Hỏi đáp

DNS Sinkhole là gì? Cách sử dụng kỹ thuật DNS Sinkhole

DNS Sinkhole là gì? Phát hiện botnet sử dụng kỹ thuật DNS Sinkhole ra sao? cách hoạt động của kỹ thuật DNS Sinkhole ra sao? Bài viết sau đây BKNS giải đáp giúp bạn các câu hỏi trên nhé!

1. DNS Sinkhole là gì?

DNS Sinkholing (Hay còn gọi là sinkhole server, Internet sinkhole, or Blackhole DNS) là một DNS server, chính là một cơ chế nhằm bảo vệ người dùng chỉ bằng cách chặn yêu cầu DNS cố gắng kết nối với các tên miền độc hại hoặc không mong muốn đã biết và trả về một địa chỉ IP sai hoặc đã được kiểm soát. Địa chỉ IP đã được kiểm soát trỏ đến một máy chủ lỗ hổng đã được xác định bởi quản trị viên lỗ hổng DNS.

Dns sinkhole chính là gì

Bạn đang đọc: DNS Sinkhole là gì? Cách sử dụng kỹ thuật DNS Sinkhole

Kỹ thuật này có thể được sử dụng để ngăn chặn các máy chủ kết nối hoặc liên lạc với các điểm đến độc hại đã biết như máy chủ C C botnet (liên kết đến Infonote). Máy chủ của Holehole có thể được sử dụng để thu thập nhật ký sự kiện, nhưng trong những trường hợp như vậy, quản trị viên của Holehole phải bảo đảm rằng tất cả việc ghi nhật ký đã được làm trong phạm vi pháp lý của họ , chưa vi phạm quyền riêng tư.

DNS Sinkholing có thể đã được thực hiện ở các cấp độ khác nhau. Cả ISP , và Nhà đăng ký tên miền đều biết sử dụng DNS Sinkholing để giúp bảo vệ khách hàng của họ bằng cách chuyển hướng yêu cầu sang tên miền độc hại hoặc không mong muốn vào địa chỉ IP được kiểm soát.

Quản trị viên hệ thống cũng có thể thiết lập máy chủ lỗ hổng DNS nội bộ trong cơ sở hạ tầng tổ chức của họ. Người dùng (có quyền quản trị) cũng có thể sửa đổi tệp máy chủ trên máy của họ , và nhận đã được kết quả tương tự. Có rất nhiều nhiều danh sách (cả nguồn mở , và thương mại) của các tên miền độc hại đã biết mà quản trị viên của lỗ hổng có thể sử dụng để điền vào DNS Sinkholing.

Bên cạnh việc ngăn chặn các kết nối độc hại, có thể sử dụng Sinkholing để xác định các máy chủ bị xâm nhập chỉ bằng cách phân tích nhật ký Sinkholing , và xác định các máy chủ đang cố gắng kết nối với các tên miền độc hại đã biết.

Tìm hiểu thêm: Tham luận là gì? Hướng dẫn viết một bài tham luận đúng chuẩn

Câu hỏi chính là gì? Câu hỏi phỏng vấn là gì? Những câu hỏi phỏng vấn thông dụng

Ví dụ: nếu nhật ký nhận thấy một máy cụ thể thường xuyên cố gắng kết nối với máy chủ C C, nhưng yêu cầu đang được chuyển hướng vì Sinkholing, thì rất nhiều có khả năng máy này bị nhiễm bot.

Do những hậu quả trực tiếp của nó, Sinkholing thường được thực hiện trong các điều kiện đặc biệt bởi các bên thứ ba đáng tin cậy với sự tham gia của cơ quan thực thi pháp luật.

2. Phát hiện botnet sử dụng kỹ thuật DNS Sinkhole

1 mạng botnet gồm những thành phần sau đây:

Những máy chủ CC do những bot master điều khiểnNhững máy bị nhiễm bot (gọi tắt là bot), , và các máy chủ điều khiển gọi tắt chính là CC server.

Thông qua những giao thức như HTTP, IRC thì các bot thường liên hệ với những CC server. Nhưng thực tế những bot ngày này dùng giao thức HTTP phổ biến nhất.

Cho dù các bot dùng giao thức nào thì để hoạt động ở trên môi trường Internet đều phải có địa chỉ IP public hay tên miền để phân giải đến 1 địa chỉ IP nhất định.

Trong trường hợp những CC server dùng những địa chỉ IP thì việc phát hiện sẽ rất nhiều dễ dàng. Vì việc này mà những CC server đã dùng tên miền (hay còn gọi chính là DNS) thay vì dùng địa chỉ IP. Bên cạnh đó mà việc dùng DNS còn mang đến một số lợi ích cho những bot master sau đây:

Trong trường hợp DNS bị thu hồi hay là bị phát hiện thì những bot master có thể mua tên miền khác thay thếChỉnh sửa địa chỉ IP của CC đơn giản nhanh chóngTiết kiệm địa chỉ IP

3. cách hoạt động của kỹ thuật DNS Sinkhole

Để liên lạc với các CC server :

B1: Những bot gửi yêu cầu phân giải tên miền (t7g5.com) cho máy chủ DNS serverB2: DNS server trả về địa chỉ IP của máy chủ CC serverB3: Những bot kết nối tới CC server thành công.B4: Các CC truyền lệnh cho các bot.

Sold Trong Bán Hàng Là Gì, Nghĩa Của Từ Sold, Định Nghĩa, Ví Dụ, Giải Thích

Và khi áp dụng kỹ thuật DNS Sinkhole thì ở các bước:

B2: DNS server cũng sẽ trả về địa chỉ IP của máy chủ Sinkhole, thay vì trả về địa chỉ IP của máy chủ CC serverB3: Những bot liên kết với máy chủ Sinkhole thay vì kết nối tới CC server. Ở đây, người dùng sẽ chỉ ra những máy đang kết nối tới máy Sinkhole- đây chính là những máy bị nhiễm bot, đến từ đây người dùng có thể thu thập , và cảnh báo mẫu mã độc.

Một chút đánh giá về kỹ thuật này:

Những tên miền độc hại trong máy chủ DNS server cần cập nhật chính xác , nhanh chóngXây dựng với những CC server cũng như cách xây dựng máy chủ Sinkhole đều đơn giản

4. Mô hình bóc gỡ Botnet/mã độc

Trong mô hình ở trên khi một máy tính người dùng bị lây nhiễm mã độc nó cũng sẽ thực hiện:

>> Khi không áp dụng kỹ thuật DNS Sinkhole

Máy tính cũng sẽ bị nhiễm liên kết với máy chủ điều khiểnMáy chủ DNS trả về địa chỉ IP của máy chủ điều khiển phù hợpMáy tính bị nhiễm những mã độc hại tìm kiếm máy chủ điều khiển để nhận lệnh cập nhật biến thể mã độc hay là tấn công qua truy vấn DNS

>> Sau khi sử dụng kỹ thuật DNS Sinkhole

Máy tính bị nhiễm sẽ kết nối với máy chủ Sinkhole, sau đó nhận đã được thông báo về việc máy tính bị nhiễm những mã độc hại. Sau đó có thể được cung ứng công cụ và đã được hướng dẫn để loại bỏ những mã độc ra khỏi máy tính người dùng qua website hoctuvangiamsat.comMáy chủ DNS Sinkhole của ISPMáy tính người sử dụng bị nhiễm mã độc tìm kiếm máy chủ điều khiển sau đó nhận được lệnh cập nhật hoặc tấn công biến thể mã độc qua truy vấn DNS

Bài viết ở trên BKNS đã cung cấp những thông tin cần thiết về DNS Sinkhole. Hy vọng, những thông tin mà BKNS cung cấp hữu ích với bạn. Nếu còn bất cứ điều gì băn khoăn, hãy cho BKNS biết thông qua phần bình luận bên dưới.

>> Tìm hiểu thêm:

Đá quý Emerald, Ngọc Lục Bảo là gì?

DNS Spoofing là gì? Cách phòng chống DNS SpoofingDNS Jumper là gì?Cách sử dụng DNS Jumper để chỉnh sửa DNS trên máy tính

Tìm hiểu thêm: Beta carotene là gì?