LAODONG.COM.VN | Dễ “đầu độc” máy chủ quản lý tên miền!

Ông Đỗ Ngọc Duy Trác trình bày về nguy cơ máy chủ DNS bị tấn công.

(LĐ) - Hơn một tuần qua, hàng loạt máy chủ ứng dụng web bị tấn công, làm hàng trăm website của VN bị từ chối dịch vụ. Ngày 23.7, VNCERT phát đi cảnh báo đặc biệt nghiêm trọng liên quan đến hệ thống phân giải tên miền (DNS).

Nguy cơ xuất hiện “cơn bão tin tặc” nhắm đến hệ thống máy chủ quản lý tên miền đã đặt hệ thống thông tin Việt Nam vào tình trạng khẩn cấp.

Tấn công phủ đầu

Theo nguồn tin từ CLB Thương mại điện tử tại TPHCM, số máy chủ bị tấn công lên đến hàng trăm, khiến cho từng ấy (hoặc nhiều hơn) trang web tê liệt, hoặc truy cập vào rất chậm. Những trang web bị tấn công như timviecnhanh.com, onboom.com, vnec.vn, trang web kiemviec, trang web cua Vietnam Work, BitDefender.v.v... Phương thức tấn công DDOS (từ chối dịch vụ) vào các trang web đã tạo áp lực lên bộ xử lý của các máy chủ web khiến cho việc xử lý yêu cầu bị quá tải.

Ngày 23.7, Trung tâm Điện toán và Truyền số liệu khu vực 2 (VDC2) xác nhận thông tin hàng loạt website bị tấn công. Theo ông Hồ Phước Thuận-Phó GĐ VDC2, từ ngày 16.7, đã có hai máy chủ của các khách hàng đặt thuê chỗ tại đơn vị này bị tấn công. Khi khách hàng báo đến, qua kiểm tra, VDC2 đã phát hiện các máy chủ trên bị tấn công bởi phương thức MAC-Spoofing.

Từ một máy chủ bị tấn công, sẽ tạo ra nhiều gói ARP với các địa chỉ mạng giả mạo gửi đến các máy chủ khác, tạo ra sự lây lan, khiến cho việc xử lý gia tăng lên gấp nhiều lần. Những máy chủ mạnh sẽ rơi vào tình trạng chậm. Các máy chủ yếu có thể bị tê liệt. Việc tấn công diễn ra theo từng đợt cách nhau 5 phút, và mỗi đợt tấn công kéo dài 5 phút. Sau khi cô lập các máy chủ bị nhiễm, VDC2 cảnh báo cho đơn vị chủ quản để khắc phục, đến ngày 18.7 đã vãn hồi lại trật tự.

Website timviecnhanh.com bị tấn công phải chuyển địa chỉ truy cập.
Tuy nhiên từ cuối tuần qua cho đến ngày 23.7, tiếp tục có nhiều máy chủ đặt thuê tại nhiều nhà cung cấp dịch vụ khác bị tấn công. Nhiều Cty chủ quản các trang web cho biết đã không thể duy trì các hoạt động trên mạng. Đơn cử trang timviecnhanh.com, đã phải thông báo để khách hàng chuyển truy cập sang các địa chỉ timviecnhanh.vn và timviecnhanh.com.vn.

Trao đổi với chúng tôi chiều tối ngày 23.7, ông Mai Xuân Khôi-GĐ FPT IDS-cho biết, Cty đã nhận được phản ánh tình trạng trang web bị tê liệt của timviecnhanh và kiemviec, hai đơn vị này lại thuê chỗ đặt máy chủ qua Cty đại lí của FPT IDS.

Máy chủ quản lý DNS dễ … “uống nhầm thuốc độc”

Ngày 24.7, trao đổi với ông Đỗ Ngọc Duy Trác, trưởng phòng nghiệp vụ VNCERT được biết, hiện VN có trên 95% máy chủ DNS cấu hình không phù hợp và dễ dàng bị tấn công. Nhận thấy rõ hiểm hoạ này, VNCERT đã lập tức gửi cảnh báo này tới 150 tổ chức có liên quan trong nước.

Theo ông Trác, người có công phát hiện ra điểm yếu tiềm ẩn của cơ chế hoạt động giải nghĩa tên miền là Dan Kaminsky, một chuyên gia trong lĩnh vực bảo mật và hiện là Giám đốc Trung tâm Penentration Testing của Hãng bảo mật IOActive. Cũng theo ông Trác, cảnh báo về yếu điểm của hệ thống DNS tuy không mới nhưng lại là một sự kết hợp lỗi mới và đã được dẫn chứng dựa trên những thử nghiệm và tính toán thống kê hoàn toàn khoa học.

Cụ thể, chỉ cần gửi 200 yêu cầu giải nghĩa tên miền và đồng thời gửi 427 trả lời giả mạo tới một máy chủ DNS “yếu” thì tin tặc có thể “đầu độc” bảng thông tin lưu trữ ánh xạ tên miền (cache) của máy chủ này với khả năng thành công là 50%. Trong đó, lỗi được xác định là do mỗi phiên kết nối phục vụ hỏi đáp của dịch vụ DNS chỉ có 16bits để định danh (ID). Tuy nhiên, Dan Kaminsky sẽ chỉ chính thức công bố nghiên cứu của mình tại hội nghị bảo mật Black Hat, được tổ chức từ ngày 2 – 7.8 tới.

Mối nguy trên đang gia tăng khi thông tin cảnh báo dành cho các nhà quản trị cũng đồng thời là “tin vui” cho tin tặc. Các cuộc tấn công được dự báo là sẽ tiếp tục xuất hiện trên diện rộng trong vài ngày tới. Một khi máy chủ phục vụ DNS bị “đầu độc” bằng những thông tin dẫn đường sai lệch thì nguy cơ bị nhiễm mã độc, virus, trở thành botnet, bị chiếm đoạt thông tin cá nhân của người sử dụng là rất lớn. Ngoài việc gây thiệt hại đến cộng đồng người dùng Internet, các website giả mạo còn có thể gây bất ổn cho đời sống kinh tế, chính trị, xã hội do chúng có thể cung cấp thông tin sai lệch dưới lớp vỏ của các website tin tức chính thống.

Hiện tại, các chuyên gia và tổ chức hoạt động trong lĩnh vực an toàn thông tin trên toàn cầu đang tập trung nỗ lực cảnh báo, cung cấp bản vá lỗi và chuẩn bị các trường hợp khẩn cấp có thể xảy ra liên quan đến các điểm yếu của máy chủ DNS. Mọi thông tin chi tiết sẽ được VNCERT liên tục cập nhật tại địa chỉ http://vncert.gov.vn.

Những máy chủ DNS dễ bị “đầu độc”

* Phục vụ quá nhiều người dùng.
* Có chức năng hỏi hộ (recursive) và lưu giữ kết quả (caching).
* Chấp nhận xử lý đồng thời nhiều yêu cầu truy vấn của một tên miền duy nhất.
* Sử dụng cổng nguồn (UDP, TCP port) cố định và duy nhất cho tất cả các truy vấn.
* Không kiểm tra chặt chẽ tính chính xác và logic của phần thông tin thêm (addition records) trong các gói tin trả về (DNS reply).

Các giải pháp đối với người dùng Internet
1. Tạm thời nên sử dụng các DNS server đã khắc phục lỗi. Người dùng có thể sử dụng máy chủ OpenDNS có địa chỉ 208.67.222.222, 208.67.220.220.
2. Cập nhật đầy đủ các bản vá của hệ điều hành, phần mềm diệt virus và tăng cường phòng bị trong thời gian tới.
L.M

Thẩm Hồng Thuy- Lê Minh

	Tin tức Tuyển sinh Download PDF Điểm tin ^New!
Tòa soạn \| Lịch sử \| Thỏa thuận sử dụng \| Trợ giúp \| Sitemap \| Liên hệ © 2006 Báo Lao Động - Cơ quan của Tổng Liên đoàn Lao động Việt Nam. All rights reserved. Giấy phép số: 221/GP-BVHTT • Tổng Biên tập: VƯƠNG VĂN VIỆT • Phó Tổng Biên tập: Tô Quang Phán - Vũ Mạnh Cường Địa chỉ: 15/167 Tây Sơn - Đống Đa - Hà Nội • ĐT: 04-5330304 - 5330305 • Fax: 04-5370141 Email: webmaster@laodong.com.vn