Đề tài Dịch vụ DNS và dịch vụ DHCP
Đây là kiểu tấn công từ chối dịch vụ DHCP dễ dàng nhất mà kẻ tấn công có thể thực hiện. Kẻ tấn công chỉ cần rất ít thời gian và băng thông là có thể thực hiện được cuộc tấn công này.
- Khi DHCP server là một máy chủ bất hợp pháp:
Khi kẻ tấn công phá vỡ được các hàng rào bảo vệ mạng và đoạt được quyền kiểm soát DHCP Server, nó có thể tạo ra những thay đổi trong cấu hình của DHCP Server theo ý muốn. Kẻ tấn công có thể tấn công hệ thống mạng theo các cách sau:
+ Tấn công theo kiểu DNS redirect: Kẻ tấn công đổi các thiết lập DNS để chuyển hướng yêu cầu phân dải tên miền của Client tới các DNS giả mạo, kết quả là Client có thể bị dẫn dụ tới các website giả mạo được xây dựng nhằm mục đích đánh cắp thông tin tài khoản của người dùng hoặc website có chứa các mã độc, virus, trojan. sẽ được tải về máy Client.
Bạn đang xem nội dung tài liệu Đề tài Dịch vụ DNS và dịch vụ DHCP, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
BỘ CÔNG THƯƠNG
TRƯỜNG CAO ĐẲNG KINH TẾ ĐỐI NGOẠI
KHOA QUẢN TRỊ KINH DOANH
٭٭٭٭٭٭٭٭٭٭٭٭٭٭
֎֎֎֎֎֎֎֎֎֎֎֎֎
MÔN MẠNG MÁY TÍNH
LỚP TIN HỌC 18
NHÓM 4
ĐỀ TÀI: DỊCH VỤ DNS & DỊCH VỤ DHCP
GIẢNG VIÊN: HOÀNG THANH HÒA
Tên miền
Mỗi thiết bị khi kết nối vào mạng Internet sẽ được gán cho một địa chỉ IP riêng biệt không trùng lẫn với bất kỳ thiết bị nào khác trên thế giới. Tương tự vậy với website cũng có các địa chỉ IP riêng biệt.
Tuy nhiên để nhớ được những con số trong địa chỉ IP của một website là một việc khó khăn. Vì thế người ta đã chuyển đổi những con số ấy thành chuỗi ký tự mang ý nghĩa, dễ nhớ cho người sử dụng. Chuỗi ký tự ấy được gọi là tên miền (domain).
Dịch vụ DNS
Giới thiệu
- DNS (Domain Name System), là hệ thống phân giải tên được phát minh vào năm 1984 cho Internet, nó cho phép thiết lập tương ứng giữa địa chỉ IP và tên miền. DNS là một hệ thống đặt tên theo thứ tự cho máy vi tính, dịch vụ, hoặc bất kỳ nguồn lực tham gia vào Internet.
-Nó liên kết nhiều thông tin đa dạng với tên miền được gán cho người tham gia.
-Quan trọng nhất, nó chuyển tên miền có ý nghĩa cho con người vào số định danh (nhị phân), liên kết với các trang thiết bị mạng cho các mục đích định vị và địa chỉ hóa các thiết bị khắp thế giới.
-DNS khi triển khai sẽ sử dụng hai thành phần là máy chủ DNS (DNS server) và máy trạm DNS (DNS client).
-DNS server là một cơ sở dữ liệu chứa các thông tin về cấu trúc hệ thống DNS và phân giải các truy vấn xuất phát từ client.
+Root name server: các máy chủ gốc đại diện cấp cao nhất của hệ thống phân cấp DNS có chứa cơ sở sở dữ liệu đầy đủ của tên miền và địa chỉ IP tương ứng của chúng.
+Local name server: Các máy chủ địa phương đại diện cho các máy chủ DNS mức thấp nhất được sở hữu và duy trì bởi nhiều tổ chức kinh doanh và các nhà cung cấp dịch vụ Internet (ISP). Các máy chủ địa phương có thể phân giải tên miền thường được sử dụng vào các địa chỉ IP tương ứng bộ nhớ đệm thông tin gần đây. Bộ nhớ cache này được cập nhật và làm mới một cách thường xuyên.
Chức năng
Chức năng của một DNS server là dịch tên miền thành địa chỉ IP để cho trình duyệt hiểu và truy cập được vào website.
Vì vậy khi nhập tên một website, trình duyệt sẽ đến thẳng website mà không cần thông qua việc nhập địa chỉ IP của trang web.
Cấu trúc và phân loại
a.Cấu trúc
Hệ thống tên miền được sắp xếp theo cấu trúc phân cấp.
Gốc (Domain root): Nó là đỉnh nhánh cây của tên miền. Có thể biểu diễn đơn giản chỉ bằng dấu “.”.
Dưới tên miền gốc có hai loại tên miền là: tên miền cấp cao dùng chung gTLDs (generic Top Level Domains) và tên miền cấp cao quốc gia ccTLDs (Country code Top Level Domains).
Tên miền cấp một (Top-level-domain): Gồm vài ký tự xác định một nước khu vực hoặc tổ chức.
Tên miền cấp hai (Second-level-domain): Nó rất đa dạng, có thể là tên một tổ chức, một công ty hay một cá nhân.
Tên miền cấp nhỏ hơn (Subdomain): Chia thêm ra của tên miền cấp hai trở xuống, thường được sử dụng như chi nhánh, phòng ban của một cơ quan hay chủ đề nào đó.
b.Phân loại
.com: tên miền sử dụng cho các tổ chức thương mại.
.edu: tên miền sử dụng cho các tổ chức giáo dục.
.gov: tên miền sử dụng cho các tổ chức chính phủ.
.org:tên miền sử dụng cho các tổ chức phi lợi nhuận.
.net: tên miền sử dụng cho các tổ chức mạng lớn.
.mil: tên miền sử dụng cho các tổ chức quân đội.
.info: tên miền sử dụng cho các tổ chức thông tin.
.int: tên miền sử dụng cho các tổ chức quốc tế.
“.”
ROOt
ccTLDs
gTLDs
.com
Tổ chức thương mại
.UK
Anh
.gov
Tổ chưc chính phủ
.JP
Nhật bản
.edu
Tổ chúc giáo dục
.vn
Việt Nam
Các quốc gia khác
.edu.vn
.net.vn
.com.vn
Nguyên tắc hoạt động
Giả sử người dùng muốn tới trang www.google.com
Khi người dùng gõ địa chỉ trên thanh địa chỉ của trình duyệt, máy tính sẽ gửi yêu cầu đến Local name server để phân giải tên miền thành địa chỉ IP tương ứng của nó.
Local name server sẽ kiểm tra trong cơ sở dữ liệu của nó có chứa cơ sở dữ liệu chuyển đổi từ tên miền sang địa chỉ IP của tên miền mà người sử dụng yêu cầu không. Trong trường hợp Local name server có cơ sở dữ liệu này, nó sẽ gửi trả lại địa chỉ IP của máy có tên miền nói trên.
Trong trường hợp Local name server không có cơ sở dữ liệu về tên miền này nó sẽ hỏi lên các máy chủ tên miền ở mức cao nhất ( máy chủ tên miền làm việc ở mức ROOT). Root name server này sẽ chỉ cho Local name server địa chỉ của máy chủ tên miền quản lý các tên miền có đuôi .com.
Local name server gửi yêu cầu đến máy chủ quản lý tên miền có đuôi (.com) tìm tên miền www.google.com. Máy chủ tên miền quản lý các tên miền .com sẽ gửi lại địa chỉ của máy chủ quản lý tên miền .goole.com.
Local name server sẽ hỏi máy chủ quản lý tên miền goole.com này địa chỉ IP của tên miền www.google.com. Do máy chủ quản lý tên miền goole.com có cơ sở dữ liệu về tên miền www.google.com nên địa chỉ IP của tên miền này sẽ được gửi trả lại cho Local name server.
Local name server sẽ chuyển thông tin tìm được đến máy của người dùng. Máy tính của người dùng sử dụng địa chỉ IP này để kết nối tới server chứa trang web có địa chỉ www.google.com .
III. Dịch vụ DHCP
Giới thiệu
DHCP (Dynamic Host Configuration Protocol) là giao thức cấu hình động máy chủ cho phép cấp phát địa chỉ IP một cách tự động cùng với các cấu hình liên quan khác như subnet mark và gateway mặc định.
Subnet mark: là sự phân chia logic địa chỉ TCP/IP.
Gateway: cho phép nối ghép hai loại giao thức với nhau. Ví dụ: mạng của bạn sử dụng giao thức IP và mạng của ai đó sử dụng giao thức IPX” Là giao thức thuộc lớp mạng (network layer) trong mô hình mạng 7 lớp OSI. IPX là giao thức chính được sử dụng trong hệ điều hành mạng Netware của hãng Novell. Nó tương tự như giao thức IP (Internet Protocol) trong TCP/IP. IPX chứa địa chỉ mạng (netword Address) và cho phép các gói thông tin được chuyển qua các mạng hoặc phân mạng (subnet) khác nhau. IPX không bảo đảm việc chuyển giao một thông điệp hoặc gói thông tin hoàn chỉnh, cũng như IP, các gói tin được "đóng gói" theo giao thức IPX có thể bị "đánh rơi" (dropped) bởi các Router ("thiết bị dẫn đường" trong mạng - xin xem các bài sau) khi mạng bị nghẽn mạch. Do vậy, 'các ứng dụng có nhu cầu truyền tin "bảo đảm" (giống như "gửi hư bảo đảm" ) thì phải sử dụng giao thức SPX thay vì IPX.”Novell, DECnet, SNA hoặc một giao thức nào đó thì Gateway sẽ chuyển đổi từ loại giao thức này sang loại khác.
Nếu không có DHCP, các máy có thể cấu hình IP thủ công (cấu hình IP tĩnh). Ngoài việc cung cấp địa chỉ IP, DHCP còn cung cấp thông tin cấu hình khác, cụ thể như DNS. Hiện nay DHCP có 2 version: cho IPv4 và IPv6.
Chức năng
DHCP tự động quản lý các địa chỉ IP và loại bỏ được các lỗi có thể làm mất liên lạc.
Tự động gán lại các địa chỉ chưa được sử dụng.
Giúp máy chủ DHCP có thể đánh địa chỉ IP cho nhiều mạng con.
Giúp tránh trường hợp hai máy tính khác nhau lại có cùng địa chỉ IP.
Máy tính được cấu hình một cách tự động vì thế sẽ giảm việc can thiệp vào hệ thống mạng.
Cung cấp một CSDL trung tâm để theo dõi tất cả các máy tính trong hệ thống mạng.
Nguyên tắc hoạt động
Dịch vụ DHCP hoạt động theo mô hình Client / Server. Theo đó quá trình tương tác giữa DHCP client và server sẽ diễn ra theo các bước sau:
Khi máy Client khởi động, máy sẽ gửi broadcast gói tin DHCP DISCOVER, yêu cầu một Server phục vụ mình. Gói tin này cũng chứa địa chỉ MAC của client.
Nếu client không liên lạc được với DHCP Server thì sau 4 lần truy vấn không thành công nó sẽ tự động phát sinh ra 1 địa chỉ IP riêng cho chính mình nằm trong dãy 169.254.0.0 đến 169.254.255.255 dùng để liên lạc tạm thời. Và client vẫn duy trì việc phát tín hiệu Broad cast sau mỗi 5 phút để xin cấp IP từ DHCP Server.
Các máy Server trên mạng khi nhận được yêu cầu đó. Nếu còn khả năng cung cấp địa chỉ IP, đều gửi lại cho máy Client một gói tin DHCP OFFER, đề nghị cho thuê một địa chỉ IP trong một khoảng thời gian nhất định, kèm theo là một Subnet Mask và địa chỉ của Server. Server sẽ không cấp phát đia chỉ IP vừa đề nghị cho client thuê trông “khác mới đúng chứ”suốt thời gian thương thuyết.
Máy Client sẽ lựa chọn một trong những lời đền nghị ( DHCPOFFER) và gửi broadcast lại gói tin DHCPREQUEST và chấp nhận lời đề nghị đó. Điều này cho phép các lời đề nghị không được chấp nhận sẽ được các Server rút lại và dùng để cấp phát cho các Client khác.
Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin DHCP ACK như một lời xác nhận, cho biết địa chỉ IP đó, Subnet Mask đó và thời hạn cho sử dụng đó sẽ chính thức được áp dụng. Ngoài ra server còn gửi kèm những thông tin bổ xung như địa chỉ Gateway mặc định, địa chỉ DNS Server
Bảo mật
Tuy có nhiều ưu điểm, nhưng giao thức DHCP hoạt động lại khá đơn giản, suốt quá trình trao đổi thông điệp giữa DHCP Server và DHCP Client không có sự xác thực hay kiểm soát truy cập. DHCP Server không thể biết được rằng nó đang liên lạc với một DHCP Client bất hợp pháp hay không, ngược lại DHCP Client cũng không thể biết DHCP Server đang liên lạc có hợp pháp không. Như vậy sẽ có hai tình huống xảy ra:
Khi DHCP”Client có nên them zô không” là một máy trạm bất hợp pháp:
Khi kẻ tấn công thỏa hiệp thành công với một DHCP Client hợp pháp trong hệ thống mạng, sau đó thực hiện việc cài đặt, thực thi một chương trình. Chương trình này liên tục gửi tới DHCP Server các gói tin yêu cầu xin cấp địa chỉ IP với các địa chỉ MAC nguồn không có thực, cho tới khi dải IP có sẵn trên DHCP Server cạn kiệt vì bị nó thuê hết. Điều này dẫn tới việc DHCP Server không còn địa chỉ IP nào để cho các DHCP Client hợp pháp thuê, khiến dịch vụ bị ngưng trệ, các máy trạm khác không thể truy nhập vào hệ thống mạng để truyền thông với các máy tính trong mạng.
Trường hợp tấn công này chỉ làm cho các máy tính đăng nhập vào hệ thống mạng (sau khi bị tấn công) không thể sử dụng dịch vụ DHCP, dẫn đến không vào được hệ thống mạng. Còn các máy trạm khác đã đăng nhập trước đó vẫn hoạt động bình thường.
Đây là kiểu tấn công từ chối dịch vụ DHCP dễ dàng nhất mà kẻ tấn công có thể thực hiện. Kẻ tấn công chỉ cần rất ít thời gian và băng thông là có thể thực hiện được cuộc tấn công này.
Khi DHCP server là một máy chủ bất hợp pháp:
Khi kẻ tấn công phá vỡ được các hàng rào bảo vệ mạng và đoạt được quyền kiểm soát DHCP Server, nó có thể tạo ra những thay đổi trong cấu hình của DHCP Server theo ý muốn. Kẻ tấn công có thể tấn công hệ thống mạng theo các cách sau:
+ Tấn công theo kiểu DNS redirect: Kẻ tấn công đổi các thiết lập DNS để chuyển hướng yêu cầu phân dải tên miền của Client tới các DNS giả mạo, kết quả là Client có thể bị dẫn dụ tới các website giả mạo được xây dựng nhằm mục đích đánh cắp thông tin tài khoản của người dùng hoặc website có chứa các mã độc, virus, trojan... sẽ được tải về máy Client.
+ Tấn công theo kiểu Man-in-the-middle: Kẻ tấn công thay đổi Gateway mặc định trỏ về máy của chúng, để toàn bộ thông tin mà Client gửi ra ngoài hệ thống mạng sẽ được chuyển tới máy này thay vì tới Gateway mặc định thực sự. Sau khi xem được nội dung thông tin, gói tin sẽ được chuyển tiếp đến Gateway thực sự của mạng và Client vẫn truyền bình thường với các máy ngoài mạng mà người dùng không hề biết họ đã để lộ thông tin cho kẻ tấn công. Với cách tấn công này, kẻ tấn công chỉ có thể xem trộm nội dung thông tin của gói tin gửi ra ngoài mạng mà không thể xem nội dung thông tin của gói tin gửi cho Client từ bên ngoài mạng.
*Các phương pháp bảo vệ sự tấn công DHCP
Với tấn công từ chối dịch vụ bằng cách sử dụng một DHCP Client bất hợp pháp, ta có thể khắc phục bằng cách sử dụng các switch có tính năng bảo mật cao, giúp hạn chế số lượng địa chỉ MAC có thể sử dụng trên một cổng. Mục đích là để ngăn chặn việc có quá nhiều địa chỉ MAC sử dụng trên một cổng đó trong một khoảng thời gian giới hạn, nếu vượt qua giới hạn này cổng sẽ bị đóng lại ngay lập tức. Thời gian cổng hoạt động trở lại tùy thuộc vào giá trị mặc định do người quản trị mạng thiết lập.
Với cuộc tấn công theo kiểu Man- in- the-Middle sử dụng DHCP Server giả mạo, ta có thể khắc phục bằng cách sử dụng các switch có tính năng bảo mật DHCP snooping. Tính năng này chỉ cho kết nối đến DHCP trên một hoặc một số cổng tin cậy nhất định. Chỉ có những cổng này mới cho phép gói tin DHCP Response hoạt động. Cổng này được người quản trị mạng kết nối đến DHCP Server thật trong hệ thống với mục đích ngăn chặn không cho DHCP Server giả mạo hoạt động trên những cổng còn lại.
Ngoài ra, chúng ta có thể sử dụng các phương pháp bảo mật cơ bản cho DHCP Server gồm: Bảo mật về mặt vật lý cho các DHCP Server; Sử dụng hệ thống file NTFS “NTFS là hệ thống tập tin tiêu chuẩn của Windows NT, bao gồm cả các phiên bản sau này của Windows như Windows 2000, Windows XP“để lưu trữ dữ liệu hệ thống; Triển khai sử dụng các giải pháp Anti - virus mạnh cho hệ thống; Thường xuyên cập nhật các bản vá lỗi “bản vá phần mềm dùng để sửa các lỗ hổng trong chương trình phần mềm. “cho các phần mềm và Windows; Các dịch vụ hay các phần mềm không sử dụng thì nên gỡ bỏ; Thực hiện việc Quản lý DHCP với người dùng có quyền hạn tối thiểu nhất; DHCP Server phải được đặt phía sau Firewall(tường lửa); Đóng tất cả các cổng không sử dụng đến; Sử dụng việc lọc địa chỉ MAC; Giám sát hoạt động của DHCP bằng cách xem các file log và xem thông tin thống kê của hệ thống trên DHCP Server.
Các file đính kèm theo tài liệu này:
- dns_va_dhcp_1_3701.docx