Buzz
Tháng 10 năm 2016, một botnet của camera an ninh và router internet đã bị hack có tên là Mirai đã tấn công một lượng lớn lưu lượng rác vào máy chủ của Dyn, một trong những công ty cung cấp thư mục toàn cầu cho web được biết đến với tên gọi Hệ thống Tên Miền hoặc DNS. Cuộc tấn công đã làm sập Amazon, Reddit, Spotify và Slack tạm thời cho người dùng ở bờ biển Đông của Hoa Kỳ. Bây giờ, một nhóm nghiên cứu nói rằng một lỗ hổng trong DNS có thể tạo điều kiện cho một cuộc tấn công quy mô tương tự, nhưng chỉ cần ít máy tính bị hack hơn nhiều. Trong vài tháng, các công ty chịu trách nhiệm cho sổ điện thoại của internet đã vội vàng khắc phục nó.
Hôm nay, các nhà nghiên cứu từ Đại học Tel Aviv và Trung tâm Liên ngành Herzliya ở Israel đã phát hành thông tin chi tiết mới về một kỹ thuật họ nói rằng có thể cho phép một số lượng máy tính tương đối nhỏ thực hiện cuộc tấn công phủ định dịch vụ phân tán với quy mô lớn, áp đảo mục tiêu với yêu cầu thông tin giả mạo cho đến khi họ bị tắt máy. Kỹ thuật DDoS, mà các nhà nghiên cứu gọi là NXNSAttack, tận dụng lỗ hổng trong phần mềm DNS phổ biến. DNS chuyển đổi tên miền bạn nhấp hoặc nhập vào thanh địa chỉ trình duyệt của bạn thành địa chỉ IP. Nhưng NXNSAttack có thể khiến một máy chủ DNS không ý thức thực hiện hàng trăm nghìn yêu cầu mỗi khi máy tính của hacker chỉ cần gửi một.
Hiệu ứng nhân vô hướng đó có nghĩa là một kẻ tấn công có thể sử dụng chỉ vài máy tính bị hack, hoặc thậm chí là thiết bị của họ, để thực hiện cuộc tấn công DDoS mạnh mẽ lên máy chủ DNS, có thể gây ra sự rối loạn quy mô của Mirai. "Mirai có khoảng 100,000 thiết bị IoT, và ở đây tôi nghĩ bạn có thể có cùng ảnh hưởng chỉ với vài trăm thiết bị," nói Lior Shafir, một trong những nhà nghiên cứu của Đại học Tel Aviv, công việc của anh được giám sát bởi Yehuda Afek và Anat Bremler-Barr của IDC Herzliya. "Đó là một hiệu ứng tăng cường rất nghiêm trọng," Shafir thêm. "Bạn có thể sử dụng điều này để làm sập các phần quan trọng của internet."
Hoặc ít nhất bạn có thể cách đây vài tháng. Từ tháng 2, các nhà nghiên cứu đã thông báo cho một tập hợp rộng lớn các công ty chịu trách nhiệm cho cơ sở hạ tầng internet về những phát hiện của họ. Các nhà nghiên cứu cho biết những công ty đó, bao gồm Google, Microsoft, Cloudflare, Amazon, Dyn (hiện nay thuộc sở hữu của Oracle), Verisign và Quad9, đã cập nhật phần mềm của họ để giải quyết vấn đề, cũng như một số nhà sản xuất phần mềm DNS mà những công ty đó sử dụng.
Mặc dù cuộc tấn công tăng cường DNS không mới, NXNSAttack đại diện cho một cuộc tấn công đặc biệt mạnh mẽ. Trong một số trường hợp, những nhà nghiên cứu nói rằng nó có khả năng nhân bản băng thông của chỉ vài máy tính lên đến 1.600 lần. Và ngay cả sau tháng ngày vá cùng nhau, có những phần của internet có thể vẫn còn dễ bị tổn thương bởi kỹ thuật này, theo Dan Kaminsky, nhà khoa học trưởng tại công ty bảo mật White Ops và một nhà nghiên cứu DNS nổi tiếng. Năm 2008, Kaminsky phát hiện một lỗ hổng cơ bản trong DNS có nguy cơ cho phép hacker chuyển hướng người dùng cố gắng truy cập một trang web đến một trang web giả mạo mà họ chọn, và tương tự đã triển khai một sửa chữa phối hợp trên các nhà cung cấp DNS lớn. Ngay cả lúc đó, mất vài tháng để lỗ hổng của Kaminsky, một lỗ hổng nghiêm trọng hơn nhiều so với NXNSAttack, được vá đóng.
"Có một triệu thứ như vậy, và thậm chí nếu một số trong số chúng đã được vá, luôn sẽ có một số chưa nhận cập nhật," Kaminsky nói về các máy chủ DNS phân tán trên internet. "Đây là một công việc tốt về cách DNS có thể thất bại."
Để hiểu cách NXNSAttack hoạt động, việc hiểu cấu trúc phân cấp lớn hơn của DNS trên toàn bộ internet sẽ giúp ích. Khi một trình duyệt truy cập một tên miền như google.com, nó kiểm tra một máy chủ DNS để biết địa chỉ IP của tên miền đó, một con số như 64.233.191.255. Thông thường, những yêu cầu đó được trả lời bởi máy chủ DNS "resolver," do các nhà cung cấp DNS và nhà cung cấp dịch vụ internet kiểm soát. Nhưng nếu những máy chủ resolver đó không có địa chỉ IP đúng sẵn có, chúng yêu cầu một máy chủ "authoritative" liên quan đến các tên miền cụ thể để có câu trả lời.
NXNSAttack lạm dụng giao tiếp tin cậy giữa những tầng khác nhau của cấu trúc phân cấp DNS này. Điều này đòi hỏi không chỉ có quyền truy cập vào một bộ sưu tập máy tính cá nhân hoặc các thiết bị khác—bất cứ thứ gì từ một máy tính đơn đến một botnet—mà còn cần tạo ra các máy chủ DNS cho một tên miền; gọi là "attacker.com." (Các nhà nghiên cứu cho rằng bất kỳ ai cũng có thể thiết lập cấu trúc đó chỉ với vài đô la.) Sau đó, kẻ tấn công sẽ gửi một loạt các yêu cầu từ các thiết bị của họ cho tên miền họ kiểm soát, hoặc cụ thể hơn là một loạt các tên miền phụ giả mạo như 123.attacker.com, 456.attacker.com và cứ thế, sử dụng chuỗi số ngẫu nhiên để liên tục thay đổi các yêu cầu tên miền phụ.
Những lượt thăm web cố gắng này sẽ kích hoạt máy chủ resolver của một nhà cung cấp DNS để kiểm tra với một máy chủ "authoritative"—trong trường hợp này là máy chủ DNS dưới sự kiểm soát của kẻ tấn công. Thay vì chỉ cung cấp một địa chỉ IP, máy chủ authoritative đó sẽ thông báo cho resolver rằng nó không biết địa chỉ đích của các tên miền phụ được yêu cầu và hướng dẫn resolver để yêu cầu một máy chủ DNS authoritative khác để có địa chỉ IP thay vào đó, chuyển giao yêu cầu cho một tên miền đích do kẻ tấn công lựa chọn.
Các nhà nghiên cứu phát hiện rằng họ có thể chuyển hướng mọi yêu cầu cho một trong những tên miền phụ không tồn tại tại tên miền attacker.com của họ đến hàng trăm tên miền phụ không tồn tại mà tất cả thuộc về một tên miền đích, chẳng hạn như victim.com. Những hàng trăm yêu cầu đó có thể cho phép một hacker chiếm đa số máy chủ DNS resolver không chỉ bằng cách làm cho chúng gửi nhiều yêu cầu hơn mà chúng có thể xử lý—có thể khiến cho một phần của dịch vụ của nhà cung cấp DNS bị ngưng trệ, như đã xảy ra trong cuộc tấn công botnet Mirai lên Dyn—mà còn làm tràn máy chủ DNS authoritative của nạn nhân nhận những yêu cầu đó, có thể khiến cho trang web đích victim.com đó bị ngưng trệ.
Một mục tiêu được bảo vệ tốt có thể nhận ra rằng một máy chủ DNS độc hại duy nhất đứng sau cuộc tấn công và từ chối phản hồi cho các yêu cầu được chuyển từ tên miền của kẻ tấn công. Tuy nhiên, Lior Shafir của Đại học Tel Aviv chỉ ra rằng kẻ tấn công có thể sử dụng nhiều tên miền để biến đổi cuộc tấn công và kéo dài thời gian đau khổ. "Bạn có thể có đến hàng chục như vậy và thay đổi chúng mỗi vài phút," Shafir nói. "Rất dễ dàng."
Trong một biến thể khác của cuộc tấn công, các nhà nghiên cứu phát hiện một hacker thậm chí có thể hướng NXNSAttack vào các miền cấp cao không tồn tại—hậu tố giả mạo của địa chỉ web như ".fake"—để tấn công máy chủ gốc giữ vị trí máy chủ authoritative cho các miền cấp cao như .com và .gov. Trong khi những máy chủ gốc đó nói chung được thiết kế để có băng thông rất lớn, các nhà nghiên cứu cho rằng họ có thể yêu cầu nhiều miền giả mạo từ những máy chủ đích đó hơn là từ các tên miền phụ giả mạo trong các phiên bản khác của cuộc tấn công của họ, có thể nhân đôi mọi yêu cầu lên hơn một nghìn lần và đe dọa một phần lớn của toàn bộ web.
"Khi bạn cố gắng tấn công một máy chủ gốc, cuộc tấn công trở nên nguy hiểm hơn nhiều," Shafir nói. "Chúng tôi không thể chứng minh rằng chúng có thể bị hạ bởi vì chúng là các máy chủ rất mạnh mẽ, nhưng khả năng khuếch đại rất cao và đây là những tài sản quan trọng nhất. Trong trường hợp tồi tệ nhất này, một phần của internet sẽ không hoạt động."
Khi Mytour liên lạc với một số nhà cung cấp DNS chính trên internet, Google, Microsoft và Amazon không phản hồi ngay lập tức. Công ty mẹ của Dyn, Oracle, nói rằng họ đang kiểm tra nghiên cứu này. "NXNSAttack có hệ số khuếch đại lớn đối với một số triển khai DNS, nhưng đối với Cloudflare, khuếch đại nhỏ và đã được giảm bớt bằng các thay đổi gần đây trong phần mềm DNS của chúng tôi," John Graham-Cumming, Giám đốc Công nghệ của Cloudflare, viết. "Bởi vì tăng cường DNS là một vấn đề phổ biến mà ngành công nghiệp phải đối mặt, Cloudflare đã có các biện pháp ngăn chặn để ngăn dịch vụ của chúng tôi bị sử dụng cho các cuộc tấn công khuếch đại lớn."
John Todd, giám đốc điều hành của nhà cung cấp DNS phi lợi nhuận Quad9, viết trong một email rằng "mối đe doạ này thực sự là / là" nhưng cũng lưu ý rằng nó "một chút phức tạp để triển khai và để lại một số vết nhận biết," vì kẻ tấn công sẽ phải vận hành các tên miền DNS của họ. Anh cũng lưu ý rằng hầu hết các máy chủ DNS doanh nghiệp được đặt để chỉ phản hồi địa chỉ IP từ bên trong công ty sở hữu chúng, mặc dù các nhà cung cấp dịch vụ internet có khả năng dễ bị tổn thương hơn khi máy chủ DNS của họ bị chiếm đóng bởi kỹ thuật NXNSAttack.
Với việc triển khai vá phổ biến đã được thực hiện, NXNSAttack có lẽ đại diện ít hơn cho một đe doạ quan trọng hơn là một lời nhắc nhở về cách cơ sở hạ tầng của internet phải luôn được bảo trì và bảo vệ.
"Từ góc độ của tôi, tôi chỉ rất vui mừng vì sự hợp tác mà tôi đã nhận được từ năm 2008 vẫn đang diễn ra vào năm 2020," Kaminsky của White Ops nói. "Internet không phải là điều gì đó tồn tại nếu nó không được vá lại mỗi khi có người đốt cháy nó."
Những điều tuyệt vời khác từ Mytour
- Thú nhận của Marcus Hutchins, kẻ hack đã cứu internet
- Người nào đã phát minh ra bánh xe? Và họ đã làm thế nào?
- 27 ngày trong vịnh Tokyo: Điều gì đã xảy ra trên Diamond Princess
- Tại sao nông dân đổ sữa, thậm chí khi mọi người đang đói
- Mẹo và công cụ để tự cắt tóc tại nhà
- 👁 Trí tuệ nhân tạo khám phá ra một liệu pháp tiềm năng cho Covid-19. Ngoài ra: Cập nhật tin tức AI mới nhất
- 🏃🏽♀️ Muốn có những công cụ tốt nhất để giữ gìn sức khỏe? Xem những lựa chọn của đội ngũ Gear chúng tôi cho những chiếc vòng đeo sức khỏe tốt nhất, đồ chạy bộ (bao gồm giày và tất), và tai nghe tốt nhất
