Tất cả tài liệu: https://drive.google.com/drive/folders/1nBWniC3Q5ulu5cJZO2HIEufUtcEUC6k1?usp=sharing
Trang 1Học viện Công nghệ Bưu chính Viễn thông
Khoa Công Nghệ Thông Tin
AN TOÀN PHẦN MỀM
Tống Đình Hoàn
Vũ Hồng Dương
Ngô Thành Công Nguyễn Thị Hà Trang Nguyễn Thùy Dương
GIẢNG VIÊN HƯỚNG DẪN
NHÓM 4
TS Hoàng Xuân Dậu
Trang 2Tìm hiểu về hệ thống DNS Các dạng tấn công và phòng chống
Nội dung
DEMO
Các dạng Cơ chế
Trang 3Hiểu một cách ngắn gọn nhất, DNS cơ bản là một hệ thống chuyển đổi các tên miền website mà chúng ta đang sử dụng, ở dạng www.tenmien.com sang một địa chỉ IP tương ứng với tên miền đó và ngược lại
3
DNS - viết tắt của cụm từ Domain Name System là hệ
thống phân giải tên miền
I DNS là gì ?
Trang 4I Cơ chế hoạt động của
DNS
Trang 5II Các dạng tấn công vào DNS
DNS Spoofing DNS Hijacking NXDOMAIN Attacks
Trang 6II Các dạng tấn công vào
DNS
DNS Spoofing
Là một cuộc tấn công trong đó các bản ghi DNS đã thay đổi được sử dụng để chuyển hướng lưu lượng truy cập trực tuyến đến một trang web lừa đảo giống với đích dự kiến của nó
DNS cache poisoning
Khi đó, người dùng truy cập đến địa chỉ mong muốn nhưng sẽ được gửi đến một địa chỉ IP giả mạo, hacker sẽ đánh cắp thông tin và làm một số việc tiền ẩn rủi ro khác
Trang 7II Các dạng tấn công vào
DNS
DNS Hijacking
Chúng sẽ dụ người dùng cài 1 phần mềm độc
hại nào đó vào máy tính, thông thường là
Malware, và malware này sẽ có nhiệm vụ
chính là thay đổi DNS của hệ thống máy tính
Mỗi khi người dùng nhập địa chỉ của bất kỳ
website nào đó, hệ thống sẽ tự động kết nối
tới server DNS giả mạo của hacker
Trang 8II Các dạng tấn công vào
DNS
NXDOMAIN ATTACK
Là một biến thể DDoS khi máy chủ DNS tràn ngập các truy vấn đến các tên miền không tồn tại, làm ngập bộ nhớ cache của máy chủ tên có thẩm quyền và dừng hoàn toàn các yêu cầu DNS hợp pháp
Trang 9III CÁC CƠ CHẾ BẢO MẬT TRÊN
DNS
DNSSEC DKIM
Trang 10III DNSSEC
NSEC và NSEC3 - Để từ chối rõ ràng sự tồn tại của bản ghi DNS
DNSSEC tăng cường xác thực trong DNS bằng cách sử dụng chữ ký số dựa trên mã hóa khóa công khai
DNSKEY - Chứa khóa ký công khai
DS - Chứa hàm băm của bản ghi DNSKEY RRSIG - Chứa chữ ký mật mã
Tính năng bảo vệ toàn vẹn dữ liệu Xác thực nguồn gốc dữ liệu
Bổ sung hai tính năng quan trọng cho giao thức DNS
Bằng cách bổ sung thêm các bản ghi mới:
Trang 11III DNSSEC
Triển khai DNSSEC example.com
Private key Public key
Rrsig(zsk)
DS (Hash value)
Key Signed Key
A A
RRset Hash value
Rrsig(rrset)
Zone Signed Key
DNSKEY
DNSKEY
Trang 12facebook.com Rrsig(zsk)
DS (Hash value)
Key Signed Key
RRset Hash value
Rrsig(rrset)
Zone Signed Key
DNSKEY
DNSKEY
RRsig
.com
Trang 13III DNSSEC
RRsig
.com
RRsig
root
Hash value
DS
Triển khai DNSSEC
Trang 14III DNSSEC
Truy vấn tên miền
facebook.com Rrsig(zsk)
Key DNSKEY
DNSKEY
RRsig
.com
DNSKEY DS Hash value
RRsig
root
Hash value
DS
Trang 15III DKIM
DKIM (DomainKeys Identified Mail) là một tiêu chuẩn bảo mật email được thiết kế để đảm bảo các thư không bị thay đổi khi chuyển tiếp giữa máy chủ gửi và máy chủ nhận Bằng cách sử dụng mật mã khóa công khai để ký email bằng khóa riêng khi rời khỏi máy chủ gửi
Trang 16DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed;
s=20130519032151pm; d=postmarkapp.com;
h=From:Date:Subject:MIME-Version:Content-Type:Content-Transfer-Encoding:To:Message-ID;
i=support@postmarkapp.com;
bh=vYFvy46eesUDGJ45hyBTH30JfN4=;
b=iHeFQ+7rCiSQs3DPjR2eUSZSv4i/Kp+sipURfVH7BGf+SxcwOkX 7X8R1RVObMQsFcbIxnrq7Ba2QCf0YZlL9iqJf32V+baDI8IykuDztu oNUF2Kk0pawZkbSPNHYRtLxV2CTOtc+x4eIeSeYptaiu7g7Gupek LZ2DE1ODHhuP4I=
DKIM-Signature: Tiêu đề đã đăng ký cho
tin nhắn đã ký DKIM
v: Phiên bản DKIM
a=Thuật toán được sử dụng để tạo băm cho
khóa riêng tư
c=relaxed/relaxed; Đặt tư thế chuẩn hóa cho miền gửi
s=Được sử dụng làm bộ chọn cho khóa DKIM công khai để xác minh
d= Miền email đã ký thông báo
bh= Giá trị của băm nội dung được tạo trước khi tiêu đề thư được ký
i=Danh tính của người ký và thường được cung cấp dưới dạng địa chỉ email
h=Các tiêu đề đi kèm với thư khi nó được ký bằng mật mã
III DKIM
Trang 17III DKIM
Khóa công khai giải mã băm được mã hóa được gửi Sau đó, máy chủ thư nhận sẽ tính toán hàm băm của riêng nó Nếu hai kết quả trùng khớp, thông báo sẽ được thông qua
Hệ thống thư bắt đầu xác minh DKIM bằng cách đảm bảo số phiên bản đáp ứng đặc điểm kỹ thuật DKIM, danh tính miền của người gửi khớp với miền được đặt trong chữ ký và thẻ “h
=” chứa trường tiêu đề Từ
Khi chữ ký đã được xác thực, máy chủ người nhận sẽ cố gắng truy xuất khóa công khai cho miền gửi Máy chủ sử dụng thẻ “d
=“ để tra cứu các bản ghi DNS cho miền gửi và thẻ “s =” để chọn khóa DKIM chính xác
Xác thực
Trang 18IV DEM
O
Trang 19V Kết Thúc
19
Chúng em xin cảm
ơn Thầy và Các bạn đã
lắng nghe