DNS SINKHOLE LÀ GÌ

DNS Sinkhole là gì? Phát hiện botnet sử dụng kỹ thuật DNS Sinkhole ra sao? Cách hoạt động của kỹ thuật DNS Sinkhole ra sao? Bài viết sau đây BKNS giải đáp giúp bạn các câu hỏi trên nhé!

1. DNS Sinkhole là gì?

DNS Sinkholing (Hay còn gọi là sinkhole server, Internet sinkhole, or Blackhole DNS) là một DNS server, là một cơ chế nhằm bảo vệ người dùng bằng cách chặn yêu cầu DNS cố gắng kết nối với các tên miền độc hại hoặc không mong muốn đã biết và trả về một địa chỉ IP sai hoặc được kiểm soát. Địa chỉ IP được kiểm soát trỏ đến một máy chủ lỗ hổng được xác định bởi quản trị viên lỗ hổng DNS.

Bạn đang xem: Dns sinkhole là gì

Kỹ thuật này hoàn toàn có thể được sử dụng để ngăn ngừa những sever liên kết hoặc liên lạc với những điểm đến ô nhiễm đã biết như sever C và C botnet ( link đến Infonote ). Máy chủ của Holehole hoàn toàn có thể được sử dụng để tích lũy nhật ký sự kiện, nhưng trong những trường hợp như vậy, quản trị viên của Holehole phải bảo vệ rằng toàn bộ việc ghi nhật ký được triển khai trong khoanh vùng phạm vi pháp lý của họ và không vi phạm quyền riêng tư .

DNS Sinkholing có thể được thực hiện ở các cấp độ khác nhau. Cả ISP và Nhà đăng ký tên miền đều biết sử dụng DNS Sinkholing để giúp bảo vệ khách hàng của họ bằng cách chuyển hướng yêu cầu sang tên miền độc hại hoặc không mong muốn vào địa chỉ IP được kiểm soát.

Bạn đang đọc: DNS Sinkhole là gì? Cách sử dụng kỹ thuật DNS Sinkhole – BKNS.VN

Quản trị viên mạng lưới hệ thống cũng hoàn toàn có thể thiết lập sever lỗ hổng DNS nội bộ trong hạ tầng tổ chức triển khai của họ. Người dùng ( có quyền quản trị ) cũng hoàn toàn có thể sửa đổi tệp sever trên máy của họ và nhận được hiệu quả tương tự như. Có rất nhiều list ( cả nguồn mở và thương mại ) của những tên miền ô nhiễm đã biết mà quản trị viên của lỗ hổng hoàn toàn có thể sử dụng để điền vào DNS Sinkholing .Bên cạnh việc ngăn ngừa những liên kết ô nhiễm, hoàn toàn có thể sử dụng Sinkholing để xác lập những sever bị xâm nhập bằng cách nghiên cứu và phân tích nhật ký Sinkholing và xác lập những sever đang nỗ lực liên kết với những tên miền ô nhiễm đã biết .

Ví dụ: nếu nhật ký cho thấy một máy cụ thể liên tục cố gắng kết nối với máy chủ C & C, nhưng yêu cầu đang được chuyển hướng vì Sinkholing, thì rất có khả năng máy này bị nhiễm bot.

Do những hậu quả trực tiếp của nó, Sinkholing thường được triển khai trong những điều kiện kèm theo đặc biệt quan trọng bởi những bên thứ ba đáng an toàn và đáng tin cậy với sự tham gia của cơ quan thực thi pháp lý .

2. Phát hiện botnet sử dụng kỹ thuật DNS Sinkhole

1 mạng botnet gồm những thành phần sau đây :

Những sever C&C do những bot master tinh chỉnh và điều khiểnNhững máy bị nhiễm bot ( gọi tắt là bot ), và những sever tinh chỉnh và điều khiển gọi tắt là C&C server .

Xem thêm: Sách Giáo Khoa Toán Lớp 5 Trang 158 159 Phép Cộng, Giải Toán Lớp 5 Trang 158, 159, Phép Cộng

Thông qua những giao thức như HTTP, IRC thì những bot thường liên hệ với những C&C server. Nhưng trong thực tiễn những bot ngày này dùng giao thức HTTP thông dụng nhất .Cho dù những bot dùng giao thức nào thì để hoạt động giải trí trên môi trường tự nhiên Internet đều phải có địa chỉ IP public hay tên miền để phân giải đến 1 địa chỉ IP nhất định .Trong trường hợp những C&C server dùng những địa chỉ IP thì việc phát hiện sẽ rất thuận tiện. Vì việc này mà những C&C server đã dùng tên miền ( hay còn gọi là DNS ) thay vì dùng địa chỉ IP. Bên cạnh đó mà việc dùng DNS còn mang đến một số ít quyền lợi cho những bot master sau đây :

Trong trường hợp DNS bị tịch thu hay bị phát hiện thì những bot master hoàn toàn có thể mua tên miền khác thay thế sửa chữaChỉnh sửa địa chỉ IP của C&C đơn thuần nhanh gọnTiết kiệm địa chỉ IP

3. Cách hoạt động của kỹ thuật DNS Sinkhole

Để liên lạc với những C&C server :

B1 : Các bot gửi nhu yếu phân giải tên miền ( t7g5.com ) cho sever DNS serverB2 : DNS server trả về địa chỉ IP của sever C&C serverB3 : Các bot liên kết tới C&C server thành công xuất sắc .

Và khi vận dụng kỹ thuật DNS Sinkhole thì ở những bước :

B2 : DNS server sẽ trả về địa chỉ IP của sever Sinkhole, thay vì trả về địa chỉ IP của sever C&C serverB3 : Các bot link với sever Sinkhole thay vì liên kết tới C&C server. Ở đây, người dùng sẽ phát hiện ra những máy đang liên kết tới máy Sinkhole – đây chính là những máy bị nhiễm bot, từ đây người dùng hoàn toàn có thể tích lũy và cảnh báo nhắc nhở mẫu mã độc .

Một chút nhìn nhận về kỹ thuật này :

Những tên miền ô nhiễm trong sever DNS server cần update đúng chuẩn và nhanh gọnXây dựng với những C&C server cũng như cách kiến thiết xây dựng sever Sinkhole đều đơn thuần

4. Mô hình bóc gỡ Botnet/mã độc 

Trong quy mô trên khi một máy tính người dùng bị lây nhiễm mã độc nó sẽ thực thi :

Máy tính sẽ bị nhiễm link với sever điều khiển và tinh chỉnhMáy chủ DNS trả về địa chỉ IP của sever tinh chỉnh và điều khiển tương thíchMáy tính bị nhiễm những mã ô nhiễm tìm kiếm sever tinh chỉnh và điều khiển để nhận lệnh update biến thể mã độc hay tiến công qua truy vấn DNSMáy tính bị nhiễm sẽ liên kết với sever Sinkhole, sau đó nhận được thông tin về việc máy tính bị nhiễm những mã ô nhiễm. Sau đó hoàn toàn có thể được cung ứng công cụ và được hướng dẫn để vô hiệu những mã độc ra khỏi máy tính người dùng qua website www.boho.or.krMáy chủ DNS Sinkhole của ISPMáy tính người sử dụng bị nhiễm mã độc tìm kiếm sever điều khiển và tinh chỉnh sau đó nhận được lệnh update hoặc tiến công biến thể mã độc qua truy vấn DNS

Bài viết trên BKNS đã cung cấp những thông tin cần thiết về DNS Sinkhole. Hy vọng, những thông tin mà BKNS cung cấp hữu ích với bạn. Nếu còn bất cứ điều gì băn khoăn, hãy cho BKNS biết thông qua phần bình luận bên dưới.

Xem thêm: Slide Master Là Gì - Cách Dùng Slide Master Trong Powerpoint

Tôi là Thịnh Hạnh, hiện đang là CEO của BKNS. Tôi sẽ phân phối cho bạn những dịch vụ công nghệ thông tin và giải pháp mạng một cách nhanh nhất, hiệu suất cao nhất .