uit.edu.vn bằng trình duyệt web, cái tên truy cập đó sẽ được phân giải thành địa chỉ IP, nếu tên miền và địa chỉ IP này được lưu cache lại trong bộ nhớ đẹm thì máy tính người dùng không
Trang 1Report LAB 4
Mỗi khi người dùng truy cập tài nguyên mạng bằng tên miền hoặc host name (tên máy) ) ví dụ như truy cập vào trang web https://ww uit.edu.vn bằng trình duyệt web, cái tên truy cập đó sẽ được phân giải thành địa chỉ IP, nếu tên miền và địa chỉ IP này được lưu cache lại trong bộ nhớ đẹm thì máy tính người dùng không cần thiết phải liên hệ với máy DNS server liên tục để phân giải tên mà nó sẽ sử dụng dữ liệu được lưu này để trả ra kết quả cho người dùng Nếu tên miền này chưa có trong cache trong bộ nhớ đệm, client sẽ liên hệ với DNS server đã được cấu hình ở phần khai báo địa chỉ IP của nó, nếu server này ở trạng thái sẵn sàng và nó không thể xác định được địa chỉ, client
sẽ không hỏi thêm một server nào khác
Truy vấn đệ quy (recursive query):
Khi một DNS client truy vấn một DNS server, nó thực hiện
một truy vấn đệ quy (recursive query) Trong khi có các
yêu cầu từ các host, DNS server có thể trả lời các yêu cầu
dữ liệu này hoặc trả lời tên miền không tồn tại DNS server cũng có thể thực hiện các truy vấn đệ quy đến các máy chủ DNS khác nếu nó được cấu hình chuyển tiếp yêu cầu đến DNS server khác khi nó không có câu trả lời
hi DNS server nhận được yêu cầu, trước tiên nó sẽ kiểm tra có cache của mình xem có dữ liệu của yêu câu này hay không Sau đó nó kiểm tra để xem nó có thẩm quyền hay không đối với yêu cầu domain Nếu có biết câu trả lời và
đủ thẩm quyền, nó sẽ hồi đáp với câu trả lời
Truy vấn lặp đi lặp lại (iterative query):
Nếu DNS server không biết câu trả lời và nó không được cấu hình chuyển tiếp yêu cầu đến một DNS server khác thì
Trang 2lúc này nó sẽ đóng vai trò là client DNS server và thay
client thực hiện truy vấn, client DNS server sẽ sử dụng cơ chế phân cấp của DNS để tìm câu trả lời chính xác Thay vì thực hiện truy vấn đệ quy, client DNS server sẽ thực hiện
truy vấn lặp đi lặp lại (iterative query), với truy vấn này
sẽ trả lại câu trả lời tốt nhất hiện nay nếu client DNS
server không biết câu trả lời tốt nhất Ví dụ như, khi user
gõ www.uit.edu.vn vào trình duyệt, client DNS server
không có câu trả lời, client DNS server sẽ liên hệ với một root DNS server (.) để biết được địa chỉ của máy chủ tên
miền vn Sau khi nhận kết quả từ root DNS server (.),
Client DNS server sau đó tiếp tục liên hệ với máy chủ tên
miền edu.vn để lấy thông tin máy chủ tên
của uit.edu.vn Sau khi có thông tin từ uit.edu.vn,
Client DNS server tiếp tục liên hệ với máy chủ tên miền
của uit.edu.vn để lấy địa chỉ IP của www.uit.edu.vn Và
sau cùng sau khi có được thông tin
của www.uit.edu.vn, Client DNS server trả lời cho client
với địa chỉ IP đã phân giải Ngoài ra, nó cũng thêm địa chỉ này vào cache của nó phục vụ cho các truy vấn sau này
Trong một vài trường hợp, client DNS server không biết câu trả lời và nó không thể tìm thấy câu trả lời, client DNS server trả lời cho client rằng nó không thể tìm thấy hoặc là truy vấn domain không tồn tại
Mô Hình: Trên VMware cài 3 máy ảo:
1 máy Ubuntu server: 192.168.0.10/24
1 máy Ubuntu user : 192.168.0.100/24
1 máy Kali Attack : 192.168.0.3/24
Trang 3Khi không sử dụng netwox 105:
Địa chỉ IP trả về tại máy user sẽ là địa chỉ IP của
ww.example.com do đã được cài đặt và lưu trong database của server
Khi sử dụng netwox 105
Ở đây ta sử dụng Netwox với các parameters truyền vào lần lượt
“www.example.com” - Sniff các gói DNS Response với tên miền là www.example.com sau đó gửi lại DNS Reply với IP của DNS Server là 192.168.0.10 và địa chỉ IP của
www.example.com là 192.168.0.3
Ở video demo em có thêm trường Filter để lọc các gói tin
có Source 192.168.0.100, mặt khác vì các máy ảo cùng nằm trên một mạng nên gói tin DNS reply của DNS Server
sẽ gửi về nhanh hơn so với máy Attacker
Trên thực tế em đã khảo sát cho phân giải tên miền >30 lần nhưng vẫn không thành công Do đó trên máy DNS Server em đã thực hiện Update && Upgarde để làm chậm tốc độ của Server
Trên máy Client thực hiện lệnh ping liên tục Đến lần thứ
23 thì thành công
- Vì cách thức tấn công trên chỉ sử dụng được trong
mạng nội bộ nên cần phải kiểm soát mạng nội bộ một cách chặt chẽ, không để cho “attacker” có thể tấn công từ bên trong
Trang 4- Sử dụng DNSSEC là một công cụ để ngăn chặn vào bảo
vệ DNSserver
Task 2 :
Tình huống :
Sử dụng 3 máy ảo Ubuntu, một máy attacker, một máy client và một máy server
Ban đầu khi sử dụng Dig example.org trên máy User sẽ ra địa chỉ IP thật của nó
Trên máy attacker tiến hành sử dụng Netwox để spoof gói tin DNS query của DNS server ( để trường filter là ‘src host 192.168.0.7’ là IP của server )
Sau đó sử dụng lệnh dig lại trên máy user thì IP đã chuyển
về 1.2.3.4
Vào máy attacker tắt netwox quay lại máy user tiến hành dig lại vẫn được IP là 1.2.3.4 do lúc này địa chỉ này đã lưu trong cache
5 Nếu không thực hiện thiếp lập spoofig với giá trị raw thì gói tin netwox phải gửi gói ARP trước để giả mạo địa chỉ MAC của source và destination do đó sẽ mất thời gian hơn, làm việc gửi gói tin response chậm trễ hơn Còn khi sử dụng với giá trị raw thì sẽ không có giá trị MAC do đó sẽ khiến thời gian spoof nhanh hơn tăng tỉ lệ thành công
6 Video Demo Task2.6
Tấn công Kaminsky
Tình huống : Sử dụng 3 máy User, Client và Sever
Tương tư như câu 6
Trang 5Thực hiện viết chương trình Python trên máy Attacker để tạo DNS Query lên DNS Server, Server sẽ đi hỏi sau đó trên máy Attacker sẽ Sniff lại gói tin Query do Sever gửi đi
và Spoof lại
Ở đây sử dụng trong ngữ cảnh Attacker không thể vào được máy user mà phải gửi DNS Query trước, sau đó
Cache Poison vào DNS Server từ đó máy User sau đó sẽ được trả về địa chỉ IP đã được giả mạo do user đã lưu
trong cache