Trainning
  • WEEK 2
    • Tìm hiểu các thành phần hệ điều hành
    • TryHackMe| Abusing Windows Internals
  • WEEK 3
    • Một số phương thức Persistence
    • Các Phương thức tấn công Process nâng cao
    • Implement tấn công
  • week 4
    • Linux
      • Basic Concept Linux
      • Symlink
      • Linux Persistence
      • Notes
    • PROCESS LIST
    • Network
      • OSI MODEL(OPEN SYSTEMS INTERCONNECTION MODEL)
      • Các giao thức phổ biến trong môi trường enterprise
        • SMB - Server Message Block
        • LDAP - Lightweight Directory Access Protocol
          • LDAP Injection
        • SSH - Secure Shell
        • RDP - Remote Desktop Protocol
        • ICMP - Internet Control Message Protocol
        • DNS - Domain Name System
        • DHCP - Dynamic Host Configuration Protocol
        • HTTP/HTTPS
  • WEEK 5
    • Các dạng tấn công trong network phổ biến (SYNC Flood, MAC flood,...)
    • Reconnaissance
    • Active Directory
      • Group Policy
    • NTLM vs Kerberos
      • Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
      • Path The Hash
      • ASREPRoast
        • Demo
      • Kerberoasting
        • Demo
      • Silver Ticket
        • Demo
      • Golden Ticket
        • Demo
      • Tóm tắt
    • Stealing Windows Credentials
      • Mimikatz
      • Custom SSP
    • LLMNR Poisoning, NTLM Replay
  • WEEK 6 + 7
    • DOM-based vulnerabilities
      • DOM-based open redirection
    • SQL Injection
      • Lab: Retrieving hidden data
      • Lab: Subvering application logic
      • SQL injection UNION attacks
        • Lab: SQL injection UNION attack, determining the number of columns returned by the query
        • Lab: SQL injection UNION attack, finding a column containing text
        • Lab: SQL injection UNION attack, retrieving data from other tables
        • Lab: SQL injection UNION attack, retrieving multiple values in a single column
      • Blind SQL Injection
        • Lab: Blind SQL injection with conditional responses
        • Lab: Blind SQL injection with conditional errors
        • Lab: Visible error-based SQL injection
        • Lab: Blind SQL injection with time delays
        • Lab: Blind SQL injection with time delays and information retrieval
        • Lab: Blind SQL injection with out-of-band interaction
        • Lab: Blind SQL injection with out-of-band data exfiltration
      • Examining the database
        • Lab: SQL injection attack, querying the database type and version on Oracle
        • Lab: SQL injection attack, querying the database type and version on MySQL and Microsoft
        • Lab: SQL injection attack, listing the database contents on non-Oracle databases
        • Lab: SQL injection attack, listing the database contents on Oracle
      • Che dấu cuộc tấn công bằng Encode
        • Lab: SQL injection with filter bypass via XML encoding
    • Authentication
      • Lỗ hổng trong đăng nhập bằng mật khẩu
        • Lab: Username enumeration via different responses
        • Lab: Username enumeration via subtly different responses
        • Lab: Username enumeration via response timing
        • Lab: Broken brute-force protection, IP block
        • Lab: Username enumeration via account lock
        • Lab: Broken brute-force protection, multiple credentials per request
      • Lỗ hổng trong xác thực đa nhân tố
        • Lab: 2FA simple bypass
        • Lab: 2FA broken logic
        • Lab: 2FA bypass using a brute-force attack
      • Các lỗ hổng trong cơ chế xác thực khác
        • Lab: Brute-forcing a stay-logged-in cookie
        • Lab: Offline password cracking
        • Lab: Password reset broken logic
        • Lab: Password brute-force via password change
        • Lab: Password brute-force via password change
      • Lỗ hổng xác thực OAuth 2.0
        • Lab: Authentication bypass via OAuth implicit flow
        • Lab: Authentication bypass via OAuth implicit flow
        • Lab: Forced OAuth profile linking
        • Lab: OAuth account hijacking via redirect_uri
        • Lab: Stealing OAuth access tokens via an open redirect
        • Lab: Stealing OAuth access tokens via a proxy page
        • Lab: SSRF via OpenID dynamic client registration
    • Access Control
      • Lab: Unprotected admin functionality
      • Lab: Unprotected admin functionality with unpredictable URL
      • Lab: User role controlled by request parameter
      • Lab: User role can be modified in user profile
      • Lab: URL-based access control can be circumvented
      • Lab: Method-based access control can be circumvented
      • Lab: User ID controlled by request parameter
      • Lab: User ID controlled by request parameter, with unpredictable user IDs
      • Lab: User ID controlled by request parameter with data leakage in redirect
      • Lab: Insecure direct object references
      • Lab: Multi-step process with no access control on one step
      • Lab: Referer-based access control
    • Path Traversal
      • Lab: File path traversal, simple case
      • Lab: File path traversal, traversal sequences blocked with absolute path bypass
      • Lab: File path traversal, traversal sequences stripped non-recursively
      • Lab: File path traversal, traversal sequences stripped with superfluous URL-decode
      • Lab: File path traversal, validation of start of path
      • Lab: File path traversal, validation of file extension with null byte bypass
    • Command Injection
      • Lab: OS command injection, simple case
      • Lab: Blind OS command injection with time delays
      • Lab: Blind OS command injection with output redirection
      • Lab: Blind OS command injection with out-of-band interaction
      • Lab: Blind OS command injection with out-of-band data exfiltration
    • File uploads
    • Server-side request forgery (SSRF)
    • Cross-site scripting
      • Reflected XSS
      • Stored XSS
      • DOM-based XSS
      • Cross-site scripting contexts
    • Cross-site request forgery (CSRF)
      • Bypassing CSRF token validation
      • Bypass SameSite cookie restrictions
      • Page 2
    • Insecure deserializaton
    • Burp Suite
    • Tóm tắt
  • Week 8
    • Rà soát mã độc
Powered by GitBook
On this page
  • DNS - Domain Name System
  • Cách thức hoạt động:
  • Hệ thống DNS có khoảng bốn loại server:
  • Các loại bản ghi DNS:
  • Types of DNS Attacks
  • DNS Spoofing
  • DNS Amplification
  • DNS Tunneling
  • DNS Hijacking
  • DNS Reflection
  • DNS Attacks Using Domain Generation Algorithm (DGA)
  • Cryptojacking
  • DNS Rebinding Attacks
  • Các biện pháp bảo mật DNS
  • References:
  1. week 4
  2. Network
  3. Các giao thức phổ biến trong môi trường enterprise

DNS - Domain Name System

PreviousICMP - Internet Control Message ProtocolNextDHCP - Dynamic Host Configuration Protocol

Last updated 9 months ago

DNS - Domain Name System

Domain Name System (DNS) đóng vai trò như thư mục của internet, cho phép người dùng truy cập các trang web thông qua các tên miền dễ nhớ như google.com hoặc facebook.com, thay vì các địa chỉ Internet Protocol (IP) bằng số. Bằng cách dịch tên miền thành địa chỉ IP, DNS đảm bảo trình duyệt web có thể tải nhanh các tài nguyên internet, đơn giản hóa cách chúng điều hướng đến thế giới thực.

Default port: 53

Cách thức hoạt động:

DNS hoạt động theo từng bước theo cấu trúc của DNS. Khi người dùng nhập tên miền vào trình duyệt (ví dụ: www.google.com), quy trình bắt đầu với DNS query. Đầu tiên, DNS server kiểm tra file hosts trên hệ thống để tìm thông tin. Nếu không tìm thấy, nó tiếp tục tìm trong bộ nhớ cache của trình duyệt hay Internet Service Provider (ISP). Nếu vẫn không có thông tin, lỗi sẽ xuất hiện.

Hệ thống DNS có khoảng bốn loại server:

1. **DNS Recursor**: Là server trung gian, chịu trách nhiệm liên lạc với các server khác để nhận thông tin cho client. Để lấy được thông tin, DNS Recursor có thể sẽ gọi đến Root DNS Server.

2. **Root Nameserver**: Là server quan trọng nhất trong hệ thống DNS, chức năng như một thư viện để hướng dẫn tìm kiếm. Trên thực tế, DNS recursive resolver sẽ chuyển yêu cầu tới Root Name server. Sau đó, server này chỉ định tới các TLD nameserver.

3. **TLD Nameserver**: Quản lý thông tin về các top-level domain (như .com). Khi có yêu cầu từ DNS resolver, nó sẽ giới thiệu đến một Authoritative DNS server.

4. **Authoritative Nameserver**: Là server chính thức chứa dữ liệu về tên miền. Khi tìm thấy, nó cung cấp địa chỉ IP tương ứng cho DNS resolver từ danh sách bản ghi của nó.

Các loại bản ghi DNS:

  • A Record Là DNS record đơn giản nhất và được dùng nhiều nhất dùng để trỏ tên website tới một địa chỉ IP cụ thể. Có thể thêm tên mới, TTL (Time to Live, thời gian tự động tải lại bản ghi), Points to (trỏ tới IP nào).

  • CNAME record Là bản ghi đóng vai trò như đặt một hoặc nhiều tên khác cho tên miền chính, có thể tạo một tên mới, trỏ tới tên gốc là gì, đặt TTL.

  • MX record MX record là một bản ghi chỉ định server nào quản lý các dịch vụ email của tên miền đó. Có thể trỏ tên miền tới mail server, đặt mức độ ưu tiên (priority), đặt TTL.

  • TXT record Là record chứa các thông tin dạng text (văn bản) của tên miền, có thể thêm Host mới, Giá trị TXT, TTL (Time to Live), Points to.

  • AAAA record Cũng là A record, nhưng dùng để trỏ domain tới một địa chỉ IPV6 address. Có thể thêm host mới, IPv6, TTL.

  • NS record Là DNS server records của tên miền giúp bạn chỉ định nameserver cho từng tên miền phụ, có thể tạo host mới, tên nameserver (NS), TTL (Time to Live).

  • SRV record Là bản ghi đặc biệt trong Domain Name System dùng để xác định chính xác dịch vụ nào chạy port nào, tại đây có thể thêm Priority, Name, Weight, Port, Points to, TTL.

Types of DNS Attacks

DNS Spoofing

DNS spoofing (DNS cache poisoning), là kiểu tấn công liên quan thao túng DNS server’s cache để điều hướng lưu lượng từ website hợp pháp một trang web giả mạo. Threat actor gửi phản hồi DNS giả mạo đến máy chủ DNS, lừa máy chủ DNS lưu trữ địa chỉ IP sai cho một tên miền xác thực. Khi người dùng cố gắng truy cập trang web xác thực, lưu lượng truy cập của họ sẽ được chuyển hướng đến trang web giả mạo được tạo tương tự web gốc. Sau đó, attacker có thể đánh cắp thông tin nhạy cảm từ người dùng, bao gồm thông tin nhận dạng cá nhân, thông tin đăng nhập, số thẻ tín dụng,...

DNS Amplification

Là một kiểu tấn công DDoS liên quan đến việc khai thác các DNS resolver mở để làm ngập máy chủ mục tiêu bằng lưu lượng truy cập. Kẻ tấn công gửi truy vấn DNS đến resolver sử dụng địa chỉ IP giả mạo. Sau đó, resolver sẽ gửi phản hồi lớn hơn nhiều so với truy vấn ban đầu. Khi kẻ tấn công sử dụng nhiều resolver mở và địa chỉ IP giả mạo, chúng có thể làm quá tải máy chủ mục tiêu bằng lưu lượng truy cập để người dùng hợp pháp không thể truy cập được.

DNS Tunneling

Loại tấn công liên quan đến việc sử dụng giao thức DNS để vượt qua tường lửa và trích xuất dữ liệu từ mạng bị xâm phạm. Attacker gửi các gói dữ liệu được ngụy trang dưới dạng truy vấn DNS đến máy chủ từ xa, sau đó máy chủ này gửi dữ liệu trở lại cho attacker dưới dạng phản hồi DNS. Điều này cho phép Attacker vượt qua tường lửa, thường cho phép lưu lượng DNS đia qua và trích xuất dữ liệu nhạy cảm từ mạng bị xâm phạm

DNS Hijacking

Loại tấn công liên quan đến việc cố ý giành quyền kiểm soát tên miền. Attacker thực hiện điều này bằng cách đánh cắp thông tin đăng nhập của chủ sở hữu hoặc khai thác lỗ hổng trong hệ thống của đơn vị đăng ký tên miền. Khi giành được quyền kiểm soát tên miền, chún có thể chuyển hướng lưu lượng truy cập đến một trang web giả mạo, đánh cặp thông tin nhạy cảm hoặc sử dụng tên miền để khởi chạy các loại tấn công khác

DNS Reflection

Loại tấn công liên quan đến việc khai thác giao thức DNS để khuếch đại các cuộc tấn công DDoS. Attacker gửi một truy vấn DNS đến một máy chủ có resolver mở, sử dụng địa chỉ IP giả mạo làm nguồn. Sau đó, máy chủ gửi phản hồi đến máy chủ đích, lớn hơn nhiều so với truy vấn gốc. Bằng cách sử dụng một số lượng lớn resolver mở và địa chỉ IP giả mạo, attacker có thể làm quá tải máy chủ đích bằng lưu lượng truy cập, khiến máy chủ đích không khả dụng đối với người dùng hợp pháp

DNS Attacks Using Domain Generation Algorithm (DGA)

Một máy tính bị nhiễm malware có chứa DGA có thể tạo ra hàng nghìn tên miền và cố gắng liên hệ với chúng mỗi ngày với mục đích nhận bản cập nhật hoặc lệnh

Một CSPM hiệu quả sẽ giám sát các DNS query và kết hợp các kỹ thuật học máy tiên tiến để phát hiện các hoạt động yêu cầu tên miền DGA đáng ngờ. CSPM sẽ cảnh báo các nhóm bảo mật khi nhiều truy vấn tên miền có khả năng giống DGA đã được thực hiện bởi một tài nguyên trong môi trường đám mây

Cryptojacking

Hoạt động yêu cầu tên miền khai thác tiền điện tử liên quan đến việc tạo ra lưu lượng mạng thông qua phần mềm được thiết kế để khai thác tiền điện tử (Bitcoin, Ethereum,..) Phần mềm khai thác đưa ra yêu cầu đến tên miền lưu trữ mã khai thác và thực thi mã trên máy của thợ đào, cho phép nó đóng góp sức mạnh tính toán vào mạng lưới tiền điện tử. Cryptojacking đã tăng 300% trong những năm gần đây, theo giá trị tăng của tiền điện tử và thu hút những kẻ xấu tìm kiếm lợi nhuận tài chính.

DNS Rebinding Attacks

Các cuộc tấn công DNS rebinding có thể cho phép attacker bỏ qua các biện pháp kiểm soát bảo mật mạng và truy cập vào các tài nguyên nhạy cảm. Các cuộc tấn công này hoạt động bằng cách khai thác cách trình duyệt web xử lý origin policy, được thiết kế để ngăn chặn các tập lệnh bắt nguồn từ một miền truy cập vào các tài nguyên tên miền khác.

Trong một cuộc tấn công DNS rebinding, kẻ tấn công kiểm soát một name resolver và một trang web lưu trữ một tập lệnh độc hại. Khi người dùng hoặc dịch vụ truy cập trang web của attacker bằng trình duyệt có khả năng thực thi tập lệnh độc hại, attacker sẽ lừa trình duyệt giữ kết nối để buộc DNS cache của trình duyệt hết hạn, tạo cơ hội để thay đổi DNS record cho phép trỏ đến mạng cục bộ của nạn nhân. Với sự gia tăng trong việc sử dụng các trình duyệt không giao diện để thu thập dữ liệu web, phân tích web và thử nghiệm tự động các ứng dụng web, việc phát hiện các cuộc tấn công này trong môi trường đám mây hiện là một phần không thể thiếu của bảo mật đám mây

Các biện pháp bảo mật DNS

  • Triển khai DNSSEC: Sử dụng DNSSEC (phần mở rộng bảo mật DNS) để thêm chữ ký số vào bản ghi DNS, giúp cung cấp cơ chế xác minh tính xác thực của phản hồi DNS và ngăn chặn các cuộc tấn công đầu độc bộ đệm DNS.

  • Yêu cầu xác thực đa yếu tố: Ngăn chặn truy cập trái phép bằng cách yêu cầu xác thực đa yếu tố để truy cập vào cài đặt DNS.

  • Phân đoạn mạng: Hạn chế tác động của cuộc tấn công DNS bằng cách cô lập các hệ thống quan trọng khỏi các hệ thống ít quan trọng hơn.

  • Cập nhật và vá lỗi hệ thống thường xuyên: Cập nhật và vá lỗi hệ thống để ngăn chặn kẻ tấn công khai thác lỗ hổng.

Thuật toán tạo tên miền (DGA) tạo ra tên miền dựa trên dynamic seed và thuật toán cho mục đích command and control (C2). Sử dụng kỹ thuật này, attacker đăng ksy tên miền trông ngẫu nhiên (ví dụ: ) để nạn nhân của chúng “gặp gỡ” (rendezvous) với mạng của kẻ tấn công. Số lượng lớn các điểm hẹn tiềm năng được tạo ra khiến mạng của attacker có khả năng chống lại detection và block list. Hơn nữa, việc sử dụng mật mã khóa công khai được mã hóa vào phần mềm độc hại khiến cơ quan thực thi pháp luật không thể làm giả lệnh từ malware controller, vì worm thường từ chối các bản cập nhật chưa được ký.

Giải pháp:

Giải pháp: Sử dụng và , một vài giải pháp CSPM được trang bị để phát hiện dấu vết hoạt động khai thác tiền điện tử còn sót lạ trên DNS logs

Sử dụng tường lửa DNS: Ngăn người dùng truy cập vào các trang web độc hại có thể lây nhiễm máy tính của họ và mạng của tổ chức bằng .

Giám sát lưu lượng DNS: , chẳng hạn như lưu lượng tăng đột biến hoặc mẫu truy vấn bất thường, có thể thông báo cho nhóm bảo mật để triển khai biện pháp giảm thiểu và ngăn chặn mối đe dọa DNS.

References:

www.com
Cloud security posture management (CSPM)
audit event logs
network flow logs
tường lửa DNS
Giám sát lưu lượng DNS để phát hiện hoạt động đáng ngờ
https://www.hostinger.vn/huong-dan/dns-la-gi
https://book.hacktricks.xyz/network-services-pentesting/pentesting-dns
https://www.paloaltonetworks.com/cyberpedia/what-is-a-dns-attack