Giải pháp DNSSec - Giảm thiểu nguy cơ DDOS

Jonny Nguyen

W-------
17/01/2015
14
4 bài viết
Giải pháp DNSSec - Giảm thiểu nguy cơ DDOS

Giới thiệu

2.png

DNS (Domain Name System) là dịch vụ hệ thống tên miền cho phép sự thiết lập giữa địa chỉ IP và tên miền.Hệ thống đặt tên theo thứ tự cho các máy tính hoặc các thiết bị có kết nối internet khác với mục đích chính là chuyển tên miền có ý nghĩa từ cái địa chỉ IP trên mạng internet giúp định vị được hệ thống mạng máy tính toàn cầu. Nó được xem như là một danh bạ máy tính giúp giải thích những con số khô khan thành những địa chỉ URL thân thuộc và dễ nhớ hơn.

1.jpg

Tuy nhiên thiết kế của DNS chưa bao gồm khả năng bảo mật, nó chỉ được thiết kế để có khả năng mở rộng phân phối lớn nhất. Vậy vấn đề ở đây là gì? nếu bạn cần truy cập tới một trang web abcabc.xyz chẳng hạn, bạn sẽ đạt được mục đích ấy chỉ sau nửa giây nhưng nếu đường truyền mạng của bạn được bên thứ 3 khai thác thì mọi chuyện sẽ xấu hơn nhiều !.

Nguy cơ xảy ra DOS/DDOS

2.jpg

Khi người dùng sử dụng mạng máy tính ví dụ như muốn truy cập vào một trang chủ có tên là abcd.com.vn (IP.192.168.1.xx) chẳng hạn, nhưng khi đó kẻ tấn công đã sẵn sàng cho việc sử dụng kỹ thuật máy tính của mình cung cấp sai lệnh về thông tin DNS khiến người dùng vô tình bị đẩy thông tin tới địa chỉ IP : 255.255.2.YYY rồi sau đó kẻ tấn công mới thực hiện kết nối tới server đích là 192.168.1.XXX. Khi đó mọi thông tin người dùng rất có thể bị đánh cắp và vô tình biến máy tính của bạn thành một thành phần cho một botnet sẵn sàng cho một cuộc tấn công DDOS mà bạn không hề biết đến nó.

Biện pháp - DNSSec

3.jpg

DNSSec là mô hình công nghệ an toàn mở rộng của hệ thống DNS. Trong đó DNSSec sẽ cung cấp một cơ chế xác thực giữa các máy chủ DNS với nhau và xác thực cho từng Zone dữ liệu để đảm bảo dữ liệu được toàn vẹn và không đi qua bên thứ 3.
Trong khi với giao thức DNS thông thường không có công cụ để xác thực mã nguồn dữ liệu khiến cho việc giả mạo DNS là khá dễ dàng từ đó tạo ra các Botnet lớn, gây nguy cơ DOS/DDOS cao dẫn đến những hậu quả rất lớn, việc ra đời của DNSSec là kịp thời và cần thiết.

DNSSec được tạo ta với việc thêm 4 bản ghi sau:

4.png
  • DNSKEY : đươc sử dụng để chứng thực các Zone trên hệ thống. Trên mỗi Zone dữ liệu thì việc thêm các DNSKEY là cần thiết ,người quản trị sẽ tiến hành thêm các cặp khóa công cộng/riêng tư (các cặp khóa công cộng được dùng cho các zone chính và các cặp khóa riêng được dùng cho các bản chi cần được xác thực trong zone).

5.png
  • RRSIG :sử dụng để chứng thực cho các bản ghi tài nguyên trong Zone dư liệu. Sau khi được chứng thực từ bên ngoài bằng DNSKEY thì các bản ghi tài nguyên trong zone cần có một bản ghi RRSIG ký xác thực. Một tài nguyên/dữ liệu thường là tập hợp từ nhiều bản ghi RRSIG, tập các bản ghi tai nguyên NS trong zone cần phải được xác thực,khi bản ghi NS là bản chuyển giao từ máy chủ tên miền cho xuống máy chủ tên miền con thì cần kết hợp bản ghi RRSIG với bản ghi xác thực DS.
  • NSEC : Sử dụng cho các quá trình xác thực đối với các bản ghi có cùng sở hữu tập các bản ghi tài nguyên hoặc bản ghi CNAME, nó kết hợp với bản ghi RRSIG để xác thực Zone dữ liệu. Mỗi tên miền sở hữu đều được gán đĩa chỉ và phải xác thực nếu muốn truy xuất nó.
  • DS : thiết lập chứng thực giữa các Zone dữ liệu với nhau,sử dụng việc ký xác thực trong quá trình chuyển giao DNS.

Kết luận về DNSSec

DNSSec giúp chúng ta có những trao đổi thông tin trên mạng an toàn hơn, giảm thiểu nguy cơ trước các cuộc tấn công DOS/DDOS do bị giả mạo DNS.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thực sự đọc xong không hiểu lắm. Bạn có thể mô tả vai trò của các bản ghi mới và nguyên lý hỏi đáp DNSSec hay không
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Giờ thì có thể chơi với anh Google để chống ddos rồi. Anh ý vừa cho ra mắt Project Shield, giúp [FONT=Helvetica, Arial, sans-serif]chống ddos bằng cách chuyển toàn bộ traffic của trang web đó sang máy chủ Google. Tham khảo thêm ở đây: [/FONT]
https://projectshield.withgoogle.com/public/
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
DDos;n55211 đã viết:
Giờ thì có thể chơi với anh Google để chống ddos rồi. Anh ý vừa cho ra mắt Project Shield, giúp [FONT=Helvetica, Arial, sans-serif]chống ddos bằng cách chuyển toàn bộ traffic của trang web đó sang máy chủ Google. Tham khảo thêm ở đây: [/FONT]
https://projectshield.withgoogle.com/public/
Rất hay và mới ^_^, mình sẽ tham khảo xem nó có những gì hay
P/s: Hay bạn có thể post 1 bài mới về những tính năng và cách dùng của Project shield này cho mọi người đọc được ko :)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
kaitoukid;n55340 đã viết:
Rất hay và mới ^_^, mình sẽ tham khảo xem nó có những gì hay
P/s: Hay bạn có thể post 1 bài mới về những tính năng và cách dùng của Project shield này cho mọi người đọc được ko :)[/Hide]
Về mặt tính năng thì cũng không có gì đặc biệt lắm. Bạn thừa biết rằng, máy chủ của Google thực sự rất khó bị tấn công từ chối dịch vụ, bởi tầm cỡ máy chủ của nó quá lớn. Trừ khi cả cả đất nước Trung Quốc truy cập một lúc may ra chết. Còn cách dùng thì qua [Hide] tham khảo mình có thể khái quát như sau:
Bạn sẽ phải dùng DNS do Google cung cấp để từ đó chuyển toàn bộ traffic truy cập sang đó, từ đây Google mới có thể xử lý và xác định xem đâu là những truy cập bất thường và lọc nó ra. Ở đây, Google cũng có thu thập một số dữ liệu của người truy cập trang web nhưng cho biết việc làm này chỉ nhằm mục đích xác định những truy cập đáng ngờ và chỉ giữ trong vòng 2 tuần cũng như không dùng vào mục đích quảng cáo.
Còn về cách dùng, bạn chỉ cần điền vào mẫu đăng ký mà Google đã cung cấp ở đường link https://projectshield.withgoogle.com/public/ . Về giá cả thì Google không tiết lộ, chắc là phụ thuộc vào traffic của từng site. :)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Theo mình hiểu thì cách thức truy cập trước khi dùng dịch vụ Project Shiled (PS) của Google là User--->Site. Sau khi dùng dịch vụ PS thì: User--->Site----redirect--->PS--lọc-->Site, có phải vậy không nhỉ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình có thử đăng kí 1 với 1 domain
Thì nhận lại được mail với nội dung như thế này
Untitled.jpg

Cũng ko rõ là Google nó làm gì bên trong luôn và cũng ko thấy nhắc đến phí. Chắc đang là bản thử nghiệm nên nó còn cho thêm 1 phần đóng góp ý kiến về kinh nghiệm tấn công DDoS
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
kaitoukid;n55398 đã viết:
Mình có thử đăng kí 1 với 1 domain
Thì nhận lại được mail với nội dung như thế này

Cũng ko rõ là Google nó làm gì bên trong luôn và cũng ko thấy nhắc đến phí. Chắc đang là bản thử nghiệm nên nó còn cho thêm 1 phần đóng góp ý kiến về kinh nghiệm tấn công DDoS[/Hide]


Hiện nay Google đã cho đăng ký Project Shield, họ sẽ xét duyệt những trang web được sử dụng dịch vụ này và sẽ gửi thông báo nếu được chọn kèm theo hướng dẫn cấu hình web-server, bản ghi DNS để sử dụng dịch vụ.

Hiện tại Google sẽ ưu tiên cho những trang web tin tức nhỏ, những trang về thông tin bầu cử, nhân quyền.

Và đặc biệt là FREE. $-)​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
chống ddos ddos ddos attack dnssec
Bên trên