Nhiễm độc bộ nhớ đệm DNS (DNS cache poisoning), hay còn được gọi là giả mạo DNS, là một kiểu tấn công khai thác lỗ hổng trong hệ thống tên miền (DNS - domain name system) để chuyển hướng lưu lượng truy cập Internet từ máy chủ hợp pháp tới các máy chủ giả mạo.
Theo trang công nghệ Howtogeek, một trong những lý do khiến nhiễm độc DNS trở nên rất nguy hiểm là vì nó có thể lây lan từ máy chủ DNS này sang máy chủ DNS khác. Trong năm 2010, một sự kiện ngộ độc DNS lớn đã dẫn đến "Vạn Lý Tường Lửa" (Great Firewall) của Trung Quốc tạm thời được chuyển ra khỏi biên giới nước này, việc kiểm duyệt Internet được chuyển hướng sang Mỹ cho đến khi được sửa chữa.
DNS hoạt động như thế nào?
Nói một cách dễ hiểu thì bất cứ khi nào bạn gõ một địa chỉ trang web trên máy tính chẳng hạn như "google.com", thì việc đầu tiên là nó phải liên lạc với máy chủ DNS của mình (trong ví dụ này là máy chủ DNS của Google). Các máy chủ DNS sau đó đáp ứng với một hoặc nhiều địa chỉ IP giúp máy tính của bạn có thể truy cập vào google.com. Máy tính của bạn sau đó kết nối trực tiếp đến địa chỉ IP "số". DNS chuyển đổi qua lại địa chỉ con người có thể đọc được như "google.com" với các địa chỉ IP bằng số mà chỉ máy tính có thể đọc được như "173.194.67.102".
Bộ nhớ đệm của DNS
Internet không chỉ có duy nhất một máy chủ DNS nào đó mà là vô số, giúp cho nó trở nên hiệu quả trong việc trao đổi thông tin. Hầu hết các nhà cung cấp dịch vụ Internet của bạn chạy các máy chủ DNS của riêng mình, tuy nhiên, thông tin cũng có thể được truy xuất từ bộ nhớ cache của máy chủ DNS khác. Bộ định tuyến (router) của nhà bạn cũng đóng vai trò như một máy chủ DNS, trong đó lưu trữ thông tin từ các máy chủ DNS của nhà cung cấp dịch vụ Internet. Máy tính của bạn cũng có một bộ nhớ đệm DNS địa phương, vì vậy nó có thể nhanh chóng tham khảo tra cứu hơn là thực hiện việc đó trên một máy chủ DNS khác.
Nhiễm độc DNS Cache
Một bộ nhớ đệm DNS có thể bị nhiễm độc nếu nó chứa một mục nhập (entry) không chính xác. Ví dụ, nếu một kẻ tấn công được quyền kiểm soát một máy chủ DNS và thay đổi một số thông tin trên đó, ví dụ, địa chỉ google.com sẽ bị chuyển đến địa chỉ IP mà kẻ tấn công sở hữu trong khi người dùng không hề hay biết, khi đó máy chủ DNS sẽ khiến người dùng Google.com để tìm kiếm đi đến sai địa chỉ. Mà địa chỉ đó của kẻ tấn công thì có thể chứa một số loại trang web lừa đảo độc hại.
Sự nhiễm độc DNS như thế này hoàn toàn có thể lây lan. Ví dụ, các nhà cung cấp dịch vụ Internet khác nhau có thể nhận được thông tin DNS của họ từ các máy chủ đã bị xâm nhập, các entry DNS chứa mã độc sẽ lây lan sang các nhà cung cấp dịch vụ Internet và được lưu trữ ở đó. Sau đó nó sẽ tiếp tục lây lan sang các bộ định tuyến gia đình bạn và bộ nhớ đệm DNS địa phương trên máy tính dẫn đến việc tìm kiếm các entry DNS nhận được phản hồi không chính xác mà người dùng hoàn toàn không hề hay biết.
"Vạn Lý Tường Lửa" của Trung Quốc "bị dời" sang Mỹ
Tất cả những điều đã nêu trên đây không chỉ là một vấn đề lý thuyết. Sự thật là nó thậm chí đã xảy ra trong thế giới thực trên quy mô lớn. Vâng, chúng ta đang nói tới vụ nhiễm độc DNS quy mô lớn "Great Firewall" xảy ra cách đây 3 năm. Một trong những cách giúp Great Firewall Trung Quốc hoạt động là thực hiện chặn ở cấp DNS (DNS level). Ví dụ, một trang web bị chặn ở Trung Quốc, chẳng hạn như twitter.com, có thể có các bản ghi DNS của trang web này "trỏ" vào một địa chỉ không chính xác trên các máy chủ DNS ở Trung Quốc. Và kết quả người dùng không thể truy cập Twitter thông qua các phương tiện bình thường. Nếu muốn, Trung Quốc có thể cố ý đầu độc bộ nhớ đệm máy chủ DNS riêng của chính mình vì một mục đích nào đó.
Giải pháp
Để tìm lý do thực sự của sự nhiễm độc bộ nhớ đệm DNS là một vấn đề rất khó khăn bởi vì không có cách nào thực sự hiệu quả để xác định các danh mục DNS máy tính của bạn nhận được có hợp pháp hay đã bị giả mạo.
Một trong những giải pháp dài hạn để chống đầu độc bộ nhớ đệm DNS là DNSSEC. DNSSEC sẽ cho phép các tổ chức "ký" vào các bản ghi DNS của họ bằng cách sử dụng mật mã khóa công khai, việc này đảm bảo rằng máy tính của bạn sẽ biết liệu một bản ghi DNS nên tin tưởng hay đã bị đầu độc và chuyển hướng đến một địa chỉ không chính xác.
Theo VOZ