Hệ thống tên miền (DNS) là một trong những thành phần thiết giúp trang Web hiện diện trên Internet. Các ứng dụng web và dịch vụ đám mây phụ thuộc vào nó để đạt được hiệu suất cao và tính hợp lệ khi trực tuyến. Một lỗ hổng trong DNS (Hijacking DNS) có thể dẫn đến việc mất dữ liệu nhạy cảm, khai thác người dùng web và bị kẻ tấn công chiếm quyền điều khiển trang web.
Việc không giám sát các miền của bạn để tìm các hoạt động độc hại là cơ sở để tin tặc thực hiện một loạt các cuộc tấn công vào DNS của bạn. Trong bài viết này, chúng ta sẽ thảo luận chi tiết về việc xâm nhập DNS và cách bạn có thể ngăn chặn nó.
DNS Hijacking là gì?
Hệ thống tên miền (DNS) là một thư mục tên miền được khớp với địa chỉ IP tương ứng của chúng. Nó giống như một danh bạ điện thoại, nơi bạn lưu trữ số và tên của ai đó và chỉ cần nhập tên để truy xuất số của họ.
Các trình duyệt web và thiết bị tương tác với internet thông qua địa chỉ Internet Protocol (IP) với các số như 305.0.2.11. Tên miền như exmaple.com được tạo ra cho các trang web. Nhầm tránh để người dùng nhớ các địa chỉ IP phức tạp, DNS sẽ đồng bộ hóa tên miền với địa chỉ IP phù hợp để cho phép người dùng truy cập các tài nguyên trực tuyến thông qua tên miền trong khi trình duyệt vẫn có thể tiếp tục sử dụng địa chỉ IP thân thiện với trang web.
DNS hijacking, còn được gọi là chuyển hướng DNS (DNS redirection), là một hoạt động mà tội phạm mạng làm hỏng khả năng phân giải của máy chủ tên miền và chuyển hướng lưu lượng truy cập đến các hệ thống tên miền độc hại. Nó phổ biến trong trường hợp không có các phương pháp bảo mật phù hợp để bảo vệ ứng dụng web của bạn.
Tại sao những kẻ tấn công lại chiếm đoạt DNS?
Kẻ tấn công sử dụng chiếm quyền điều khiển DNS để thực hiện những gì chúng ta gọi là Pharming. Tại đây, hacker hiển thị những quảng cáo không cần thiết chỉ để tạo doanh thu trên lượt xem và lượt nhấp. Họ cũng sử dụng nó để chuyển hướng khách truy cập đến phiên bản sao chép của trang web hiện tại và lấy cắp dữ liệu của bạn.
Điều thú vị là tội phạm mạng không phải là những kẻ duy nhất DNS hijacking. Một số Nhà cung cấp dịch vụ Internet (ISP) sử dụng kỹ thuật này để điều chỉnh các yêu cầu DNS của người dùng để thu thập dữ liệu của họ cho mục đích kinh doanh.
Một số đại lý cũng thực hiện một loại DNS hijacking để kiểm duyệt một số nội dung hoặc chuyển hướng khách truy cập đến một trang web thay thế. Vấn đề này đang gây tranh cãi vì nó khiến người dùng phải đối mặt với các cuộc tấn công XSS trên nhiều trang web.
Tấn công DNS Hijacking hoạt động như thế nào?
Để thực hiện một cuộc tấn công DNS, kẻ tấn công sẽ phải chiếm quyền điều khiển bộ định tuyến (Router, Modem, Firewall…), xâm nhập vào giao tiếp DNS hoặc cài đặt phần mềm độc hại vào hệ thống máy tính của người dùng.
Mặc dù bạn có thể không phải là người quản lý DNS của mình, nhưng công ty bên thứ ba thực hiện việc đó cho bạn có thể bị tấn công mà bạn không biết. Nếu điều này xảy ra, kẻ tấn công có thể chiếm đoạt tất cả lưu lượng truy cập web của bạn.
Ví dụ: giả sử bạn đăng ký trang web của mình với một công ty đăng ký tên miền như example.com. Công ty đăng ký cho phép bạn chọn một tên miền có sẵn. Tên miền được bán cho bạn sẽ được đăng ký bằng địa chỉ IP.
Địa chỉ IP duy nhất của bạn được lưu giữ trong bản ghi DNS A. Bản ghi A trỏ tên miền của bạn đến địa chỉ IP của bạn. Máy chủ định danh của công ty đăng ký tên miền của bạn có thể bị tin tặc tấn công bất cứ lúc nào, đặc biệt nếu tính bảo mật của công ty đó không quá cao. Nếu máy chủ định danh bị xâm phạm, những kẻ tấn công có khả năng thay đổi địa chỉ IP duy nhất của bạn thành địa chỉ IP khác. Khi tên miền của bạn được tìm nạp từ bản ghi DNS, nó sẽ trỏ đến máy chủ của chính kẻ tấn công thay vì của bạn.
Ngoài ra, khi ai đó nhập tên miền của bạn vào trình duyệt của họ, nó sẽ đưa họ đến trang web của kẻ tấn công. Khi khách truy cập của bạn truy cập vào trang web của kẻ tấn công, họ sẽ thấy một bản sao của trang web của bạn. Nhưng họ không biết, nó nằm dưới sự kiểm soát của tin tặc, những kẻ có thể đánh cắp thông tin đăng nhập và truy cập vào tài khoản của họ.
Các loại tấn công DNS Hijacking
Người dùng Internet, ứng dụng web và phần mềm đều phụ thuộc vào DNS để hoạt động trực tuyến. Những kẻ tấn công biết điều này. Vì vậy, họ tìm kiếm các lỗ hổng bảo mật trong DNS để tiến hành các cuộc tấn công.
Tội phạm mạng sử dụng các kỹ thuật khác nhau để truy cập trái phép vào DNS. Các hình thức tấn công phổ biến bao gồm:
1. Hijacking DNS cục bộ
Để thực hiện xâm nhập DNS cục bộ, kẻ tấn công cài đặt phần mềm độc hại trên máy tính của người dùng và thay đổi cài đặt DNS cục bộ. Việc làm này sẽ dẫn người dùng đến một trang web giả mạo mà họ không hề hay biết.
2. Hijacking DNS Router
Bộ định tuyến DNS là một thiết bị phần cứng được các nhà cung cấp dịch vụ tên miền sử dụng để khớp tên miền của mọi người với địa chỉ IP tương ứng của họ. Một số bộ định tuyến phải chống trả với các lỗ hổng firmware và có mật khẩu mặc định yếu. Những sai sót này khiến bộ định tuyến dễ bị tấn công mạng, nơi tin tặc có thể chiếm đoạt bộ định tuyến và cấu hình lại cài đặt DNS.
Kẻ tấn công tiến hành chuyển hướng khách truy cập đến một trang web độc hại và chặn không cho truy cập trang web chính sau khi chúng chắc chắn đã thành công trong việc ghi đè bộ định tuyến DNS của trang web.
3. Hijacking DNS man-in-the-Middle
Trong một cuộc tấn công man-in-the-middle, tội phạm mạng tự chèn chúng vào kênh giao tiếp giữa người dùng và máy chủ DNS để nghe trộm hoặc thay đổi thông tin.
Kẻ tấn công sửa đổi cài đặt DNS, nhập địa chỉ IP của chúng và chuyển hướng người dùng đến trang web chứa đầy phần mềm độc hại của họ.
4. Tấn công máy chủ DNS
Những kẻ tấn công sẽ tấn công các máy chủ DNS và thay đổi cấu hình của các trang web được nhắm mục tiêu để địa chỉ IP của chúng sẽ được trỏ đến các trang web độc hại. Khi người dùng gửi yêu cầu đến trang web mục tiêu, họ sẽ được chuyển hướng đến một trang web lừa đảo, nơi họ dễ bị tấn công.
Cách ngăn chặn DNS Hijacking
Khi bạn làm việc để tăng lưu lượng truy cập vào trang web của mình, bạn phải ưu tiên bảo mật DNS để đảm bảo rằng mọi lưu lượng truy cập đều có giá trị.
Dưới đây là một số cách để bảo mật máy chủ web của bạn khỏi bị tấn công DNS.
1. Kiểm tra cài đặt DNS của Router
Các bộ định tuyến rất dễ bị tấn công và những kẻ tấn công sẽ lợi dụng điểm yếu này để khai thác nạn nhân. Để tránh nguy hiểm, bạn cần xác minh và kiểm tra cài đặt DNS của bộ định tuyến. Bạn cũng nên cập nhật mật khẩu của nó thường xuyên.
2. Triển khai Registry Lock trong tài khoản miền của bạn
Một cách khác để ngăn chặn việc chiếm quyền điều khiển DNS là sử dụng khóa sổ đăng ký (Registry Lock) để chống lại các mối đe dọa mạng.
Registry Lock là một dịch vụ do cơ quan đăng ký tên miền cung cấp để bảo vệ các tên miền khỏi các cập nhật, chuyển và xóa trái phép. Nếu nhà cung cấp dịch vụ lưu trữ của bạn không cung cấp dịch vụ này, bạn cần phải tìm một nơi cung cấp dịch vụ đó.
Đảm bảo rằng bạn bật xác thực hai yếu tố trên tài khoản tên miền của mình như một lớp bảo mật bổ sung. Hãy thắt chặt bảo mật hơn nữa bằng cách khởi chạy tiện ích mở rộng bảo mật hệ thống tên miền (DNSSE) trong bảng điều khiển của trang web. Nó tăng cường xác thực DNS trong khi ngăn chặn chuyển hướng DNS, tấn công man-in-the-middle và nhiễm độc bộ nhớ cache.
3. Cài đặt chương trình bảo vệ chống phần mềm độc hại
Những kẻ xâm nhập DNS cũng nhắm mục tiêu thông tin đăng nhập của người dùng. Đảm bảo rằng bạn cài đặt phần mềm chống vi-rút trên máy tính của mình để phát hiện bất kỳ nỗ lực độc hại nào của tội phạm mạng nhằm đánh cắp thông tin đăng nhập của bạn. Chỉ sử dụng các mạng riêng ảo được bảo mật để giảm nguy cơ dữ liệu của bạn bị lộ.
Để bảo mật thông tin đăng nhập của bạn hơn nữa, hãy tạo mật khẩu mạnh và thay đổi chúng thường xuyên.