Sinkhole là gì

     
Home » Tài Liệu chuyên môn » DNS Sinkhole là gì? lý do nên thực hiện kỹ thuật DNS Sinkhole?

*
*
*
*
Có quá nhiều công dụng khi sử dụng DNS sinkhole nội bộ như không quá tốn kém, rất có thể mở rộng, dễ gia hạn hiệu quả. Nó cũng cung cấp những tác dụng hấp dẫn khi so sánh với các DNS sinkhole thương mại hoặc dưa bên trên cloud.Một số dịch vụ DNS miễn phí bao gồm Norton DNS Beta, ClearCloud và OpenDNS bên dưới dạng tính phí.DNS sinkhole được mô tả trong bài này sử dụng open source và hoàn toàn có thể vận hành bên trên hầu như bất kỳ nền tảng phần cứng như thế nào với ngân sách chi tiêu vốn tối tiểu.Bảo trì liên tục bao hàm xử lý các bạn dạng cập nhật tự động từ một hoặc những danh sách xuất hiện source gồm những host hoặc domain độc hại.Việc áp dụng danh sách trọn vẹn miễn phí. Các date source cũng được bổ sung cập nhật thường xuyên. List cũng rất có thể được xem tổng thể và sửa đổi nếu cầnAdmin rất có thể sử dụng list để xác minh coi host hoặc domain có bị chặn mà không đề nghị thử nghiệm tốt không.Các tổ chức rất có thể dễ dàng tích hợp những sinkhole ‘closed-source’ của riêng biệt họ cho các host hoặc domain. Khả năng cấu hình thiết lập dữ liệu này là một trong những điểm khác hoàn toàn đáng kể so với các dịch vụ yêu quý mại.

Bạn đang xem: Sinkhole là gì

Chức năng và hạn chế DNS Sinkhole

Chức năng

DNS sinkhole bao gồm một bộ chức năng chính cho những trường hợp để sử dụng:

Chặn download xuống theo Drive

DNS sinkhole chuyển hướng visitor vào một website vừa lòng pháp mà tin tặc đã bí mật chèn link độc hại. Links này buộc người sử dụng phải cài đặt xuống và xúc tiến code ô nhiễm mà họ không thể hay biết.

Chặn C&C server

Khi bạn dùng cố gắng kết nối với C&C server, liên kết giới thiệu rất có thể xuất hiện, cho biết thêm kết nối thẳng với domain. Đây là một trong indicator tốt cho thấy thêm người dùng hiện nay đang bị xâm phạm cùng bot đang cố gắng liên hệ cùng với bộ điều khiển và tinh chỉnh để thêm các lệnh độc hại.

Hạn chế

Vậy tinh giảm của DNS sinkhole là gì?

Phần mềm ô nhiễm và độc hại sẽ yêu thương cầu sử dụng DNS vps của tổ chức. Phần mềm ô nhiễm có DNS server và địa chỉ IP được mã hóa nên không thể phát hiện tại nó bằng DNS sinkhole. điểm yếu này rất có thể được bớt thiểu bằng phương pháp sử dụng firewall perimeter được thông số kỹ thuật để chặn toàn bộ các DNS query được giữ hộ đi bởi người thay vày DNS vps của tổ chức.

DNS sinkhole chẳng thể ngăn phần mềm ô nhiễm đã được vận hành. Phần mềm ô nhiễm và độc hại cũng có thể lây lan quý phái các máy vi tính khác. Ko kể ra, bằng phương pháp sử dụng DNS sinkhole, phần mềm ô nhiễm không thể bị xóa sổ máy bị nhiễm.

DNS sinkhole sẽ tiến hành input với những indicator của phần mềm ô nhiễm và độc hại và những indicator này yêu cầu được đối chiếu trước. Quanh đó ra, IP ô nhiễm được thu thập từ các mở cửa source và gửi vào DNS sinkhole hoàn toàn có thể là tin tức sai. Những nguồn có thể chứa một URL không bất lợi và cho nên nó vẫn dẫn mang lại hạn không ý muốn muốn đối với các website phù hợp pháp.

DNS sinkhole đề xuất được tách bóc biệt cùng với mạng bên ngoài. Điều này tạo nên kẻ tấn công không thể được thông báo vì lưu lượt truy cập C&C của họ đã biết thành giảm thiểu. Còn nếu không thì hacker sẽ thao túng các entry trong DNS sinkhole và sử dụng nó cho mục đích xấu.

DNS record bắt buộc được thực thi với tim-to-live (TTL) với giá trị ngắn. Ví như không, fan dung rất có thể lưu vào bộ nhớ lưu trữ cache cũ vào một khoản thời gian dài hơn.

Lý vì chưng nên thực hiện DNS Sinkhole là gì?

Chúng ta đã tìm hiểu về có mang của DNS Sinkhole là gì, hẳn cũng sẽ có khá nhiều người vướng mắc lí do vì sao nên áp dụng cơ chế này. Câu trả lời có tức thì ở bên dưới!

Khi lưu lượt truy vấn vào sinkhole, những nhà nghiên cứu rất có thể biết máy vi tính nào rất có thể bị nhiễm cùng sẽ thông báo cho người dùng. Không chỉ là vậy, vấn đề xem cách máy móc tiếp xúc với domain name độc hại có thể chấp nhận được các nhà nghiên cứu tạo ra giải pháp phòng thủ chống lại các tấn công đó.

Sau đó, họ gồm thể share thông tin tình báo thu phải chăng được. Điều này vô hiệu hóa một cách kết quả các tấn công.

Vì nguyên nhân này, những white hat sinkhole IP là một trong những công cụ có ích cho bình yên mạng. Với tài liệu quý giá bán có bên phía trong chúng, những nhà nghiên cứu rất có thể phát hiện ra ứng dụng dộc hại tiềm ẩn, bảo vệ mạng của mình và góp phần vào sự bình an của Internet.

Cách ban đầu sử dụng DNS Sinkhole

Mặc dù DNS sinkhole cho những nền tảng hiếm hoi có thể được xây dựng bằng phương pháp sử dụng một tệp máy chủ lưu trữ 1-1 giản, nhưng vấn đề này chỉ cân xứng với một trong những lượng nhỏ máy công ty lưu trữ.

Xem thêm: Giải Đáp Ẩn Số “ Pros Là Gì ? Tại Timviec365 Những Điều Cần Biết Về Pros And Cons

Để nó có hiệu quả, một danh sách những tên miền ô nhiễm và độc hại phải được duy trì và update thường xuyên.Việc gia hạn liên tục yêu mong xem xét và xử trí các bạn dạng cập nhật tự động từ list nguồn mở DNS sinkhole miễn phí tổn hoặc danh sách thương mại có trả phí.

Quản trị viên hoàn toàn có thể sử dụng các danh sách này để xác minh máy chủ hoặc miền nào sẽ ảnh hưởng chặn, ngay cả khi không thực hiện kiểm tra hoạt động.Các tổ chức cũng rất có thể tích hợp các mục nhập lỗ chìm mã nguồn đóng góp của riêng biệt họ cho những máy nhà hoặc miền, tạo danh sách tùy chỉnh.

Một để ý cuối cùng: DNS sinkhole bắt buộc được giải pháp ly với mạng bên ngoài.Nếu không, gần như kẻ tấn công có thể thao túng những mục nhập và sử dụng chúng cho các mục đích xấu.Sẽ không tồn tại vấn đề gì khi có một miền trong danh sách chặn, chỉ khi chủ tải của miền kia vào cùng xóa nó khỏi danh sách.

Ví dụ các trường hợp sử dụng DNS Sinkhole

Sử dụng DNS Sinkhole ngăn ngừa CrytoLocker

Các DNS sinkhole được sử dụng trong một số trong những trường hòa hợp để bớt thiểu các chiến dịch phần mềm độc hại khác nhau.Nó gồm thể chuyển động như một công cụ chủ yếu để loại trừ sự lây lan của các vectơ lây truyền phần mềm ô nhiễm và cũng hoàn toàn có thể được áp dụng để phá vỡ liên kết C&C.

Một trong những tình huống mà lại DNS sinkhole được sử dụng là lúc phần mềm ô nhiễm và độc hại nổi giờ đồng hồ CryptoLocker bị truyền nhiễm trong từ bỏ nhiên.CryptoLocker là phần mềm tống chi phí hoạt động bằng cách mã hóa các tệp của người tiêu dùng bằng một khóa được sản xuất ngẫu nhiên.Sau đó, nó đã gửi khóa lời giải đến máy chủ C&C và trong trường vừa lòng thông thường, máy chủ C&C có tên hoặc IP cố định và thắt chặt sẽ sớm bị cơ quan tính năng đóng cửa.

Để xung khắc phục vụ việc này, CryptoLocker sử dụng tên miền tự nhiên của sổ đk C&C với phần trăm khá cao.Tên miền được tạo bằng thuật toán giả bất chợt mà phần mềm ô nhiễm và độc hại biết.Khi CryptoLocker triển khai trên laptop của nàn nhân, nó sẽ kết nối với một trong những tên miền để liên hệ với C&C.

Trong trường thích hợp này, phần mềm ô nhiễm và độc hại biết thuật toán chế tạo tên miền và thông qua kỹ thuật hòn đảo ngược mã, nó rất có thể dự đoán trước các tên miền.Kaspersky đã “đánh chìm” cha tên miền trong các các tên miền này trong bố ngày.Với cha tên miền của họ, khoảng chừng 1/1000 nàn nhân của CryptoLocker đã có cứu cùng họ hoàn toàn có thể thu thập số liệu thống kê về sự việc lây lây lan từ khắp nơi trên gắng giới.

Cuộc tấn công ransomware WannaCry 2017

Một ví dụ lừng danh khác về những tiện ích đôi lúc đáng kinh ngạc của sinkhole làcuộc tấn công ransomware WannaCry năm 2017.Được cho rằng cónguồn cội từ Bắc Triều Tiên, đây là một một trong những thảm họa man rợ nhất vào thập kỷ.WannaCry đã có tác dụng tê liệt 200.000 máy vi tính tại hơn 150 quốc gia.

Nhà nghiên cứuMarcus Hutchins đãtìm thấy một miền chưa đăng ký trong code của phần mềm độc hại.Anh ấy đã đk nó để tạo một DNS sinkhole để hoàn toàn có thể thu thập thêm dữ liệu.Khi có tác dụng như vậy, anh ta đã vô tình kích hoạt một công tắc tàn phá giúp làm lừ đừ đáng kể khả năng lây lan thêm của ứng dụng độc hại, góp các chuyên gia có thời gian can thiệp.

Lời kết

DNS đã từng có lần được coi là mục tiêu của kẻ tấn công.Tuy nhiên, nó cũng có thể là một phần chủ động của một chiến lược phòng thủ bao gồm chiều sâu tốt.Khái niệmprotective DNSkhẳng định rằng vấn đề tận dụng DNS để bảo đảm mạng của người sử dụng khỏi các tai hại là cực kỳ quan trọng.

Xem thêm: Standard Operating Procedure Là Gì ? Tìm Hiểu Về Quy Trình Thao Tác Chuẩn 2020

Chắc chắn, DNS sinkhole là 1 trong những kỹ thuật có lợi và khả thi để chống chặn ứng dụng độc hại.Nhưng kỹ năng hiển thị và kiểm soát tổng thể cũng tương đối quan trọng so với tình trạng bảo mật của người tiêu dùng và để ngăn chặn bất kỳcuộc tấn công DNS nào.Trong trường thích hợp của WannaCry, một doanh nghiệp rất có thể đã sử dụng cácphương pháp hay độc nhất về bảo mật DNSchínhđể ngăn ngừa nó.

Phía trên là thông tin về DNK Sinkhole là gì cơ mà giaynamdavinci.com vẫn tổng hợp. Cảm ơn các bạn đã đọc bài!