DNS Sinkhole là gì? Phát hiện botnet áp dụng kỹ thuật DNS Sinkhole ra sao? Cách hoạt động vui chơi của kỹ thuật DNS Sinkhole ra sao? nội dung bài viết sau đây movingthenationforward.com giải đáp giúp bạn các thắc mắc trên nhé!

1. DNS Sinkhole là gì?


*

DNS Sinkhole là gì?


DNS Sinkholing (Hay nói một cách khác là sinkhole server, mạng internet sinkhole, or Blackhole DNS) là một trong những DNS server, là một cơ chế nhằm bảo đảm an toàn người dùng bằng phương pháp chặn yêu cầu DNS cố gắng kết nối với các tên miền ô nhiễm hoặc không hề muốn đã biết và trả về một địa chỉ IP không nên hoặc được kiểm soát. Địa chỉ IP được kiểm soát trỏ mang lại một sever lỗ hổng được xác minh bởi cai quản trị viên lỗ hổng DNS.

Bạn đang xem: Sinkhole là gì

Kỹ thuật này có thể được áp dụng để ngăn chặn những máy chủ liên kết hoặc liên lạc với các điểm đến lựa chọn độc hại đã biết như máy chủ C & C botnet (liên kết đến Infonote). Máy chủ của Holehole rất có thể được áp dụng để tích lũy nhật ký kết sự kiện, nhưng trong những trường hòa hợp như vậy, quản lí trị viên của Holehole phải bảo đảm rằng tất cả việc ghi nhật cam kết được triển khai trong phạm vi pháp lý của họ cùng không vi phạm luật quyền riêng biệt tư.


*

DNS Sinkholing có thể được thực hiện ở các cấp độ không giống nhau


DNS Sinkholing hoàn toàn có thể được thực hiện ở các cấp độ khác nhau. Cả ISP với Nhà đk tên miền những biết thực hiện DNS Sinkholing để giúp bảo đảm an toàn khách hàng của họ bằng phương pháp chuyển phía yêu cầu sang thương hiệu miền độc hại hoặc không muốn vào add IP được kiểm soát.

Quản trị viên hệ thống cũng đều có thể thiết lập cấu hình máy nhà lỗ hổng DNS nội bộ trong hạ tầng tổ chức của họ. Người tiêu dùng (có quyền cai quản trị) cũng rất có thể sửa đổi tệp máy chủ trên máy của mình và dấn được hiệu quả tương tự. Có không ít danh sách (cả mối cung cấp mở cùng thương mại) của các tên miền ô nhiễm và độc hại đã biết mà lại quản trị viên của lỗ hổng có thể sử dụng để điền vào DNS Sinkholing.

Bên cạnh câu hỏi ngăn chặn những kết nối độc hại, hoàn toàn có thể sử dụng Sinkholing để xác minh các sever bị xâm nhập bằng cách phân tích nhật ký Sinkholing và xác định các máy chủ đang cố gắng kết nối với các tên miền ô nhiễm đã biết.

Ví dụ: giả dụ nhật ký cho thấy một máy cụ thể liên tục nỗ lực kết nối với sever C và C, nhưng mà yêu cầu đang rất được chuyển hướng vì Sinkholing, thì rất có tác dụng máy này bị lan truyền bot.

Do những hậu trái trực tiếp của nó, Sinkholing hay được thực hiện trong các điều kiện đặc trưng bởi các bên thiết bị ba an toàn và tin cậy với sự thâm nhập của cơ quan xúc tiến pháp luật.

2. Phát hiện botnet sử dụng kỹ thuật DNS Sinkhole

1 mạng botnet gồm những nguyên tố sau đây:

Những sever C&C vày những bot master điều khiểnNhững đồ vật bị lan truyền bot (gọi tắt là bot), và các máy chủ tinh chỉnh và điều khiển gọi tắt là C&C server. 

Thông qua hầu hết giao thức như HTTP, IRC thì những bot thường contact với đông đảo C&C server. Nhưng thực tiễn những bot thời nay dùng giao thức HTTP thông dụng nhất.

Cho dù các bot sử dụng giao thức nào thì để chuyển động trên môi trường thiên nhiên Internet đều nên có add IP public tuyệt tên miền để phân giải cho 1 showroom IP nhất định.

Trong trường hợp gần như C&C server cần sử dụng những địa chỉ IP thì bài toán phát hiện sẽ rất dễ dàng. Vì bài toán này mà số đông C&C vps đã sử dụng tên miền (hay có cách gọi khác là DNS) thay do dùng showroom IP. Bên cạnh đó mà câu hỏi dùng DNS còn đem lại một số ích lợi cho phần nhiều bot master sau đây:

Trong trường thích hợp DNS bị thu hồi hay bị phát hiện thì các bot master rất có thể mua thương hiệu miền khác nỗ lực thếChỉnh sửa địa chỉ cửa hàng IP của C&C đơn giản và dễ dàng nhanh chóngTiết kiệm add IP

3. Cách hoạt động vui chơi của kỹ thuật DNS Sinkhole


*

Cách buổi giao lưu của kỹ thuật DNS Sinkhole


Để liên hệ với các C&C hệ thống :

B1: những bot gởi yêu ước phân giải tên miền (t7g5.com) cho máy chủ DNS serverB2: DNS hệ thống trả về showroom IP của sản phẩm chủ C&C serverB3: các bot liên kết tới C&C server thành công.B4: những C&C truyền lệnh cho những bot.

Và khi vận dụng kỹ thuật DNS Sinkhole thì ở những bước:

B2: DNS server vẫn trả về địa chỉ IP của máy chủ Sinkhole, thay vày trả về địa chỉ cửa hàng IP của sản phẩm chủ C&C serverB3: những bot link với máy chủ Sinkhole chũm vì kết nối tới C&C server. Ở đây, người dùng sẽ phát hiện tại ra những máy đang kết nối tới vật dụng Sinkhole- đây chính là những đồ vật bị nhiễm bot, từ bỏ đây người dùng hoàn toàn có thể thu thập và lưu ý mẫu mã độc.

Xem thêm: Bài 30 Sgk Toán 6 Tập 2 Trang 19, Bài 30 Trang 19 Sgk Toán 6 Tập 2

Một chút nhận xét về chuyên môn này:

Những tên miền độc hại trong sever DNS hệ thống cần cập nhật chính xác và cấp tốc chóngXây dựng với đầy đủ C&C server cũng giống như cách xây dựng sever Sinkhole đều 1-1 giản

4. Tế bào hình bóc gỡ Botnet/mã độc 


*

Mô hình tách gỡ Botnet/mã độc của hàn quốc Quốc


Trong mô hình trên khi một laptop người sử dụng bị nhiễm mã độc nó vẫn thực hiện:

Máy tính có khả năng sẽ bị nhiễm link với máy chủ điều khiểnMáy công ty DNS trả về địa chỉ IP của sản phẩm chủ điều khiển phù hợpMáy tính bị nhiễm phần lớn mã ô nhiễm và độc hại tìm kiếm sản phẩm chủ điều khiển để dấn lệnh update biến thể mã độc hay tiến công qua truy hỏi vấn DNSMáy chủ DNS Sinkhole của ISPMáy tính người sử dụng bị nhiễm mã độc tra cứu kiếm máy chủ điều khiển tiếp đến nhận được lệnh cập nhật hoặc tấn công biến thể mã độc qua truy vấn DNS

Bài viết bên trên movingthenationforward.com đã cung ứng những thông tin cần thiết về DNS Sinkhole. Hy vọng, những tin tức mà movingthenationforward.com cung ứng hữu ích với bạn. Trường hợp còn bất kể điều gì băn khoăn, hãy mang lại movingthenationforward.com biết thông qua phần comment bên dưới.