HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH

**********

BÁO CÁO CUỐI KỲ

MÔN: CƠ SỞ AN TOÀN THÔNG TIN

ĐỀ TÀI:
HÌNH THỨC TẤN CÔNG DNS SPOOFING

Giảng viên hướng dẫn: HUỲNH THANH TÂM

Nhóm thực hiện: Nhóm 2
Thành viên nhóm: Nguyễn Minh Thuận - N19DCAT086
Nguyễn Thế Bảo - N19DCAT007
Từ Nguyễn Quốc Huy - N19DCAT038
Lớp: D19CQAT01-N

TP.HCM, ngày 13 tháng 12 năm 2021

 LỜI MỞ ĐẦU........................................................................................1
PHẦN I. TÌM HIỂU GIAO THỨC DNS.............................................2
1. DNS là gì?....................................................................................2
2. Chức năng của DNS....................................................................2
3. Cách thức hoạt động của DNS...................................................2
4. DNS record là gì?........................................................................4
PHẦN II. CÁCH THỨC TẤN CÔNG DNS SPOOFING..................6
1. Điểm yếu của hệ thống DNS.......................................................6
2. Khái niệm DNS Spoofing............................................................6
3. Mực độ nguy hiểm.......................................................................7
4. Cách thức tân công DNS Spoofing.............................................7
5. Thử nghiệm tấn công..................................................................8
PHẦN III. CÁC GIẢI PHÁP NÂNG CAO AN TOÀN BẢO MẬT CHO
DNS TRONG MẠNG DOANH NGHIỆP....................................................12
1. Công nghệ bảo mật DNSSEC...................................................12
2. Lọc DNS.....................................................................................13
3. Sử dụng DNS Forwarder..........................................................14
4. Sử dụng máy chủ DNS lưu trữ.................................................14
5. Sử dụng DNS Advertiser..........................................................15
6. Sử dụng DNS Resolver..............................................................15
7. Bảo vệ bộ nhớ đệm DNS...........................................................16
8. Bảo mật kết nối bằng DDNS.....................................................16
9. Ngừng chạy Zone Transfer.......................................................17
10. Sử dụng Firewall kiểm soát truy cập DNS............................17
11. Cài đặt kiểm soát truy cập vào Registry của DNS................18
12. Cài đặt kiểm soát truy cập vào file hệ thống DNS................18
KẾT LUẬN..........................................................................................19
TÀI LIỆU THAM KHẢO...................................................................20
 LỜI MỞ ĐẦU
Hệ thống tên miền – DNS (Domain Name System) được phát minh vào
năm 1984 cho Internet, đây là một hệ thống cho phép thiết lập quan hệ tương
ứng giữa địa chỉ IP và tên miền.
Hệ thống DNS thực chất là một tập hợp hệ thống phần cứng và các công
cụ phần mềm phục vụ cho nhiệm vụ phân giải tên miền. Ngoài các hệ thống
phần cứng và các công cụ phần mềm chạy dưới dạng dịch vụ thì cần có các giao
thức DNS (Bao gồm định dạng gói tin, giao thức truyền, …) để có thể tiến hành
trao đổi thông tin giữa máy client với các máy chủ DNS và giữa các máy chủ
DNS với nhau. Chính vì DNS hội tụ đầy đủ các yếu tố: Phần cứng, phần mềm
và giao thức như đã trình bày ở trên nên hệ thống DNS luôn luôn tiềm ẩn các lỗ
hổng mà hacker có thể sử dụng để khai thác và làm chủ hệ thống, từ đó gây ra
các ảnh hưởng tới người dùng.
Trong phạm vi bài báo cáo này, nhóm em sẽ trình bày một số lỗ hổng đã
xảy ra với hệ thống DNS cũng như cách thức tấn công hệ thống DNS bằng
phương pháp DNS Spoofing và tác hại nó gây ra với người dùng. Qua đó giúp
người sử dụng internet có cái nhận thức tốt hơn để phòng ngừa những nguy cơ
có thể xảy ra và sử dụng internet hiệu quả hơn.

1
 PHẦN I. TÌM HIỂU GIAO THỨC DNS
1. DNS là gì?
- DNS là hệ thống phân giải tên miền (DNS là viết tắt của Domain Name
System) là một hệ thống cho phép thiết lập tương ứng giữa địa chỉ IP và tên
miền trên Internet.
- DNS được phát minh vào năm 1984 cho Internet và đây là một trong số
các chuẩn công nghiệp của các cổng bao gồm cả TCP/IP. Hệ thống phân giải tên
miền chính là chìa khóa chủ chốt của nhiều dịch vụ mạng hiện nay như Internet,
mail server, web server…
2. Chức năng của DNS
Mỗi Website có một hostname (là tên miền) và một địa chỉ IP. Địa chỉ IP
gồm 4 nhóm số cách nhau bằng dấu chấm(IPv4). Khi người dùng mở một trình
duyệt Web và Trang 3 nhập tên website, trình duyệt sẽ đến thẳng website mà
không cần phải thông qua việc nhập địa chỉ IP của trang web. Quá trình "dịch"
tên miền thành địa chỉ IP để cho trình duyệt hiểu và truy cập được vào website
là công việc của một DNS server. Các DNS trợ giúp qua lại với nhau để dịch địa
chỉ "IP" thành "hostname" và ngược lại. Vì vậy người sử dụng chỉ cần nhớ tên,
không cần phải nhớ địa chỉ IP.
3. Cách thức hoạt động của DNS

DNS Server hoạt động sẽ lắng nghe yêu cầu từ DNS Client trên cổng
123. Sau khi chấp nhận yêu cầu của client, client và server sẽ trao đổi thông tin
trên một port thống nhất của client và server chứ không trao đổi qua port 123.
(port 123 chỉ nhầm khởi tạo kết nối).

Khi muốn phân giải tên miền hay địa chỉ ip thì DNS Client sẽ gửi cho
DNS Server một chuổi kí tự cần phân giải, yêu cầu DNS Server phân giải. Khi
nhận được chuỗi kí tự thì DNS Server sẽ kiểm tra chuỗi nhận được là địa chỉ ip
hay domain, sau đó gọi hàm phân giải tương ứng với địa chỉ ip hay là domain.
Khi gọi hàm phân giải thì chương trình sẽ dò tìm trong cơ sở dữ liệu đã có
domain hay địa chỉ ip này chưa , nếu có rồi thì sẽ lấy ra rồi gửi kết quả về cho

2
DNS Client; ngược lại, nếu chưa có trong cơ sở dữ liệu thì chương trình sẽ đi ra
ngoài mạng Internet nhờ các DNS Server khác phân giải hộ.

Trường hợp nếu phân giải được thì địa chỉ ip hay domain sẽ được cập
nhật vào cơ sở dữ liệu, sau đó chương trình sẽ truy vấn trong cơ sở liệu một lần
nữa để lấy ra địa chỉ ip hay domain rồi gửi về cho DNS Client. Trường hợp
không phân giải được thì chương trình sẽ trả về mã lổi là 220 hoặc 230.

DNS Client khi nhận được kết quả là mã lổi thì sẽ xuất ra thông báo
tương ứng.

+ 220 : địa chỉ ip không tồn tại.

+ 230 : tên miền không tồn tại

* 4 máy chủ DNS liên quan đến việc tải trang web:
+ DNS recursor:
Người nhận có thể được coi là một thủ thư, người được yêu cầu đi tìm
một cuốn sách cụ thể ở đâu đó trong thư viện. Người nhận DNS là một máy chủ
được thiết kế để nhận các truy vấn từ máy khách thông qua các ứng dụng như
trình duyệt web. Thông thường, người nhận sau đó chịu trách nhiệm thực hiện
các yêu cầu bổ sung để đáp ứng truy vấn DNS của máy khách.
+ Root nameserver:
Root nameserver là bước đầu tiên trong việc dịch (giải quyết) tên miền
thành địa chỉ IP. Nó có thể được coi như một chỉ mục trong thư viện. Nó chỉ ra
các kệ sách khác nhau – thông thường nó được dùng như một tham chiếu đến
các vị trí cụ thể hơn.
+ TLD nameserver:
Top Level Domain (TLD) Nameserver có thể được coi là một giá sách
cụ thể trong thư viện. Nameserver này là bước tiếp theo trong quá trình tìm kiếm
một địa chỉ IP cụ thể. Nó lưu trữ phần cuối cùng của tên máy chủ (Trong ví
dụ .com, máy chủ TLD là “com”).

3
 +Authoritative nameserver:
Authoritative nameserver có thể được coi là một từ điển trên giá sách.
Trong đó một tên cụ thể có thể được dịch thành định nghĩa của nó. Authoritative
nameserver là điểm dừng cuối cùng trong truy vấn nameserver.
Nếu authoritative nameserver có quyền truy cập vào bản ghi được yêu
cầu. Nó sẽ trả lại địa chỉ IP cho tên miền được yêu cầu trở lại DNS recursor
(người thủ thư) đã thực hiện yêu cầu ban đầu.
4. DNS record là gì?
- DNS record là bản ghi nằm trong DNS servers cung cấp thông tin về cơ
sở dữ liệu DNS, cho biết các tên miền, địa chỉ IP gắn với tên miền và cách xử lý
các yêu cầu với tên miền đó… Tất cả các tên miền trên internet đều phải có một
vài bản ghi DNS cần thiết để người dùng có thể truy cập trang web khi nhập tên
miền và thực hiện các mục đích khác.
* 6 loại DNS record phổ biến nhất
- A record:
+ A record (viết tắt của Address record) là DNS record cơ bản và quan
trọng nhất dùng để truy cập web. Nó giúp trỏ tên miền (domain) của website tới
một địa chỉ IP cụ thể. A record có cú pháp như sau:
[Tên miền] IN A [địa chỉ IP của máy]
Ví dụ: google.com IN A 172.217.5.78
+ Hầu hết các website chỉ có một bản ghi A, nhưng một số trang web sẽ
có một vài bản ghi A không giống nhau. Điều này có nghĩa là một tên miền có
thể được trỏ đến nhiều địa chỉ IP khác nhau… A record được dùng để chuyển
tên miền sang địa chỉ IPv4, còn với IPv6 thì AAAA record sẽ được sử dụng.
Cấu trúc của bản ghi AAAA cũng tương tự như bản ghi A.
- CNAME record:
+ CNAME (Canonical Name) record là một bản ghi DNS record quy
định một tên miền là bí danh của một tên miền chính khác. Một tên miền chính
có thể có nhiều bí danh CNAME. Cú pháp của DNS record này như sau:
[Tên bí danh] IN CNAME [tên miền chính]

4
 + Trong đó, tên miền chính là tên miền được khai báo trong A record
đến IP của máy. Tên bí danh là tên miền khác mà bạn cho phép có thể trỏ đến
máy tính (địa chỉ IP) này. Ví dụ: www.bizflycloud.com IN CNAME
bizflycloud.com, tức là khi người dùng gõ www.bizflycloud.com thì hệ thống
cũng sẽ đưa về địa chỉ IP của tên miền chính bizflycloud.com.
- MX record:
+ MX (Mail Exchange) record là một DNS record giúp xác định mail
server mà email sẽ được gửi tới. Một tên miền có thể có nhiều MX record, điều
này giúp tránh việc không nhận được email nếu một mail server ngưng hoạt
động.
MX record có cấu trúc khá đơn giản, ví dụ như:
bizflycloud.vn IN MX 10 mx20.bizflycloud.vn
bizflycloud.vn IN MX 30 mx30.bizflycloud.vn
+ Trong đó, các số 10, 30 là các giá trị ưu tiên. Chúng có thể là các số
nguyên bất kì từ 1 đến 255, số càng nhỏ thì độ ưu tiên càng cao. Như trong ví dụ
trên, các mail có cấu trúc địa chỉ là …@bizflycloud.vn sẽ được gửi đến mail
server mx20.bizflycloud.vn trước. Nếu nó có vấn đề thì các mail mới được
chuyển đến mail server mx30.bizflycloud.vn.
- TX record:
TXT record là một loại DNS record giúp tổ chức các thông tin dạng text
(văn bản) của tên miền. Một domain (tên miền) có thể có nhiều bản ghi TXT và
chúng chủ yếu được dùng cho các Sender Policy Framework (SPF) codes, giúp
email server xác định các thư được gửi đến có phải từ một nguồn đáng tin hay
không. Ngoài ra, loại bản ghi DNS này còn dùng để xác thực máy chủ của một
tên miền, xác minh SSL…
- NS record:
NS (Name Server) record là một loại DNS record giúp xác định thông tin
của một tên miền cụ thể được khai báo và quản lý trên máy chủ nào. Cú pháp
của bản ghi này như sau:
[Tên miền] IN NS [tên máy chủ tên miền]

5
 Ví dụ:
bizflycloud.com IN NS ns1.bizflycloud.vn
bizflycloud.com IN NS ns2.bizflycloud.vn
Trong ví dụ trên, tên miền bizflycloud.com sẽ được quản lý bởi hai máy
chủ tên miền là ns1.bizflycloud.vn và ns2.bizflycloud.vn. Điều này cũng có
nghĩa là các DNS record (A record, MX record…) của tên miền bizflycloud.com
sẽ được khai báo trên hai máy chủ này.
- PTR record:
PTR (Pointer) record có thể nói là một DNS record ngược lại với A
record, cho phép chuyển đổi từ địa chỉ IP sang tên miền. Bản ghi PTR giúp xác
thực IP của các hostname gửi tới, giúp hạn chế bị spam mail…
Ngoài 6 loại trên vẫn còn các loại bản ghi DNS khác ít phổ biến như
SOA record, SRV record, APL record, CAA record, NAPTR record…

PHẦN II. CÁCH THỨC TẤN CÔNG DNS SPOOFING

1. Điểm yếu của hệ thống DNS
* Có ba lỗ hổng bảo mật ᴄhính ᴄần đề phòng đối ᴠới DNS:
- Máу ᴄhủ DNS nội bộ (Internal DNS Serᴠerѕ) giữ tất ᴄả tên máу ᴄhủ ᴠà
địa ᴄhỉ IP ᴄho tên miền ᴄủa ᴄhúng. Nó ѕẽ ᴄhia ѕẻ ᴄhúng ᴠới bất kỳ ai уêu ᴄầu.
Điều nàу làm ᴄho DNS trở thành một nguồn thông tin tuуệt ᴠời ᴄho những kẻ
tấn ᴄông.
- DNS Caᴄheѕ ᴄó thể bị thao túng. Nếu máу ᴄhủ DNS ᴄủa bạn bị “nhiễm
độᴄ” ᴠới ᴄáᴄ bản ghi хấu, máу tính ᴄó thể bị lừa để đi đến những nơi không an
toàn.
- DNS ᴄhuуển tiếp thông tin truу ᴠấn từ ᴄáᴄ máу trạm bên trong ѕang
ᴄáᴄ máу ᴄhủ bên ngoài. Những kẻ tấn ᴄông ᴄó thể ѕử dụng hành ᴠi nàу để tạo
ᴄáᴄ kênh bí mật nhằm lấу dữ liệu.
2. Khái niệm DNS Spoofing
- DNS Spoofing (tên tiếng anh là DNS cache poisoning) là một hình
thức hack bảo mật máy tính trong đó dữ liệu hệ thống tên miền bị hỏng được

6
đưa vào bộ đệm của trình phân giải DNS , khiến máy chủ tên trả về bản ghi kết
quả không chính xác. Điều này dẫn đến lưu lượng truy cập được chuyển hướng
đến máy tính của kẻ tấn công (hoặc bất kỳ máy tính nào khác).

- Khi đó, người dùng truy cập đến địa chỉ mong muốn nhưng sẽ được gửi
đến một địa chỉ IP giả mạo. Địa chỉ IP giả mạo này đã được kẻ tấn công tạo ra
trước đó với mục đích ăn cắp thông tin tài khoản ngân hàng của người dùng.

3. Mực độ nguy hiểm

- Nếu thành công sẽ cực kỳ nguy hiểm
+ Bằng cách đầu độc bản ghi tên miền, kẻ tấn công có thể chuyển người
sử dụng của nhà cung cấp dịch vụ Internet tới một máy chủ độc hại, website giả
mạo mỗi khi họ cố gắng truy cập vào trang web, từ đó thực hiện các hành vi lừa
đảo, ăn cắp mật khẩu, thông tin đăng nhập,…
4. Cách thức tân công DNS Spoofing
- Đối tượng tấn công: DNS Server.
- Kiểu tấn công: Man - In - The - Middle (MITM).

Hình 1. Kiểu tấn công DNS Spoofing

- Theo như hình 1, cơ chế tấn công giả mạo địa chỉ DNS sẽ như sau:

7
 + Giả sử DNS Cache Server (như trên hình) đã có lưu thông tin địa chỉ
của trang example.jp, nhưng Hacker (Malicious User) lại thực hiện thay đổi địa
chỉ này bằng địa chỉ của một trang giả mạo khác (Bogus Website).
+ Khi máy tính nạn nhân (Internal User) tiến hành gửi yêu cầu đến DNS
Cache Server, thì DNS Cache Server sẽ vô tình gửi trả lại (response) thông tin
địa chỉ của example.jp đã bị giả mạo cho nạn nhân.
+ Sau khi nhận được địa chỉ đã giả mạo từ DNS Cache Server, nạn nhân
sẽ vô tình truy cập vào website độc hại (Bogus Website) mà kẻ tấn công đã tạo
ra nhằm lấy cắp thông tin mật.
5. Thử nghiệm tấn công
* Mô hình thử nghiệm tấn công

Hình 2. Mô hình thử nghiệm tấn công DNS Spoofing

- Mục đích tấn công: Khi máy nạn nhân truy câp vào một trang Web sẽ
bị máy tấn công điều hướng sang một trang Web khác cụ thể: Khi máy nạn nhân
truy cập vào trang facebook.com sẽ bị máy tấn công điều hướng sang trang web
của máy tấn công (address: 192.168.2.133).

- Dùng Nmap quét nhanh các host đang hoạt động trong dãy mạng:
8
 Hình 3. Quét các host đang hoạt động

- Thay đổi cấu hình file ettercap.dns:

Hình 4. Cấu hình file ettercap.dns

- Khởi động Web Server:

Hình 5. Khởi động dịch vụ Web

9
- Khởi động Ettercap và Scan host

Hình 6. Khởi động Ettercap và Scan host

- Thêm cái host vào Target:

Hình 7. Thêm các host vào Target

- Khởi động ARP Poisoning

10
 Hình 8. Khởi động ARP poisoning
- Thêm Plugin dns_spoof để tiến hành tấn công DNS Spoofing:

Hình 9. Thêm plugin dns_spoof

- Sang máy nạn nhân truy cập vào trang facebook.com:

11
 Hình 10. Kiểm tra kết quả
=> Kết quả: Trang web facebook.com đã bị chuyến hướng đến trang
web mà máy tấn công chỉ định.

PHẦN III. CÁC GIẢI PHÁP NÂNG CAO AN TOÀN BẢO MẬT
CHO DNS TRONG MẠNG DOANH NGHIỆP
1. Công nghệ bảo mật DNSSEC
- Trước nguy cơ dữ liệu DNS bị giả mạo và bị làm sai lệch trong các
tương tác giữa máy chủ DNS với các máy trạm (resolver) hoặc máy chủ chuyển
tiếp (forwarder), công nghệ bảo mật DNSSEC đã được nghiên cứu, triển khai
áp dụng để hỗ trợ cho DNS bảo vệ chống lại các nguy cơ giả mạo làm sai lệch
nguồn dữ liệu. DNSSEC là công nghệ an toàn mở rộng của DNS, về bản chất
DNSSEC cung cấp các cơ chế có khả năng chứng thực và đảm bảo toàn vẹn dữ
liệu cho hệ thống DNS. Trong đó DNSSEC sẽ cung cấp một cơ chế xác thực
giữa các máy chủ DNS với nhau và xác thực cho từng zone dữ liệu để đảm bảo
toàn vẹn dữ liệu.

- DNSSEC (Domain Name System Security Extensions) là tiêu chuẩn

an toàn mở rộng cho hệ thống DNS để đảm bảo việc xác thực và toàn vẹn của
dữ liệu trong thông tin trả lời truy vấn tên miền của hệ thống DNS.  DNSSEC sử
dụng các bản ghi DNS có chữ ký để đảm bảo sự hợp lệ hóa đáp trả truy vấn.
12
DNSSEC được coi là “tương lai của DNS”.Sử dụng DNSSEC giúp cho việc
truy cập các dịch vụ trên Internet được đảm bảo chính xác, tránh giả mạo vì
chúng có các  tính năng:

 Chứng thực dữ liệu trong quá trình gửi đi. (Sender authentication)

 Toàn vẹn dữ liệu trong quá trình truyền. (Data Integrity)

 Xác thực từ chối tồn tại. (Authenticated denial of existence)

2. Lọc DNS

- Lọc DNS là một loại lọc web. Và lọc web đề cập đến một thuật ngữ
rộng lớn với các khái niệm khác nhau để kiểm soát lưu lượng truy cập web hay
cung cấp sự an toàn. Ngoài lọc DNS, các loại lọc web khác là lọc nội dung, lọc
từ khóa và lọc URL.

- Mọi truy vấn DNS đều đi đến trình phân giải DNS. Nếu một trình phân
giải DNS được định cấu hình đặc biệt, nó có thể hoạt động giống như các bộ lọc
web bằng cách từ chối giải quyết một truy vấn cho một miền xuất hiện trong
danh sách chặn của nó. Bằng cách này, nó có thể hạn chế người dùng truy cập
vào các miền độc hại.

+ Nếu giải pháp lọc DNS chặn danh sách theo miền, nó sẽ không phân
giải địa chỉ IP của các miền.

+ Nếu nó chặn theo địa chỉ IP, nó sẽ cố gắng giải quyết tất cả các loại
miền. Tuy nhiên, nếu tìm thấy địa chỉ IP trên danh sách chặn, nó sẽ không gửi
đến thiết bị truy vấn.

- Bộ lọc DNS sẽ hạn chế phần mềm độc hại, vi rút, tấn công lừa đảo,…
khỏi thiết bị hoặc mạng của bạn để mang lại sự an toàn cho tổ chức.

+ Chặn các trang web lừa đảo.

+ Hạn chế các trang web độc hại.

+ Chặn nội dung bị cấm.

13
 + Tạo danh sách cho phép.

3. Sử dụng DNS Forwarder

- DNS Forwarder (Trình chuyển tiếp) là một máy chủ DNS thực hiện
truy vấn DNS thay cho nhiều máy chủ DNS khác. DNS Forwarder được sử dụng
để gỡ bỏ những tác vụ đang xử lý khỏi những máy chủ DNS đang thực hiện
chuyển tiếp những truy vấn này sang Forwarder, và tăng lưu lượng bộ nhớ đệm
DNS trên DNS Forwarder.

- Một chức năng khác của DNS Forwarder đó là ngăn cản máy chủ DNS
chuyển tiếp yêu cầu trong khi tương tác với những máy chủ DNS trên Internet.
Đây là chức năng đặc biệt quan trọng vì khi đó máy chủ DNS chứa tài nguyên
bên trong miền DNS. Thay vì cho phép những máy chủ DNS nội bộ tự thực hiện
gọi lại lệnh và liên lạc với những máy chủ DNS khác, nó cấu hình cho máy chủ
DNS nội bộ sử dụng một Forwader cho tất cả các miền không được phân quyền.

4. Sử dụng máy chủ DNS lưu trữ

- Máy chủ DNS lưu trữ là một máy chủ DNS không thể phân quyền cho
bất kì miền DNS nào. Nó được cấu hình thực hiện gọi lại lệnh hay sử dụng một
Forwarder. Khi máy chủ này nhận một phản hồi, nó sẽ lưu kết quả và chuyển
câu trả lời đến hệ thống gửi truy vấn DNS tới máy chủ DNS lưu trữ. Sau đó,
máy chủ này có thể tập hợp nhiều phản hồi DNS giúp giảm đáng kể thời gian
phản hồi cho những máy trạm DNS của máy chủ DNS lưu trữ.

- Những máy chủ DNS lưu trữ có thể cải thiện bảo mật cho công ty khi
được sử dụng như một Forwarder trong nhóm công cụ quản trị của bạn. Những
máy chủ DNS nội bộ có thể được cài đặt để sử dụng máy chủ DNS lưu trữ như
trình chuyển đổi của chúng, và máy chủ DNS lưu trữ thực hiện gọi lại lệnh thay
cho những máy chủ DNS nội bộ. Việc sử dụng những máy chủ DNS lưu trữ như
những Forwarder có thể cải thiện bảo mật bởi vì bạn không phải phụ thuộc vào
14
những máy chủ DNS của nhà cung cấp được sử dụng như Forwarder khi bạn
không tin tưởng vào cài đặt bảo mật trên máy chủ DNS của họ.

5. Sử dụng DNS Advertiser

- DNS Advertiser (Trình quảng cáo) là một máy chủ DNS thực hiện
truy vấn cho những miền mà DNS Advertiser được phân quyền. Ví dụ, nếu bạn
lưu trữ tài nguyên cho domain.com và corp.com, máy chủ DNS công cộng sẽ
được cấu hình với vùng file DNS cho miền domain.com và corp.com.

- Sự khác biệt giữa DNS Advertiser với máy chủ DNS chứa vùng file
DNS đó là DNS Advertiser trả lời những truy vấn từ tên miền mà nó phân
quyền. Máy chủ DNS sẽ không gọi lại truy vấn được gửi tới những máy chủ
khác. Điều này ngăn cản người dùng sử dụng máy chủ DNS công để xử lý nhiều
tên miền khác nhau, và làm tăng khả năng bảo mật bằng cách giảm bớt những
nguy cơ khi chạy DNS Resolver công cộng (gây tổn hại bộ nhớ đệm).

6. Sử dụng DNS Resolver

- DNS Resolver (trình xử lý) là một máy chủ DNS có thể gọi lại lệnh để
xử lý tên cho những miền không được máy chủ DNS phân quyền. Ví dụ, bạn có
thể sử dụng một máy chủ DNS được phân quyền trong mạng nội bộ cho miền
mạng nội bộ internalcorp.com. Khi một máy trạm trong mạng sử dụng máy chủ
DNS này để đặt tên quantrimang.com, máy chủ DNS đó sẽ gọi lại lệnh bằng
cách truy lục kết quả trên những máy chủ DNS khác.

- Sự khác biệt giữa máy chủ DNS này và DNS resolver đó là DNS
Resolver được dùng để đặt tên cho máy chủ Internet. Resolver có thể là một
máy chủ DNS lưu trữ không được phân quyền cho bất kì miền DNS nào. Admin
có thể chỉ cho phép người dùng nội bộ sử dụng DNS Resolver, hay chỉ cho phép
người dùng ngoài sử dụng để cung cấp bảo mật khi sử dụng một máy chủ DNS
bên ngoài ngoài tầm kiểm soát của admin, và có thể cho phép cá người dùng nội
bộ và người dùng ngoài truy cập vào DNS Resolver.

15
 7. Bảo vệ bộ nhớ đệm DNS

- “Ô nhiễm” bộ nhớ đệm DNS là một vấn đề phát sinh chung. Hầu hết
máy chủ DNS có thể lưu trữ kết quả truy vấn DNS trước khi chuyển tiếp phản
hồi tới máy chủ gửi truy vấn. Bộ nhớ đệm DNS có thể cải thiện đáng kể khả
năng thực hiện truy vấn DNS. Nếu bộ nhớ đệm máy chủ DNS bị “ô nhiễm” với
nhiều mục nhập DNS ảo, người dùng có thể bị chuyển tiếp tới những website
độc hại thay vì những website dự định truy cập.

- Hầu hết máy chủ DNS có thể được cấu hình chống “ô nhiễm” bộ nhớ
đệm. Ví dụ. máy chủ DNS Windows Server 2003 được cấu hình mặc định
chống “ô nhiễm “ bộ nhớ đệm. Nếu đang sử dụng máy chủ DNS Windows 2000,
bạn có thể cài đặt chống ô nhiễm bằng cách mở hộp thoại Properties trong máy
chủ DNS, chọn tab Advanced, sau đó đánh dấu hộp chọn Prevent Cache
Pollution và khởi động lại máy chủ DNS.

8. Bảo mật kết nối bằng DDNS

- Nhiều máy chủ DNS cho phép cập nhật động. Tính năng cập nhật động
giúp những máy chủ DNS này đăng ký tên máy chủ DNS và địa chỉ IP cho
những máy chủ DHCP chứa địa chỉ IP. DDNS có thể là một công cụ hỗ trợ quản
trị hiệu quả trong khi cấu hình thủ công những mẫu tài nguyên DNS cho những
máy chủ này.

- Tuy nhiên, việc không kiểm tra những bản cập nhật DDNS có thể gây
ra một vấn đề về bảo mật. Người dùng xấu có thể cấu hình máy chủ cập nhật
động những tài nguyên trên máy chủ DNS (như máy chủ dữ liệu, máy chủ web
hay máy chủ cơ sở dữ liệu) và định hướng kết nối tới máy chủ đích sang PC của
họ.

- Bạn có thể giảm nguy cơ gặp phải những bản cập nhập DNS độc hai
bằng cách yêu cầu bảo mật kết nối tới máy chủ DNS để cập nhật động. Điều này
có thể dễ dàng thực hiện bằng cách cài đặt máy chủ DNS sử dụng những vùng

16
tương hợp Active Directory và yêu cầu bảo mật cập nhật động. Tất cả miền
thành viên có thể cập nhật động thông tin DNS một cách bảo mật sau khi thực
hiện cài đặt.

9. Ngừng chạy Zone Transfer

- Zone Transfer (vùng chuyển đổi) nằm giữa máy chủ DNS chính và
máy chủ DNS phụ. Những máy chủ DNS chính được phân quyền cho những
miền cụ thể chứa vùng file DNS có thể ghi và cập nhật khi cần thiết. Máy chủ
DNS phụ nhận một bản sao chỉ đọc của những vùng file này từ máy chủ DNS
chính. Máy chủ DNS phụ được sử dụng để tăng khă năng thực thi truy vấn DNS
trong một tổ chức hay trên Internet.

- Tuy nhiên, Zone Transfer không giới hạn máy chủ DNS phụ. Bất cứ ai
cũng có thể chạy một truy vấn DNS cấu hình máy chủ DNS để cho phép Zone
Transfer kết xuất toàn bộ vùng file cơ sở dữ liệu. Người dùng xấu có thể sử
dụng thông tin này để thăm dò giản đồ tên trong công ty và tấn công dịch vụ cấu
trúc hạ tầng chủ chốt. Bạn có thể ngăn chặn điều này bằng cách cấu hình máy
chủ DNS từ chối Zone Transfer thực hiên yêu cầu, hay cấu hình máy chủ DNS
cho phép Zone Transfer chỉ từ chối yêu cầu của một số máy chủ nhất định.

10. Sử dụng Firewall kiểm soát truy cập DNS

- Firewall có thể được sử dụng để chiếm quyền kiểm soát đối với những
người dùng kết nối máy chủ DNS. Với những máy chủ DNS chỉ sử dụng cho
những truy vấn từ máy trạm nội bộ, admin cần phải cấu hình firewall để chặn
kết nối từ những máy chủ ngoài vào những máy chủ DNS này. Với những máy
chủ DNS được sử dụng như Forwarder lưu trữ, firewall cần được cấu hình chỉ
cho phép nhận những truy vấn DNS từ máy chủ DNS được sử dụng như
Forwarder lưu trữ. Một cài đặt firewall policy rất quan trọng đó là chặn những
người dùng nội bộ sử dụng giao tiếp DNS kết nối vào những máy chủ DNS
ngoài.

17
 11. Cài đặt kiểm soát truy cập vào Registry của DNS

- Trên những máy chủ DNS nền tảng Windows, kiểm soát truy cập cần
được cấu hình trong những cài đặt Registry liên quan tới máy chủ DNS để cho
phép những tài khoản được yêu cầu truy cập đọc và thay đổi cài đặt của
Registry.

- Key DNS trong HKLM\CurrentControlSet\Services cần được cấu

hình chỉ cho phép Admin và tài khoản hệ thống truy cập, ngoài ra những tài
khoản này cần được cấp quyền Full Control.

12. Cài đặt kiểm soát truy cập vào file hệ thống DNS

- Trên những máy chủ DNS nền tảng Windows, bạn nên cấu hình kiểm
soát truy cập trên file hệ thống liên quan tới máy chủ DNS vì vậy chỉ những tài
khoản yêu cầu truy cập vào chúng được cho phép đọc hay thay đổi những file
này.

- Thư mục %system_directory%\DNS và những thư mục con cần được

cài đặt chỉ cho phép tài khoản hệ thống truy cập vào, và tài khoản hệ thống cần
được cấp quyền Full Control.

KẾT LUẬN

18
 Giả mạo DNS là một hình thức tấn công MITM khá nguy hiểm khi được
đi cặp với những dự định ác độc. Sử dụng công nghệ này những kẻ tấn công có
thể tận dụng các kỹ thuật giả mạo để đánh cắp các thông tin quan trọng của
người dùng, hay cài đặt malware trên một ổ đĩa bị khai thác, hoặc gây ra một tấn
công từ chối dịch vụ. Không chỉ vậy, mọi hình thức tấn khác đều cực kỳ nguy
hiểm cho thiết bị cá nhân và doanh nghiệp. Vì giới hạn về thời gian và kiến
thức, bài báo cáo của nhóm em có nhiều thiếu sót, rất mong được sự đánh giá và
góp ý của thầy (cô).

19
 TÀI LIỆU THAM KHẢO
1. DNS Spoofing là gì? Cách phòng chống DNS Spoofing - BKNS.VN
2. Phân tích các kịch bản tấn công hệ thống DNS (securitydaily.net)
3. https://vietnix.vn/dns-la-gi/?fbclid=IwAR2qd1357-
pIm5DhhgqdcscC47tKWe3WeE8vIKtpVxPmLimOEm4TUGIVBJ0
4. https://vietnetco.vn/giai-phap-bao-mat-dns-tang-cuong-an-ninh-he-
thong-doanh-nghiep/6416.html

20