#

DNSSEC là gì? Công nghệ bảo mật DNS bằng DNSSEC

DNSSEC là công nghệ bảo mật hiện đại được sử dụng phổ biến trong lĩnh vực CNTT giúp bảo vệ các dữ liệu được lưu trữ trong DNS Server. Ngoài ra, nó còn có khả năng loại bỏ và ngăn chặn các mối đe dọa tấn công nguy hiểm. Hãy cùng BKHOST tìm hiểu về các phương pháp bảo mật DNS trong bài viết dưới đây.

DNSSEC là gì?

DNSSEC la gi

DNSSEC – Domain Name System Security là một bộ tiện ích mở rộng giúp xác minh các yêu cầu DNS đảm bảo độ tin cậy cao. Doanh nghiệp và tổ chức thường lựa chọn DNSSEC để cải thiện hệ thống bảo mật DNS của mình.

Đăng ký tên miền tại BKHOST

BKHOST đang có chương trình khuyến mại cực shock dành cho khách hàng đăng ký mới tên miền.

  • Giảm giá lên đến 70%.
  • Bắt đầu chỉ từ 59k/năm đầu.

Rất nhiều tên miền đẹp đang chờ bạn. Nhanh tay sở hữu ngay hôm nay trước khi đối thủ của bạn nhắm tới.

đăng ký tên miền quốc tế

Công nghệ DNS không chú trọng nhiều đến vấn đề bảo mật hệ thống. Chẳng hạn như kẻ tấn công giả mạo DNS để đánh cắp Cache DNS Resolver. Điều này khiến cho người dùng có thể nhận được địa chỉ IP giả mạo khi truy cập vào các trang web độc hại.

DNS gia mao
DNS giả mạo

Để khắc phục vấn đề này, DNSSEC được triển khai nhằm bảo vệ các dữ liệu nhạy cảm được lưu trữ trong DNS Server. Một số dữ liệu phổ biến trong DNS như địa chỉ IP và các thông tin liên quan đến máy chủ.

Ngoài ra, DNSSEC có thể hạn chế quá trình lọc dữ liệu trên DNS Server. Bởi vì hầu hết những kẻ tấn công thường lợi dụng DNS để chống lại các cuộc kiểm soát bảo mật và chuyển các dữ liệu cho bên thứ ba.

Bảo mật DNS bằng DNSSEC

DNSSEC sử dụng công nghệ Digital Signature để tiến hành xác thực các phản hồi được gửi từ máy chủ đến máy khách. Ngoài ra, nó còn bổ sung thêm Cryptographic Signatures vào bản ghi DNS để bảo vệ dữ liệu được xuất trong DNS.

Trình phân giải DNS trong DNSSEC sẽ xác minh bản ghi trước khi gửi đến máy khách bằng cách kiểm tra chữ ký được liên kết với bản ghi đó. Trong đó, tất cả các bản ghi cần khớp với những bản ghi có trên DNS Server đáng tin cậy.

Resource Record Signature

RRSIG – Resource Record Signature bao gồm chữ ký mật mã được sử dụng cho một số loại bản ghi nhất định.

DNSKEY

Bản ghi DNSKEY gồm một Public Key được sử dụng trong quá trình xác thực DNS. Sau khi nhận được phản hồi DNSSEC, trình phân giải DNS sẽ truy xuất Public Key để xác minh chữ ký trên bản ghi đó. Trong đó, Public Key được cung cấp bởi máy chủ định danh đáng tin cậy và tương thích với mỗi bản ghi cụ thể.

DS

DS – Delegation Signer là tệp tham chiếu được phân chia của Public DNSKEY đang lưu trữ trong Zone chính. Trong đó, Public DNSKEY này sẽ được xác minh trong mỗi Zone con khi phát hiện có trình phân giải đang truy cập vào các bản ghi từ Zone con đó.

Cụ thể, DNSKEY được phân chia để so sánh với các kết quả phân chia bản ghi DS trong Zone chính. Nếu như kết quả trùng khớp thì trình phân giải có thể truy cập vào các bản ghi trong Zone con.

NSEC

Next Secure Record được sử dụng để trả về các bản ghi hợp lệ được sắp xếp thứ tự DNSSEC. Nó cho phép trình phân giải DNS tiến hành xác thực các bản ghi DNS không tồn tại.

Trong trường hợp không tồn tại bản ghi NSEC thì DNS Server sẽ trả về một thông báo trống. Một vấn đề đối với các bản ghi NSEC đó là những kẻ tấn công sẽ lợi dụng NSEC-walk để truy cập vào Zone.

NSEC3

NSEC3 được triển khai nhằm khắc phục các vấn đề NSEC-walk bằng cách phân chia mật mã tên của tất cả các bản ghi trong một Zone.

NSEC3 Parameter (NSEC3PARAM)

NSEC3 Parameter (NSEC3PARAM) là bản ghi chứa các tham số quan trọng của DNS Server. Các tham số này được sử dụng để xác định xem bản ghi NSEC3 nào cần được đưa vào phản hồi các yêu cầu DNSSEC cho các tên không tồn tại.

Các cuộc tấn công DNSSEC và DDoS

DNSSEC là một trong những phương pháp được sử dụng giúp hạn chế các cuộc tấn công DNS giả mạo thông qua việc xác minh yêu cầu DNS. Tuy nhiên, DNSSEC không phải là biện pháp giải quyết tốt nhất đối với các mối đe dọa tấn công DDoS trên DNS Server.

Các phản hồi trong DNSSEC thường ít hơn so với truy vấn DNS. Nguyên nhân là do trường bổ sung và hệ thống thông tin mật mã được sử dụng để xác minh các bản ghi. Những tin tặc sẽ lợi dụng các phản hồi lớn này để thực hiện các cuộc tấn công và tỷ lệ thành công lên tới 70% so với các DNS thông thường.

Hệ thống đội ngũ bảo mật Internet có thể thực hiện một số phương pháp ngăn chặn DDoS Amplification. Chẳng hạn như loại bỏ xâm nhập, giới hạn tỷ lệ phản hồi và kích thước phản hồi.

Quy trình xác thực DNSSEC

Quy trinh xac thuc DNSSEC
Quy trình xác thực DNSSEC

Quy trình xác thực DNSSEC hoàn thiện cần đảm bảo đủ các bước sau đây:

  • Khi người dùng sử dụng địa chỉ URL để truy cập vào trình duyệt, nó sẽ tiến hành thực hiện các thao tác truy vấn trình phân giải DNS của máy tính cục bộ để tìm ra địa chỉ IP.
  • Địa chỉ IP sẽ được trả về trình duyệt nếu nó tồn tại trên bộ nhớ cache của trình phân giải cơ bản. Ngược lại, địa chỉ IP sẽ được chuyển đến trình phân giải đệ quy do ISP quản lý.
  • Địa chỉ IP sẽ được trả về nếu nó tồn tại trong bộ nhớ cache của trình phân giải địa quy. Ngược lại, nó sẽ tiến hành truy vấn để xác định DNS Server lưu trữ thông tin đáng tin cậy đối với miền được yêu cầu.
  • Trình phân giải đệ quy tương tác với DNS Server gốc, sau đó tham chiếu đến Top-Level Domain của DNS Server.
  • TLD DNS Server có thể chuyển trình phân giải đến một máy chủ định danh đáng tin cậy, chẳng như DNS Server lưu trữ các bản ghi DNS cho miền được yêu cầu.
  • DNS Server yêu cầu DNSSEC Key cho DNS Zone “example.com”. Sau đó, DNS Server này sẽ trả về phản hồi DNS đính kèm các bản ghi RRSIG.
  • Trình phân giải đệ quy sẽ xác thực RRSIG để nhận định rằng các bản ghi được gửi từ máy chủ định danh đáng tin cậy. Sau đó, nó sẽ gửi phản hồi DNS đã được xác thực với địa chỉ IP đến máy khách DNS.

Tổng kết về DNSSEC

DNSSEC là công nghệ tiện ích mở rộng an toàn với công dụng xác thực các yêu cầu DNS an toàn một cách nhanh chóng. Hy vọng thông qua bài chia sẻ trên đây đã giúp bạn đọc nắm được một số biện pháp bảo mật DNS bằng DNSSEC hiệu quả nhất.

Nếu còn gặp bất cứ vướng mắc gì về nội dung bài viết trên, hãy để lại ở bên bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm nhất.

P/s: Bạn cũng có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành công.

Đăng ký tên miền .VN tại BKHOST

BKHOST đang có chương trình khuyến mãi cực tốt dành cho khách hàng đăng ký tên miền .VN:

  • Giảm ngay 140k.
  • Miễn phí 100% dịch vụ khởi tạo tên miền .VN

Còn rất nhiều tên miền .VN đẹp đang chờ bạn. Nhanh tay sở hữu ngay hôm nay trước khi đối thủ của bạn nhắm tới.

giá tên miền .vn

Tôi là Trịnh Duy Thanh, CEO & Founder Công ty Cổ Phần Giải Pháp Mạng Trực Tuyến Việt Nam - BKHOST. Với sứ mệnh mang tới các dịch vụ trên Internet tốt nhất cho các cá nhân và doanh nghiệp trong nước và quốc tế, tôi luôn nỗ lực hết mình nâng cấp đầu tư hệ thống phần cứng, nâng cao chất lượng dịch vụ chăm sóc khách hàng để đem đến những sản phẩm hoàn hảo nhất cho người tiêu dùng. Vì vậy, tôi tin tưởng sẽ đem đến các giải pháp CNTT mới nhất, tối ưu nhất, hiệu quả nhất và chi phí hợp lý nhất cho tất cả các doanh nghiệp.
Bình luận

Thanh toán linh hoạt

Chúng tôi chấp nhận thanh toán như ATM, Visa, Internet Banking, Paypal, Baokim, Ngân lượng

Gọi ĐT tư vấn ngay
Chat ngay qua Zalo
Chat ngay qua Messenger