Malware (phần mềm độc hại) đã trở thành nỗi ám ảnh của người dùng máy tính hiện nay, với hàng loạt nguy cơ tiềm ẩn như làm chậm kết nối, chuyển hướng website, gây lỗi máy, mất thông tin,… Ngoài việc sử dụng máy tính một cách cẩn thận và cảnh giác với những đường link hoặc phần mềm lạ, bạn cũng có thể phòng chống malware bằng DNS sinkhole.
DNS sinkhole là gì?
Trên internet, các máy tính tương tác với nhau bằng các định danh số, hay còn gọi là địa chỉ IP (chẳng hạn 8.8.8.8 là địa chỉ IP của Google). Tuy nhiên, các con số IP này không hề trực quan và dễ nhớ. Con người thường nhớ các tên miền bằng chữ, chẳng hạn google.com. Khi ấy, chúng ta cần các cơ chế kết nối tên miền bằng chữ và địa chỉ IP bằng số. Đó là lý do DNS ra đời.
DNS (Domain Name Service – Hệ thống Phân giải Tên miền) là một giao thức trong bộ giao thức TCP/IP – bộ tiêu chuẩn trong trao đổi dữ liệu. Dịch vụ này quản lý kho dữ liệu kết nối tên miền con người có thể đọc được đến địa chỉ IP. Có thể tưởng tượng DNS giống như một cuốn danh bạ, còn địa chỉ IP là các số điện thoại.
DNS sinkhole là cơ chế bảo vệ người dùng ngăn chặn các kết nối đến những tên miền hoặc các đường link độc hại. Chúng đưa ra các phân giải DNS sai hoặc chuyển hướng người dùng đến các tài nguyên khác thay vì dẫn đến các đường link độc hại. Người ta thường sử dụng DNS Sinkhole để chiếm quyền kiểm soát các botnets điều khiển malware bằng cách làm gián đoạn tên DNS của các botnets này.
(Botnets là một nhóm những máy tính kết nối Internet, thực hiện các nhiệm vụ được phân công để hoàn thành những mục tiêu nào đấy, thông thường là phát tán các phần mềm độc hại)
Tại sao cần cài đặt DNS sinkhole?
Tài nguyên các doanh nghiệp sử dụng để triển khai và duy trì bảo mật nội bộ không hề phong phú, trong khi các phần mềm phổ biến trong công việc như Microsoft Office hay Adobe Reader rất dễ bị tấn công. Khi ấy, đối tượng chịu nhiều thiệt hại nhất chính là doanh nghiệp.
Các botnets rất thành thạo trong việc luồn lách qua các cửa bảo mật mạng của các doanh nghiệp bằng những kỹ thuật như thay đổi địa chỉ IP để tránh bị chặn. Lúc này, DNS sinkhole sẽ là một giải pháp cục bộ khá ổn định, vì nó có thể tự chặn tên miền được mã hóa vào các malware.
Ngoài ra, DNS Sinkhole còn có nhiều lợi ích như chi phí dễ chịu, tính ổn định cao, dễ hoạt động và hiệu quả ổn định.
DNS sinkhole hoạt động như thế nào?
DNS sinkhole hoạt động dựa trên danh sách nguồn mở của các trang malware đã được biết đến. Các danh sách liên tục được cập nhật bởi cộng đồng an ninh mạng, do đó quản trị viên không cần bỏ ra quá nhiều công sức.
Một hệ thống DNS sinkhole cơ bản bao gồm 4 thành phần: DNS server, hệ điều hành Linux với Berkeley Internet Name Domain (BIND) để chuyển các tên miền sang địa chỉ IP, danh cách các máy chủ phát tán malware, và tệp lệnh cấu hình và nâng cấp.
Ở mức độ cơ bản, khi máy tính khách truy cập bằng DNS sinkhole server, nếu phát hiện máy chủ khả nghi/độc hại, server sẽ chặn yêu cầu và đưa máy tính khách về lại localhost.
Chính vì vậy, các hệ thống DNS sinkhole nâng cao được ưa chuộng hơn, vì chúng tích hợp thêm cơ chế cảnh báo ngay lập tức và báo cáo định kỳ. Khi ấy, đội ngũ NQ News có thể làm những phân tích các cuộc tấn công và thực hiện nhiều biện pháp bảo mật để đối phó.
DNS sinkhole có hạn chế gì?
DNS sinkhole không thể tiêu diệt các malware và ngăn chặn chúng lan truyền qua các thiết bị khác. Đồng thời, chúng cũng không có khả năng dự đoán hoạt động của các malware trước khi tấn công. Ngoài ra, các hệ thống DNS sinkhole cần được theo dõi và kiểm soát chất lượng thường xuyên.
Hy vọng những thông tin trên đây giúp bạn có cái nhìn tổng quan về DNS sinkhole cũng như những lợi ích của nó trong việc phòng chống phát tán malware. Với các ưu thế của mình, DNS sinkhole xứng đáng để bạn cân nhắc trong việc bảo mật hệ thống mạng.
Tham khảo resources.infosecinstitute.com & www.enisa.europa.eu
>> Có thể bạn quan tâm: Hãy coi chừng 7 dấu hiệu sau đây cho thấy máy tính bạn bị nhiễm malware
