/Linux/VMS.. Được phát triển vào đầu những năm 1980, BIND là một phần mềm máy chủ DNS phổ biến nhất hiện nay trên Internet. Nhưng BIND có những lỗi bảo mật nghiệm trọng mà hiện nay người ta vẫn còn phải kiểm tra và khắc phục nó.
Cũng theo kết quả khảo sát thì số lượng các máy chủ chạy DNS trên nền tảng Microsoft so với trước đây giảm mạnh, nguyên nhân đó là do máy chủ DNS Microsoft thiếu nhiều tính năng bảo mật quan trọng như kiểm soát địa chỉ IP truy cập dựa trên truy vấn, khả năng tự động cập nhập. Do đó các máy chủ này hầu hết chỉ được sử dụng trong các mạng nội bộ.
Kết thúc cuộc kiểm tra có một tin tốt lành đó là có khoảng 4300000 máy chủ được mở phục theo dạng DNS Recursion, con số này thấp hơn trong năm 2007, tuy nhiên vẫn còn quá cao so với con số mà các nhà nghiên cứu đã dự kiến.
Các máy này khả năng bị tấn công từ chối dịch vụ là rất lớn. DNS Recursion là phép đệ quy trong vấn đề xử lý giao tiếp trên mạng, theo đó cho phép Namesever sử lí yêu cầu mà nó không phuc vụ, khi Nameserver nhận vấn tin vùng hoặc tên miền không được nó phục vụ, Nameserver này sẽ chuyển vấn tin này cho Nameserver khác có thẩm quyền, sau khi nhận hồi âm từ Nameserver có thẩm quyền nó sẽ trả lời về bên yêu cầu.
Các kết quả quan trọng có liên quan đến cấu hình cụ thể DNS, nhằm phòng chống và bảo vệ chống lại các cuộc tấn công, chẳng hạn như việc thực hiện các chính sách Tên người gửi Framework (SPF), việc sử dụng các Khu vực chuyển giao (AXFR), IPv6 hoặc DNSSEC.
Các kết quả quan trọng có liên quan đến cấu hình cụ thể DNS, nhằm phòng chống và bảo vệ chống lại các cuộc tấn công, chẳng hạn như việc thực hiện các chính sách Tên người gửi Framework (SPF), việc sử dụng các Khu vực chuyển giao (AXFR), IPv6 hoặc DNSSEC.
Theo đó, việc sử dụng các SPF (một kỹ thuật bảo vệ thư rác) đã tăng lên, và hiện đang triển khai thực hiện cho các tên miền .Com và .Net. Ngược lại, IPv6 và DNSSEC đã không chấp nhận các cải tiến đó, chỉ có 0,44% cho IPv6 và 0,002% cho DNSSEC.
Minh Định – Ngô Trung