- Tham gia
- 14/9/07
- Bài viết
- 456
- Được thích
- 3,731
Theo trung tâm ứng cứu máy tính khẩn cấp Việt Nam:
Khắc phục lỗi DNS cần khẩn trương như chống lụt bão!
Lỗ hổng "siêu nguy hiểm" cho phép hacker kiểm soát mạng Web
Tổng quan
Nhiều hệ thống DNS đang hoạt động chấp nhận xử lý đồng thời nhiều yêu cầu truy vấn (query) của một tên miền duy nhất, đặc điểm này cho phép tin tặc dễ dàng tấn công vào các DNS server có chức năng hỏi hộ (recursive) và lưu giữ kết quả (caching) với mục đích làm thay đổi ánh xạ tên miền và hướng người dùng đến một địa chỉ IP bất hợp lệ tuỳ ý.
Đối tượng tin tặc nhắm đến là các DNS server có các đặc điểm sau đây:
- Phục vụ nhiều người dùng.
- Có chức năng hỏi hộ (recursive) và lưu giữ kết quả (caching).
- Có điểm yếu: chấp nhận xử lý đồng thời nhiều yêu cầu truy vấn (query) của một tên miền duy nhất.
- Sử dụng 1 port nguồn (UDP hay TCP) cố định và duy nhất cho tất cả các request.
- (Tuỳ chọn) không kiểm tra chặt chẽ tính chính xác và logic của phần thông tin thêm (addition records) trong các DNS reply trả về.
Ghi chú: khảo sát sơ bộ cho thấy hầu hết các DNS server đang hoạt động tại Việt Nam đang có các đặc điểm này!
Kịch bản tấn công:
- Tin tặc gửi đồng loạt Q request về một tên miền bất kỳ (trong hình trên là www.abc.vn) cho DNS server có điểm yếu (trong hình trên là máy chủ DNS RA).
- Ngay sau đó sẽ đồng loạt gửi R reply giả mạo trả lời từ máy chủ AA về máy chủ RA với các giá trị định danh QID thăm dò là ngẫu nhiên.
- Nếu QID trong một reply giả mạo được chấp nhận (khả năng các nhà toán học tính toán được là rất cao, xin xem thêm phần tính toán thống kê bên dưới) RA sẽ cập nhật vào cache và từ đó về sau sẽ trả lời tên miền www.abc.vn có địa chỉ là 169.15.X.X là địa chỉ mà tin tặc muốn người dùng hướng vào (địa chỉ đúng là 203.162.X.X).
II. Tác hại
Hacker có thể lợi dụng yếu điểm này để triển khai tấn công quy mô lớn và toàn diện vào các hệ thống DNS gây tác hại trực tiếp đến người dùng internet, phát tán mã độc, lừa đảo. Thông qua việc hướng số lượng lớn người dùng vào một website để phát động tấn công DDOS quy mô lớn vào các hệ thống thông tin bất kỳ.
III. Giải pháp
Dành cho người dùng Internet
Tạm thời nên sử dụng các DNS server đã khắc phục lỗi. Tạm thời người dùng có thể sử dụng máy chủ OpenDNS có địa chỉ 208.67.222.222, 208.67.220.220. Xem hướng dẫn chi tiết tại đây
Cập nhật đầy đủ các bản vá của hệ điều hành, phần mềm diệt virus và tăng cường phòng bị trong thời gian tới.
III.1. Dành cho các ISP, hosting provider, cá nhân-tổ chức sở hữu và quản lý máy chủ DNS
Theo dõi và cập nhật ngay lập tức các bản vá dịch vụ DNS đang sử dụng trên các DNS server.
Kiểm tra, rà soát và khắc phục khẩn trương các đặc điểm của DNS server mà tin tặc đang lợi dụng để tấn công (không random port, phục vụ nhiều request đồng thời, không kiểm tra phần addition records, …). Có thể áp dụng chức năng hỗ trợ random port của firewall nếu phần mềm DNS đang sử dụng không hỗ trợ (tham khảo http://cipherdyne.org/blog/2008/07/mitigating-dns- cache-poisoning-attacks-with-iptables.html).
Tăng cường theo dõi, thống kê và có kế hoạch phản ứng thích hợp khi phát hiện dấu hiệu tấn công (tăng vọt số lượng DNS request đồng thời của một tên miền hay người dùng thông báo các hiện tượng lạ).
Xem xét giảm thời gian lưu giữ tạm thời (TTL) các bản ghi trên cache máy chủ DNS (nếu có thể)
Khắc phục lỗi DNS cần khẩn trương như chống lụt bão!
Lỗ hổng "siêu nguy hiểm" cho phép hacker kiểm soát mạng Web
Tổng quan
Nhiều hệ thống DNS đang hoạt động chấp nhận xử lý đồng thời nhiều yêu cầu truy vấn (query) của một tên miền duy nhất, đặc điểm này cho phép tin tặc dễ dàng tấn công vào các DNS server có chức năng hỏi hộ (recursive) và lưu giữ kết quả (caching) với mục đích làm thay đổi ánh xạ tên miền và hướng người dùng đến một địa chỉ IP bất hợp lệ tuỳ ý.
Đối tượng tin tặc nhắm đến là các DNS server có các đặc điểm sau đây:
- Phục vụ nhiều người dùng.
- Có chức năng hỏi hộ (recursive) và lưu giữ kết quả (caching).
- Có điểm yếu: chấp nhận xử lý đồng thời nhiều yêu cầu truy vấn (query) của một tên miền duy nhất.
- Sử dụng 1 port nguồn (UDP hay TCP) cố định và duy nhất cho tất cả các request.
- (Tuỳ chọn) không kiểm tra chặt chẽ tính chính xác và logic của phần thông tin thêm (addition records) trong các DNS reply trả về.
Ghi chú: khảo sát sơ bộ cho thấy hầu hết các DNS server đang hoạt động tại Việt Nam đang có các đặc điểm này!
Kịch bản tấn công:
- Tin tặc gửi đồng loạt Q request về một tên miền bất kỳ (trong hình trên là www.abc.vn) cho DNS server có điểm yếu (trong hình trên là máy chủ DNS RA).
- Ngay sau đó sẽ đồng loạt gửi R reply giả mạo trả lời từ máy chủ AA về máy chủ RA với các giá trị định danh QID thăm dò là ngẫu nhiên.
- Nếu QID trong một reply giả mạo được chấp nhận (khả năng các nhà toán học tính toán được là rất cao, xin xem thêm phần tính toán thống kê bên dưới) RA sẽ cập nhật vào cache và từ đó về sau sẽ trả lời tên miền www.abc.vn có địa chỉ là 169.15.X.X là địa chỉ mà tin tặc muốn người dùng hướng vào (địa chỉ đúng là 203.162.X.X).
II. Tác hại
Hacker có thể lợi dụng yếu điểm này để triển khai tấn công quy mô lớn và toàn diện vào các hệ thống DNS gây tác hại trực tiếp đến người dùng internet, phát tán mã độc, lừa đảo. Thông qua việc hướng số lượng lớn người dùng vào một website để phát động tấn công DDOS quy mô lớn vào các hệ thống thông tin bất kỳ.
III. Giải pháp
Dành cho người dùng Internet
Tạm thời nên sử dụng các DNS server đã khắc phục lỗi. Tạm thời người dùng có thể sử dụng máy chủ OpenDNS có địa chỉ 208.67.222.222, 208.67.220.220. Xem hướng dẫn chi tiết tại đây
Cập nhật đầy đủ các bản vá của hệ điều hành, phần mềm diệt virus và tăng cường phòng bị trong thời gian tới.
III.1. Dành cho các ISP, hosting provider, cá nhân-tổ chức sở hữu và quản lý máy chủ DNS
Theo dõi và cập nhật ngay lập tức các bản vá dịch vụ DNS đang sử dụng trên các DNS server.
Kiểm tra, rà soát và khắc phục khẩn trương các đặc điểm của DNS server mà tin tặc đang lợi dụng để tấn công (không random port, phục vụ nhiều request đồng thời, không kiểm tra phần addition records, …). Có thể áp dụng chức năng hỗ trợ random port của firewall nếu phần mềm DNS đang sử dụng không hỗ trợ (tham khảo http://cipherdyne.org/blog/2008/07/mitigating-dns- cache-poisoning-attacks-with-iptables.html).
Tăng cường theo dõi, thống kê và có kế hoạch phản ứng thích hợp khi phát hiện dấu hiệu tấn công (tăng vọt số lượng DNS request đồng thời của một tên miền hay người dùng thông báo các hiện tượng lạ).
Xem xét giảm thời gian lưu giữ tạm thời (TTL) các bản ghi trên cache máy chủ DNS (nếu có thể)
