DNS Spoofing là gì? Cách phòng chống DNS Spoofing

Có rất ít dấu hiệu để nhận biết DNS Spoofing. Trong các cuộc tấn công lớn, người dùng sẽ không thể biết rằng mình đang bị lừa nhập các thông tin quan trọng vào một trang web giả mạo cho đến khi ngân hàng gọi cho bạn và hỏi “Tại sao lại rút nhiều tiền đến vậy?”. Trong bài viết sau đây, BKNS sẽ giúp bạn hiểu chính xác DNS Spoofing là gì và cách phòng chống.

DNS Spoofing là gì?

DNS Spoofing (tên tiếng anh là DNS cache poisoning) là một hình thức hack bảo mật máy tính trong đó dữ liệu hệ thống tên miền bị hỏng được đưa vào bộ đệm của trình phân giải DNS , khiến máy chủ tên trả về bản ghi kết quả không chính xác. Điều này dẫn đến lưu lượng truy cập được chuyển hướng đến máy tính của kẻ tấn công (hoặc bất kỳ máy tính nào khác).

Khi đó, người dùng truy cập đến địa chỉ mong muốn nhưng sẽ được gửi đến một địa chỉ IP giả mạo. Địa chỉ IP giả mạo này đã được kẻ tấn công tạo ra trước đó với mục đích ăn cắp thông tin tài khoản ngân hàng của người dùng.

Có rất nhiều cách để thực hiện DNS Spoofing. Trong bài viết này, BKNS sẽ chia sẻ với bạn về kỹ thuật giả mạo DNS ID. Mỗi truy vấn DNS sẽ chứa một nhận dạng duy nhất nếu được gửi qua mạng. Mục đích là để phân biệt giữa các truy vấn với nhau và đáp trả. Một máy tính đang tấn công sẽ chặn một truy vấn DNS bất kỳ được gửi đi từ một thiết bị cụ thể. Kẻ tấn công sẽ tạo một gói giả mạo (chứa nhận dạng của truy vấn DNS) để gói dữ liệu đó được chấp nhận.

Quá trình giả mạo sẽ được hoàn thiện với công cụ đơn giản. Đầu tiên, kẻ tấn công sẽ giả mạo ARP Cache để định tuyến đại lượng của nó thông qua Host đang tấn công. Từ đó, yêu cầu DNS sẽ bị chặn và gói dữ liệu giả mạo sẽ được gửi đi. Mục đích của việc làm này là lừa người dùng truy cập vào website giả mạo (độc) thay vì truy cập website mục tiêu ban đầu.

Cơ chế tấn công của DNS Spoofing diễn ra như thế nào?

Kẻ tấn công lợi dụng một lỗ hổng cơ bản của giao thức DNS truyền thống: tính xác thực thấp. Hệ thống thường chấp nhận câu trả lời đầu tiên mà nó nhận được mà không kiểm tra kỹ nguồn gốc.

Quy trình bị “đầu độc”:

• Chặn bắt: Hacker theo dõi hoặc dự đoán các yêu cầu DNS mà người dùng hoặc máy chủ DNS sắp gửi đi.
• Phản hồi giả tốc độ cao: Ngay khi yêu cầu được gửi, hacker lập tức gửi một phản hồi chứa IP giả mạo về phía nạn nhân. Nếu phản hồi này đến trước phản hồi của máy chủ DNS thật, nó sẽ được chấp nhận.
• Lưu kho độc hại: Máy tính hoặc trình duyệt của bạn sẽ lưu địa chỉ IP giả này vào Bộ nhớ đệm (Cache). Từ đó về sau, mỗi khi bạn vào trang web đó, máy tính sẽ tự động dẫn bạn đến trang của hacker mà không cần hỏi lại máy chủ DNS nữa.

Các phương thức tấn công DNS phổ biến

Tùy vào mục tiêu và vị trí, hacker sẽ sử dụng các kỹ thuật khác nhau:

• Man-in-the-Middle (MITM): Hacker chen vào giữa thiết bị của bạn và bộ định tuyến (Router). Chúng chặn đứng yêu cầu DNS của bạn và tráo đổi kết quả ngay lập tức.
• Compromise DNS Server: Đây là cấp độ nguy hiểm nhất. Hacker tấn công trực tiếp vào hệ thống của nhà cung cấp dịch vụ Internet (ISP). Khi máy chủ DNS cấp cao bị chiếm quyền, hàng triệu người dùng sẽ bị ảnh hưởng cùng lúc.
• Tấn công từ mạng LAN: Thường xảy ra tại các quán cafe, sân bay hoặc WiFi công cộng không bảo mật. Kẻ tấn công giả mạo làm Gateway của mạng để điều hướng mọi yêu cầu DNS của các thiết bị đang kết nối cùng mạng WiFi đó.

Tại sao DNS Spoofing cực kỳ nguy hiểm?

Không giống như các loại mã độc thông thường, DNS Spoofing là “kẻ giết người thầm lặng” vì:

• Đánh cắp dữ liệu nhạy cảm (Data Theft): Mọi thông tin từ mật khẩu, số thẻ tín dụng đến email nội bộ đều bị lộ khi bạn đăng nhập vào các trang giả mạo.
• Phát tán phần mềm độc hại (Malware Distribution): Hacker có thể dẫn bạn đến các trang web tự động thực thi mã độc, biến máy tính của bạn thành nơi chứa virus hoặc mã hóa dữ liệu đòi tiền chuộc (Ransomware).
• Tấn công từ chối dịch vụ (DDoS): Hacker có thể điều hướng hàng triệu yêu cầu DNS về một máy chủ mục tiêu duy nhất, làm tê liệt hệ thống đó.

Không có dấu hiệu cảnh báo: Đây là điểm đáng sợ nhất. Bạn không click vào link rác, bạn không mở file đính kèm lạ, bạn tự tay gõ đúng địa chỉ web nhưng vẫn bị lừa.

Phòng chống DNS Spoofing bằng cách nào?

Phòng chống DNS Spoofing tương đối khó bởi việc giả mạo này xuất hiện rất ít dấu hiệu tấn công. Vậy có cách nào phòng chống DNS Spoofing không? Mặc dù rất khó nhưng không phải không có cách phòng chống DNS Spoofing. Bạn có thể tham khảo một số cách sau:

2.1 Bảo vệ máy tính từ bên trong

Thông thường, các cuộc tấn công DNS thường được thực hiện từ bên trong mạng của bạn. Vì vậy, để phòng chống DNS Spoofing thì bạn cần đảm bảo các thiết bị mạng của mình luôn an toàn. Như vậy, nguy cơ bị DNS Spoofing sẽ giảm đáng kể, giảm khả năng các Host bị thỏa hiệp và được dùng để khởi chạy tấn công DNS Spoofing.

2.2 Không dựa vào DNS cho các hệ thống an toàn, bảo mật 

Đối với các hệ thống an toàn, có độ nhạy cảm cao và đòi hỏi tính bảo mật thì không nên duyệt internet trên nó. Đây là một cách hiệu quả để không phải dùng đến DNS. Nếu bạn có Hostname để thực hiện một số công việc thì bạn nên điều chỉnh những gì cần thiết trong file cấu hình thiết bị.

2.3 Dùng hệ thống phát hiện xâm nhập – IDS

IDS là một hệ thống có khả năng phát hiện xâm nhập. Khi nó được đặt và triển khai đúng sẽ có thể vạch mặt hình thức giả mạo DNS và ARP Cache.

2.5 Thay thế DNS bằng DNSSEC

DNSSEC là một giải pháp mới dùng để thay thế cho DNS. DNSSEC sử dụng các bản ghi DNS có chữ ký để đảm bảo sự hợp lệ hóa đáp trả truy vấn. DNSSEC được coi là “tương lai của DNS”.

Câu hỏi thường gặp (FAQ)

DNS Spoofing có giống Phishing không?

Không hoàn toàn. Phishing là tấn công tâm lý (lừa bạn click vào link lạ), còn DNS Spoofing là tấn công kỹ thuật hạ tầng (ép trình duyệt đi sai hướng dù bạn gõ đúng địa chỉ).

Làm sao tôi biết mình đang bị DNS Spoofing?

Dấu hiệu phổ biến nhất là chứng chỉ SSL bị lỗi (trình duyệt cảnh báo đỏ), tốc độ tải trang bất thường, hoặc giao diện web có những thay đổi nhỏ, lỗi thời.

Phần mềm diệt virus có chặn được DNS Spoofing không?

Hầu hết phần mềm diệt virus truyền thống không chặn được Spoofing ở cấp độ mạng. Tuy nhiên, các bộ phần mềm bảo mật Internet (Internet Security) hiện đại có tích hợp tính năng bảo vệ DNS chuyên dụng.

Như vậy, DNS Spoofing là một hình thức tấn công nguy hiểm. Những kẻ tấn công sẽ tận dụng những kỹ thuật giả mạo để truy cập và đánh cắp thông tin quan trọng của người dùng. Những kẻ mạo danh này cũng có thể cài đặt Malware trên ổ đĩa bị khai thác hoặc tạo nên một cuộc tấn công từ chối dịch vụ.

Thông qua bài chia sẻ của BKNS bạn cũng biết thêm được cách phòng chống DNS Spoofing. Thường xuyên truy cập website bkns.vn để cập nhật thêm nhiều bài viết hữu ích khác nhé!

>> Có thể bạn quan tâm: 

• DNS Suffix là gì? Hướng dẫn cài đặt DNS Suffix
• DNS Sinkhole là gì? Cách sử dụng kỹ thuật DNS Sinkhole