DNS Sinkhole là gì? Phát hiện botnet sử dụng kỹ thuật DNS Sinkhole ra sao? Cách hoạt động của kỹ thuật DNS Sinkhole ra sao? Bài viết sau đây BKNS giải đáp giúp bạn các câu hỏi trên nhé!

1. DNS Sinkhole là gì?

DNS Sinkhole là gì?
DNS Sinkhole là gì?

DNS Sinkholing (Hay còn gọi là sinkhole server, Internet sinkhole, or Blackhole DNS) là một DNS server, là một cơ chế nhằm bảo vệ người dùng bằng cách chặn yêu cầu DNS cố gắng kết nối với các tên miền độc hại hoặc không mong muốn đã biết và trả về một địa chỉ IP sai hoặc được kiểm soát. Địa chỉ IP được kiểm soát trỏ đến một máy chủ lỗ hổng được xác định bởi quản trị viên lỗ hổng DNS.

Kỹ thuật này có thể được sử dụng để ngăn chặn các máy chủ kết nối hoặc liên lạc với các điểm đến độc hại đã biết như máy chủ C & C botnet (liên kết đến Infonote). Máy chủ của Holehole có thể được sử dụng để thu thập nhật ký sự kiện, nhưng trong những trường hợp như vậy, quản trị viên của Holehole phải đảm bảo rằng tất cả việc ghi nhật ký được thực hiện trong phạm vi pháp lý của họ và không vi phạm quyền riêng tư.

DNS Sinkholing có thể được thực hiện ở các cấp độ khác nhau
DNS Sinkholing có thể được thực hiện ở các cấp độ khác nhau

DNS Sinkholing có thể được thực hiện ở các cấp độ khác nhau. Cả ISP và Nhà đăng ký tên miền đều biết sử dụng DNS Sinkholing để giúp bảo vệ khách hàng của họ bằng cách chuyển hướng yêu cầu sang tên miền độc hại hoặc không mong muốn vào địa chỉ IP được kiểm soát.

Quản trị viên hệ thống cũng có thể thiết lập máy chủ lỗ hổng DNS nội bộ trong cơ sở hạ tầng tổ chức của họ. Người dùng (có quyền quản trị) cũng có thể sửa đổi tệp máy chủ trên máy của họ và nhận được kết quả tương tự. Có rất nhiều danh sách (cả nguồn mở và thương mại) của các tên miền độc hại đã biết mà quản trị viên của lỗ hổng có thể sử dụng để điền vào DNS Sinkholing.

Bên cạnh việc ngăn chặn các kết nối độc hại, có thể sử dụng Sinkholing để xác định các máy chủ bị xâm nhập bằng cách phân tích nhật ký Sinkholing và xác định các máy chủ đang cố gắng kết nối với các tên miền độc hại đã biết.

Ví dụ: nếu nhật ký cho thấy một máy cụ thể liên tục cố gắng kết nối với máy chủ C & C, nhưng yêu cầu đang được chuyển hướng vì Sinkholing, thì rất có khả năng máy này bị nhiễm bot.

Do những hậu quả trực tiếp của nó, Sinkholing thường được thực hiện trong các điều kiện đặc biệt bởi các bên thứ ba đáng tin cậy với sự tham gia của cơ quan thực thi pháp luật.

2. Phát hiện botnet sử dụng kỹ thuật DNS Sinkhole

1 mạng botnet gồm những thành phần sau đây:

  • Những máy chủ C&C do những bot master điều khiển
  • Những máy bị nhiễm bot (gọi tắt là bot), và các máy chủ điều khiển gọi tắt là C&C server. 

Thông qua những giao thức như HTTP, IRC thì các bot thường liên hệ với những C&C server. Nhưng thực tế những bot ngày này dùng giao thức HTTP phổ biến nhất.

Cho dù các bot dùng giao thức nào thì để hoạt động trên môi trường Internet đều phải có địa chỉ IP public hay tên miền để phân giải đến 1 địa chỉ IP nhất định.

Trong trường hợp những C&C server dùng những địa chỉ IP thì việc phát hiện sẽ rất dễ dàng. Vì việc này mà những C&C server đã dùng tên miền (hay còn gọi là DNS) thay vì dùng địa chỉ IP. Bên cạnh đó mà việc dùng DNS còn mang đến một số lợi ích  cho những bot master sau đây:

  • Trong trường hợp DNS bị thu hồi hay bị phát hiện thì những bot master có thể mua tên miền khác thay thế
  • Chỉnh sửa địa chỉ IP của C&C đơn giản nhanh chóng
  • Tiết kiệm địa chỉ IP

3. Cách hoạt động của kỹ thuật DNS Sinkhole

Cách hoạt động của kỹ thuật DNS Sinkhole
Cách hoạt động của kỹ thuật DNS Sinkhole

Để liên lạc với các C&C server :

  • B1: Các bot gửi yêu cầu phân giải tên miền (t7g5.com) cho  máy chủ DNS server
  • B2: DNS server trả về địa chỉ IP của máy chủ C&C server
  • B3: Các bot kết nối tới C&C server thành công.
  • B4: Các C&C truyền lệnh cho các bot.

Và khi áp dụng kỹ thuật DNS Sinkhole thì ở các bước:

  • B2: DNS server sẽ trả về địa chỉ IP của máy chủ Sinkhole, thay vì trả về địa chỉ IP của máy chủ C&C server
  • B3: Các bot liên kết với máy chủ Sinkhole thay vì kết nối tới C&C server. Ở đây, người dùng sẽ phát hiện ra những máy đang kết nối tới máy Sinkhole-  đây chính là những máy bị nhiễm bot, từ đây người dùng có thể thu thập và cảnh báo mẫu mã độc.

Một chút đánh giá về kỹ thuật này:

  • Những tên miền độc hại trong máy chủ DNS server cần cập nhật chính xác và nhanh chóng
  • Xây dựng với những C&C server cũng như cách xây dựng máy chủ Sinkhole đều đơn giản

4. Mô hình bóc gỡ Botnet/mã độc 

Mô hình bóc gỡ Botnet/mã độc  của Hàn Quốc
Mô hình bóc gỡ Botnet/mã độc  của Hàn Quốc

Trong mô hình trên khi một máy tính người dùng bị lây nhiễm mã độc nó sẽ thực hiện:

>> Khi chưa áp dụng kỹ thuật DNS Sinkhole

  • Máy tính sẽ bị nhiễm liên kết với máy chủ điều khiển
  • Máy chủ DNS trả về địa chỉ IP của máy chủ điều khiển phù hợp
  • Máy tính bị nhiễm những mã độc hại tìm kiếm máy chủ điều khiển để nhận lệnh cập nhật biến thể mã độc hay tấn công qua truy vấn DNS

>> Sau khi sử dụng kỹ thuật DNS Sinkhole

  • Máy tính bị nhiễm sẽ kết nối với máy chủ Sinkhole, sau đó nhận được thông báo về việc máy tính bị nhiễm những mã độc hại. Sau đó có thể được cung cấp công cụ và được hướng dẫn để loại bỏ những mã độc ra khỏi máy tính người dùng qua website www.boho.or.kr
  • Máy chủ DNS Sinkhole của ISP
  • Máy tính người sử dụng bị nhiễm mã độc tìm kiếm máy chủ điều khiển sau đó nhận được lệnh cập nhật hoặc tấn công biến thể mã độc qua truy vấn DNS

Ưu và nhược điểm của DNS Sinkhole 

Ưu điểm: 

DNS Sinkhole mang lại nhiều giá trị trong việc bảo mật hệ thống mạng, đặc biệt là khả năng phát hiện, ngăn chặn và giảm thiểu tác động từ phần mềm độc hại.

Trước hết, kỹ thuật này giúp hạn chế thiệt hại cho hệ thống bằng cách chặn các truy vấn DNS đến máy chủ độc hại. Nhờ đó, phần mềm độc hại khó có thể kết nối với máy chủ điều khiển, giảm nguy cơ lây lan trong mạng nội bộ.

DNS Sinkhole cũng góp phần ngăn chặn việc đánh cắp dữ liệu quan trọng. Khi thiết bị bị nhiễm mã độc cố gửi dữ liệu ra ngoài, hệ thống có thể chuyển hướng hoặc chặn kết nối đến domain nguy hiểm, giúp bảo vệ thông tin nhạy cảm của tổ chức.

Bên cạnh đó, DNS Sinkhole cung cấp dữ liệu hữu ích cho đội ngũ bảo mật và các nhà nghiên cứu an ninh mạng. Thông qua việc ghi nhận các truy vấn bất thường, họ có thể phân tích hành vi của phần mềm độc hại, xác định thiết bị bị nhiễm và hiểu rõ hơn về quy mô cũng như bản chất của cuộc tấn công.

Kỹ thuật này còn giúp tổ chức phát hiện sớm các mối đe dọa, rút ngắn thời gian điều tra và xử lý sự cố. Từ đó, doanh nghiệp có thể tiết kiệm chi phí vận hành, đồng thời nâng cao năng lực phòng thủ và xây dựng chiến lược ứng phó hiệu quả hơn trong tương lai.

Nhược điểm: 

Mặc dù DNS Sinkhole là một giải pháp bảo mật hữu ích, kỹ thuật này vẫn tồn tại một số hạn chế cần lưu ý trong quá trình triển khai.

  • Có thể xảy ra cảnh báo giả hoặc bỏ sót mối đe dọa: DNS Sinkhole có thể tạo ra cảnh báo giả hoặc không phát hiện được một số mối đe dọa nguy hiểm. Nguyên nhân thường đến từ việc danh sách domain độc hại không được cập nhật thường xuyên, dữ liệu nhận diện thiếu chính xác hoặc hệ thống chưa được cấu hình phù hợp.
  • Kẻ tấn công có thể dùng kỹ thuật né tránh: Các nhóm tấn công mạng ngày càng sử dụng nhiều phương thức tinh vi để vượt qua DNS Sinkhole. Chúng có thể thay đổi domain liên tục, dùng kỹ thuật mã hóa, domain generation algorithm hoặc các phương pháp đánh lừa hệ thống kiểm tra. Điều này làm giảm hiệu quả phòng thủ nếu tổ chức chỉ phụ thuộc vào DNS Sinkhole.
  • Tốn tài nguyên triển khai và bảo trì: Việc xây dựng và duy trì DNS Sinkhole đòi hỏi nguồn lực đáng kể. Tổ chức cần đầu tư phần cứng, băng thông, nhân sự giám sát, cập nhật danh sách domain độc hại và xử lý sự cố phát sinh. Nếu thiếu nhân lực hoặc quy trình vận hành rõ ràng, hệ thống có thể hoạt động kém hiệu quả.
  • Có thể ảnh hưởng đến hiệu suất mạng: Trong một số trường hợp, việc chuyển hướng hoặc kiểm tra truy vấn DNS có thể làm tăng độ trễ, ảnh hưởng đến trải nghiệm người dùng. Vấn đề này dễ xảy ra khi hệ thống Sinkhole chưa được tối ưu, lưu lượng truy vấn quá lớn hoặc máy chủ Sinkhole không đủ khả năng xử lý.
  • Phụ thuộc vào hạ tầng DNS đáng tin cậy: DNS Sinkhole phụ thuộc nhiều vào hạ tầng DNS của tổ chức. Nếu hệ thống DNS bị tấn công, cấu hình sai hoặc gặp sự cố, hiệu quả của DNS Sinkhole cũng bị ảnh hưởng. Khi đó, các mối đe dọa có thể vượt qua lớp phòng thủ này và tiếp tục tấn công vào hệ thống nội bộ.

Tóm lại, DNS Sinkhole là một kỹ thuật quan trọng trong bảo mật mạng nhưng không nên được xem là giải pháp duy nhất. Để đạt hiệu quả cao, tổ chức cần kết hợp DNS Sinkhole với các lớp bảo mật khác như firewall, IDS/IPS, endpoint security, threat intelligence và quy trình giám sát an ninh liên tục.

Bài viết trên BKNS đã cung cấp những thông tin cần thiết về DNS Sinkhole. Hy vọng, những thông tin mà BKNS cung cấp hữu ích với bạn. Nếu còn bất cứ điều gì băn khoăn, hãy cho BKNS biết thông qua phần bình luận bên dưới.

>> Tìm hiểu thêm:

Thịnh Văn Hạnh

Chào bạn, tôi là Thịnh Văn Hạnh, CEO và là người sáng lập nên BKNS. Với nhiều năm trong lĩnh vực công nghệ thông tin, hosting, server, tên miền... Tôi mong muốn mang đến cho các bạn những thông tin hữu ích nhất.

Bài viết liên quan

Syntax Error là gì?

09/06/2026

2452

Sửa lỗi Syntax Error trong WordPress nhanh, đúng cách
rootkit là gì

09/06/2026

2231

Rootkit là gì? Cách phát hiện, phòng tránh và xử lý mã độc ẩn sâu

09/06/2026

2996

MVC, MVP và MVVM là gì? So sánh & khi nào nên sử dụng MVC, MVP, MVVM
Ví điện tử là gì?

09/06/2026

2230

Ví điện tử là gì? Cách hoạt động, lợi ích và các ví phổ biến
Hướng cấu hình SMTP Gmail 7

08/06/2026

3369

SMTP Gmail là gì? SMTP Server Gmail là gì?
Top 13 nhà cung cấp Hosting Việt Nam tốt nhất 2025

08/06/2026

4423

Top 10+ Nhà cung cấp Hosting Việt Nam chất lượng, giá tốt
HTML là gì?

03/06/2026

3065

HTML là gì? Tìm hiểu chi tiết về HTML từ a đê·
Tên miền có dấu

02/06/2026

361

Tên miền có dấu và những điều cần biết khi dùng

02/06/2026

2275

Các loại ảo hóa phổ biến hiện nay: Hướng dẫn toàn diện từ A – Z
Gọi điện cho tôi Tư vấn dịch vụ Facebook Messenger Chat Zalo