Tìm hiểu về DNS Hijacking và cách phòng chống!

Rất nguy hiểm khi DNS của máy tính bị thay đổi

Lê Tuấn Anh

Trong công nghệ, thuật ngữ DNS - viết tắt của Domain Name Resolution - được dùng để ám chỉ việc phân giải địa chỉ, hay nói ngắn gọn là có nhiệm vụ giải quyết, điều hướng URL khi bạn nhập địa chỉ vào thanh Address trên trình duyệt. Dễ hiểu hơn, DNS giúp bạn dễ dàng, nhanh chóng truy cập đến địa chỉ IP của website mà bạn muốn vào.

Bên cạnh đó, DNS Cache - hay gọi là bộ nhớ đệm DNS, đề cập đến thông tin DNS trên máy tính local, trong đó có chứa địa chỉ IP đã được phân giải của các website mà bạn thường xuyên truy cập (tương tự như Cookies của trình duyệt vậy).

Ý tưởng ra đời của DNS Cache là để giúp người dùng tiết kiệm thời gian khi liên tục truy cập vào các website thường xuyên, nhưng đây lại là miếng mồi ngon cho hacker khi DNS Cache có chứa các thông tin cá nhân của người dùng. Và việc làm thường xuyên nhất của hacker trong trường hợp này là tấn công, chiếm quyền sở hữu DNS Cache, thay đổi địa chỉ IP của người dùng về địa chỉ website giả mạo khác.

1. DNS Hijacking là gì?

DNS Hijacking là một hình thức tấn công mà người tấn công sẽ chỉnh sửa các bản ghi DNS (Domain Name System) để điều hướng người dùng tới một trang web khác so với trang web mà người dùng muốn truy cập.

Hay hiểu nôm na là bạn gõ địa chỉ abc.com vào trình duyệt, nhưng thực tế bạn đang "bị" điều hướng sang địa chỉ khác, ví dụ xyz.com.

Các bạn có thể thấy rằng, phần lớn tên miền - Domain của các trang web được đặt dưới dạng text (ví dụ quantrimang.com), với đối với mỗi URL đều có 1 địa chỉ IP tương ứng với URL đó, và nhiệm vụ chính của DNS là phân giải, chuyển đổi các ký tự text (quantrimang.com) thành IP tương ứng (các bạn mở lệnh RUN > gõ "ping" đến domain là sẽ ra địa chỉ IP của website đó). Ví dụ cụ thể:

Cách thức thường gặp nhất của Hacker trong trường hợp này là gì? Chúng sẽ dụ người dùng cài 1 phần mềm độc hại nào đó vào máy tính, thông thường là Malware, và malware này sẽ có nhiệm vụ chính là thay đổi DNS của hệ thống máy tính. Mỗi khi người dùng nhập địa chỉ của bất kỳ website nào đó, hệ thống sẽ tự động kết nối tới server DNS giả mạo của hacker (thay vì DNS thật sự được sử dụng bởi ICANN - The Internet Corporation for Assigned Names and Numbers) và điều hướng người dùng đến website giả mạo của hacker.

Xem thêm:

2. DNS Hijacking và DNS Cache Poisoning

Cả 2 phương pháp tấn công này đều xảy ra ở local - tức là máy tính của người dùng. Chúng được phân công rất cụ thể:

DNS Hijacking: làm nhiệm vụ cài phần mềm độc hại vào máy tính của người dùng.
DNS Cache Poisoning (hoặc còn gọi là Spoofing): chiếm quyền điều khiển DNS Cache và tiến hành thay đổi giá trị, thông tin trong đó thành thông tin của giả mạo.

Ví dụ, khi bạn gõ địa chỉ quantrimang.com vào thanh địa chỉ của trình duyệt, hệ thống sẽ tiến hành xác nhận thông tin địa chỉ IP tương ứng với tên miền quantrimang.com và trả thông tin lại cho máy tính (kết quả là website quantrimang.com hiển thị đầy đủ trên trình duyệt). 1 tên miền có thể chứa nhiều địa chỉ IP, và khi bạn truy cập vào quantrimang.com thường xuyên thì hệ thống sẽ ghi nhận đây là website cần ghi nhớ, để rút ngắn thời gian cho những lần truy cập sau.

Bên cạnh đó, điểm khác biệt này lại được hacker khai thác khá triệt để (tất nhiên chúng đã chuẩn bị sẵn nhiều server DNS giả mạo), và trong số nhiều địa chỉ DNS giả mạo đó sẽ có 1/10 tỉ lệ thành công, và được ưu tiên hơn so với DNS chính hãng của ISP (hacker tiến hành gửi tín hiệu đi liên tục). Đây là cách "làm việc" của DNS Cache Poisoning.

Và vì cách làm việc riêng biệt như trên, DNS Hijacking và DNS Cache Poisoning được sử dụng xen kẽ lẫn nhau.

3. Làm thế nào để ngăn chặn DNS Hijacking?

Phương pháp tốt nhất vẫn là sử dụng 1 phần mềm bảo mật tốt, hợp lý. Đối với người dùng đơn giản, thì Avira Free Antivirus là sự lựa chọn không nên bỏ qua.

Thử thay đổi lại DNS trên máy tính về các dải DNS của Google, Open DNS hoặc Comodo DNS: