Bỏ qua để tới nội dung chính
Hỗ trợ
Đăng nhập
Đăng nhập với Microsoft
Đăng nhập hoặc tạo một tài khoản.
Xin chào,
Chọn một tài khoản khác.
Bạn có nhiều tài khoản
Chọn tài khoản bạn muốn đăng nhập.

Tóm tắt

Tưởng

Vào ngày 19 tháng 5, 2020, Microsoft đã phát hành tư vấn bảo mật ADV200009. Tư vấn này mô tả một cuộc tấn công khuếch đại DNS đã được các nhà nghiên cứu Israel xác định. Cuộc tấn công, được gọi là NXNSAttack, có thể nhắm đến bất kỳ máy chủ DNS nào, bao gồm Microsoft DNS và máy chủ BIND được ủy quyền cho một vùng DNS.

Đối với các máy chủ DNS nằm trên Intranets của công ty, Microsoft Rates tỷ lệ nguy cơ khai thác này là thấp. Tuy nhiên, các máy chủ DNS nằm trên các mạng Edge sẽ dễ bị xâm phạm đến NXNSAttack. Máy chủ DNS 2016 của Windows Server vốn nằm trên các mạng cạnh phải được nâng cấp lên Windows Server 2016 hoặc các phiên bản sau này hỗ trợ giới hạn tỷ lệ phản hồi (RRL). RRL giảm hiệu ứng khuếch đại khi truy vấn DNS của trình giải quyết mục tiêu truy vấn máy chủ DNS của bạn.  

Triệu chứng

Khi thực hiện cuộc tấn công khuếch đại DNS, bạn có thể quan sát một hoặc nhiều triệu chứng sau đây trên máy chủ bị ảnh hưởng:

  • Mức sử dụng CPU cho DNS được nâng lên.

  • Phản hồi DNS thời gian tăng và phản hồi có thể dừng.

  • Một số lượng không mong muốn của phản hồi NXDOMAIN sẽ được tạo bởi máy chủ xác thực của bạn.

Tổng quan về tấn công

Máy chủ DNS luôn bị tổn thương đến một mảng các cuộc tấn công. Vì lý do này, máy chủ DNS thường được đặt ở phía sau các cân bằng tải và tường lửa trong DMZ.

Để khai thác lỗ hổng này, kẻ tấn công sẽ phải có nhiều máy khách DNS. Thông thường, điều này sẽ bao gồm một botnet, quyền truy nhập vào hàng chục hoặc hàng trăm bộ giải quyết DNS có khả năng thực hiện cuộc tấn công và dịch vụ máy chủ chuyên ngành DNS.

Chìa khóa cho cuộc tấn công là máy chủ DNS có thiết kế đặc biệt được xây dựng được ủy quyền cho tên miền mà kẻ tấn công sở hữu. Đối với cuộc tấn công sẽ thành công, bộ giải quyết DNS phải biết cách tiếp cận tên miền của kẻ tấn công và máy chủ DNS. Tổ hợp này có thể tạo ra nhiều liên lạc giữa bộ giải mã đệ quy và máy chủ DNS của nạn nhân. Kết quả là một cuộc tấn công DDoS.

Lỗ hổng đối với MS DNS trên Intranets của công ty

Nội bộ, tên miền riêng tư không được giải quyết thông qua các gợi ý gốc và máy chủ DNS tên miền cấp cao nhất. Khi bạn làm theo các cách thực hành tốt nhất, máy chủ DNS được ủy quyền cho các tên miền nội bộ riêng tư, chẳng hạn như các miền Active Directory, không thể truy cập được từ Internet.

Mặc dù NXNSAttack của một tên miền nội bộ từ mạng nội bộ có thể là kỹ thuật, nó sẽ yêu cầu một người dùng độc hại trên mạng nội bộ có quyền truy nhập mức quản trị viên để cấu hình máy chủ DNS nội bộ để trỏ tới máy chủ DNS trong tên miền kẻ tấn công. Người dùng này cũng phải có khả năng tạo một vùng độc hại trên mạng và đặt máy chủ DNS đặc biệt có khả năng thực hiện các NXNSAttack trên mạng công ty. Người dùng có mức truy nhập này thường sẽ ủng hộ tàng hình thông báo về sự hiện diện của họ bằng cách bắt đầu một cuộc tấn công DDoS DNS có thể nhìn thấy được.  

Lỗ hổng đối với MS DNS Edge

Trình giải quyết DNS trên Internet sử dụng các gợi ý gốc và tên miền cấp cao nhất (TLD) để giải quyết các tên miền DNS không xác định. Kẻ tấn công có thể sử dụng hệ thống DNS công cộng này để sử dụng bất kỳ bộ giải mã DNS nào trên Internet để thử khuếch đại NXNSAttack. Sau khi phát hiện véc-tơ khuếch đại, nó có thể được dùng như một phần của cuộc tấn công từ chối dịch vụ (DDoS) đối với bất kỳ máy chủ DNS nào lưu trữ tên miền DNS công cộng (miền nạn nhân).

Một máy chủ DNS cạnh hoạt động như một trình giải quyết hoặc chuyển tiếp có thể được dùng làm véc-tơ khuếch đại cho cuộc tấn công nếu các truy vấn DNS đến không mong muốn có nguồn gốc từ Internet được phép. Truy nhập công cộng cho phép máy khách DNS độc hại sử dụng bộ giải quyết như là một phần của cuộc tấn công khuếch đại tổng thể.

Máy chủ DNS có thẩm quyền cho các tên miền công cộng phải cho phép lưu lượng truy nhập DNS đến không mong muốn từ bộ giải quyết đang thực hiện tra cứu từ các gợi ý gốc và cơ sở hạ tầng DNS của TLD. Nếu không, hãy truy nhập tên miền không thành công. Điều này khiến tất cả các máy chủ DNS có thẩm quyền tên miền công cộng đều có thể là nạn nhân của NXNSAttack. Các máy chủ Microsoft DNS Edge sẽ chạy Windows Server 2016 hoặc phiên bản mới hơn để thu được hỗ trợ RRL.

Giải pháp

Để giải quyết vấn đề này, hãy sử dụng phương pháp sau đây cho kiểu máy chủ thích hợp.

Đối với các máy chủ MS DNS trên mạng nội bộ

Nguy cơ khai thác này thấp. Giám sát các máy chủ DNS nội bộ cho giao thông khác thường. Tắt tính năng Nxnskẻ tấn công nội bộ trên mạng nội bộ của công ty bạn khi chúng được phát hiện.

Đối với các máy chủ DNS có thẩm quyền Edge

Bật RRL được hỗ trợ bởi Windows Server 2016 và các phiên bản mới hơn của Microsoft DNS. Sử dụng RRL trên bộ giải quyết DNS thu nhỏ tối đa hóa các cuộc tấn công ban đầu. Việc sử dụng RRL trên máy chủ DNS có thẩm quyền tên miền công cộng sẽ làm giảm mọi khuếch đại được phản ánh trở lại trình giải quyết DNS. Theo mặc định,RRL bị vô hiệu hóa. Để biết thêm thông tin về RRL, hãy xem các bài viết sau đây:

Chạy lệnh ghép ngắn PowerShell settnsserverresponseratehạn chếđể bật RRL bằng cách dùng các giá trị mặc định. Nếu bật RRL nguyên nhân các truy vấn DNS hợp lệ để không thành công vì chúng đang bị Throttled quá chặt chẽ, thì tăng giá trị cho phản hồi/giâylỗi/ tham số SEC chỉ cho đến khi máy chủ DNS phản hồi với truy vấn không thành công trước đó. Các tham số khác cũng có thể giúp người quản trị quản lý các thiết đặt RRL hơn. Các thiết đặt này bao gồm các ngoại lệ RRL.

Để biết thêm thông tin, hãy xem bài viết sau đây của Microsoft Documents:  

Ghi nhật ký và chẩn đoán DNS

Câu hỏi thường gặp

Q1: liệu giảm nhẹ được tóm tắt ở đây áp dụng cho tất cả các phiên bản của Windows Server?

A1: Không. Thông tin này không áp dụng cho Windows Server 2012 hoặc 2012 R2. Các phiên bản kế thừa của Windows Server không hỗ trợ tính năng RRL giúp giảm hiệu ứng khuếch đại khi truy vấn DNS của trình giải quyết mục tiêu truy vấn máy chủ DNS của bạn.

Q2: khách hàng nên làm gì nếu chúng có máy chủ DNS nằm trên các mạng Edge đang chạy Windows Server 2012 hoặc Windows Server 2012 R2?

A2: Máy chủ DNS nằm trên các mạng Edge đang chạy Windows Server 2012 hoặc Windows Server 2012 R2 sẽ được nâng cấp lên Windows Server 2016 hoặc các phiên bản sau này có hỗ trợ RRL. RRL giảm hiệu ứng khuếch đại khi truy vấn DNS của trình giải quyết mục tiêu truy vấn máy chủ DNS của bạn.

Q3: làm thế nào tôi có thể xác định xem liệu các truy vấn DNS chính đáng không được thực hiện không?

A3: Nếu RRL được cấu hình sang chế độ LogOnly , máy chủ DNS sẽ thực hiện tất cả các phép tính RRL. Tuy nhiên, thay vì việc thực hiện các hành động phòng ngừa (chẳng hạn như thả hoặc cắt xén phản hồi), máy chủ thay vì Nhật ký các hành động tiềm năng như nếu RRL đã được bật, rồi tiếp tục cung cấp phản hồi thông thường.

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá Cộng đồng

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.

Hỏi Cộng đồng Microsoft

Cộng đồng Kỹ thuật Microsoft

Người dùng Nội bộ Windows

Người dùng nội bộ Microsoft 365

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?
Khi nhấn gửi, phản hồi của bạn sẽ được sử dụng để cải thiện các sản phẩm và dịch vụ của Microsoft. Người quản trị CNTT của bạn sẽ có thể thu thập dữ liệu này. Điều khoản về quyền riêng tư.

Cảm ơn phản hồi của bạn!

×