Tiểu luận môn Mạng máy tính - Đề tài: Dịch vụ DNS & Dịch vụ DHCP

BỘ CÔNG THƯƠNG

TRƯỜNG CAO ĐẲNG KINH TẾ ĐỐI NGOẠI

KHOA QUẢN TRỊ KINH DOANH

٭

٭٭٭٭٭٭٭٭٭٭٭٭٭

֎֎֎֎֎֎֎֎֎֎֎֎֎

MÔN MẠNG MÁY TÍNH

LỚP TIN HỌC 18

NHÓM 4

ĐỀ TÀI: DỊCH VỤ DNS &

DỊCH VỤ DHCP

GIẢNG VIÊN: HOÀNG THANH HÒA

I.

Tên miền

Mỗi thiết bị khi kết nối vào mạng Internet sẽ được gán cho một

địa chỉ IP riêng biệt không trùng lẫn với bất kỳ thiết bị nào khác trên thế

giới. Tương tự vậy với website cũng có các địa chỉ IP riêng biệt.

Tuy nhiên để nhớ được những con số trong địa chỉ IP của một

website là một việc khó khăn. Vì thế người ta đã chuyển đổi những con

số ấy thành chuỗi ký tự mang ý nghĩa, dễ nhớ cho người sử dụng. Chuỗi

ký tự ấy được gọi là tên miền (domain).

II.

Dịch vụ DNS

1. Giới thiệu

- DNS (Domain Name System), là hệ thống phân

giải tên được phát minh vào năm 1984 cho Internet,

nó cho phép thiết lập tương ứng giữa địa chỉ IP và

tên miền. DNS là một hệ thống đặt tên theo thứ tự

cho máy vi tính, dịch vụ, hoặc bất kỳ nguồn lực tham

gia vào Internet.

-Nó liên kết nhiều thông tin đa dạng với tên miền

được gán cho người tham gia.

-Quan trọng nhất, nó chuyển tên miền có ý nghĩa cho con người

vào số định danh (nhị phân), liên kết với các trang thiết bị mạng cho

các mục đích định vị và địa chỉ hóa các thiết bị khắp thế giới.

-DNS khi triển khai sẽ sử dụng hai thành phần là máy chủ DNS

(DNS server) và máy trạm DNS (DNS client).

-DNS server là một cơ sở dữ liệu chứa các thông tin về cấu trúc

hệ thống DNS và phân giải các truy vấn xuất phát từ client.

+Root name server: các máy chủ gốc đại diện cấp cao nhất của

hệ thống phân cấp DNS có chứa cơ sở sở dữ liệu đầy đủ của tên miền

và địa chỉ IP tương ứng của chúng.

+Local name server: Các máy chủ địa phương đại diện cho các

máy chủ DNS mức thấp nhất được sở hữu và duy trì bởi nhiều tổ chức

kinh doanh và các nhà cung cấp dịch vụ Internet (ISP). Các máy chủ

địa phương có thể phân giải tên miền thường được sử dụng vào các

địa chỉ IP tương ứng bộ nhớ đệm thông tin gần đây. Bộ nhớ cache này

được cập nhật và làm mới một cách thường xuyên.

2. Chức năng

Chức năng của một DNS server là dịch tên miền thành địa chỉ IP

để cho trình duyệt hiểu và truy cập được vào website.

Vì vậy khi nhập tên một website, trình duyệt sẽ đến thẳng

website mà không cần thông qua việc nhập địa chỉ IP của trang web.

3. Cấu trúc và phân loại

a.Cấu trúc

Hệ thống tên miền được sắp xếp theo cấu trúc phân cấp.

- Gốc (Domain root): Nó là đỉnh nhánh cây của tên miền. Có thể

biểu diễn đơn giản chỉ bằng dấu “.”.

- Dưới tên miền gốc có hai loại tên miền là: tên miền cấp cao dùng

chung gTLDs (generic Top Level Domains) và tên miền cấp cao

quốc gia ccTLDs (Country code Top Level Domains).

- Tên miền cấp một (Top-level-domain): Gồm vài ký tự xác định

một nước khu vực hoặc tổ chức.

- Tên miền cấp hai (Second-level-domain): Nó rất đa dạng, có thể là

tên một tổ chức, một công ty hay một cá nhân.

- Tên miền cấp nhỏ hơn (Subdomain): Chia thêm ra của tên miền

cấp hai trở xuống, thường được sử dụng như chi nhánh, phòng ban

của một cơ quan hay chủ đề nào đó.

b.Phân loại

.com: tên miền sử dụng cho các tổ chức thương mại.

.edu: tên miền sử dụng cho các tổ chức giáo dục.

.gov: tên miền sử dụng cho các tổ chức chính phủ.

.org:tên miền sử dụng cho các tổ chức phi lợi nhuận.

.net: tên miền sử dụng cho các tổ chức mạng lớn.

.mil: tên miền sử dụng cho các tổ chức quân đội.

.info: tên miền sử dụng cho các tổ chức thông tin.

.int: tên miền sử dụng cho các tổ chức quốc tế.

“.”

ROOt

ccTLDs

gTLDs

.UK

.com

Tổ chức thương mại

Anh

.JP

.gov

Tổ chưc chính phủ

Nhật bản

.edu

.vn

Việt

Nam

Tổ chúc giáo dục

Các quốc gia

…

khác

.edu.vn

.net.vn

.com.vn

…

4. Nguyên tắc hoạt động

Giả sử người dùng muốn tới trang www.google.com

Khi người dùng gõ địa chỉ trên thanh địa chỉ của trình duyệt,

máy tính sẽ gửi yêu cầu đến Local name server để phân giải tên miền

thành địa chỉ IP tương ứng của nó.

Local name server sẽ kiểm tra trong cơ sở dữ liệu của nó có

chứa cơ sở dữ liệu chuyển đổi từ tên miền sang địa chỉ IP của tên

miền mà người sử dụng yêu cầu không. Trong trường hợp Local name

server có cơ sở dữ liệu này, nó sẽ gửi trả lại địa chỉ IP của máy có tên

miền nói trên.

Trong trường hợp Local name server không có cơ sở dữ liệu về

tên miền này nó sẽ hỏi lên các máy chủ tên miền ở mức cao nhất (

máy chủ tên miền làm việc ở mức ROOT). Root name server này sẽ

chỉ cho Local name server địa chỉ của máy chủ tên miền quản lý các

tên miền có đuôi .com.

Local name server gửi yêu cầu đến máy chủ quản lý tên miền

có đuôi (.com) tìm tên miền www.google.com. Máy chủ tên miền

quản lý các tên miền .com sẽ gửi lại địa chỉ của máy chủ quản lý tên

miền .goole.com.

Local name server sẽ hỏi máy chủ quản lý tên miền

goole.com này địa chỉ IP của tên miền www.google.com. Do máy chủ

quản lý tên miền goole.com có cơ sở dữ liệu về tên miền

www.google.com nên địa chỉ IP của tên miền này sẽ được gửi trả lại

cho Local name server.

Local name server sẽ chuyển thông tin tìm được đến máy của

người dùng. Máy tính của người dùng sử dụng địa chỉ IP này để kết

nối tới server chứa trang web có địa chỉ www.google.com .

Dịch vụ DHCP

III.

1. Giới thiệu

DHCP (Dynamic Host Configuration Protocol) là giao thức cấu hình

động máy chủ cho phép cấp phát địa chỉ IP một cách tự động cùng với

các cấu hình liên quan khác như subnet mark và gateway mặc định.

• Subnet mark: là sự phân chia logic địa chỉ TCP/IP.

• Gateway: cho phép nối ghép hai loại giao thức với nhau. Ví dụ:

mạng của bạn sử dụng giao thức IP và mạng của ai đó sử dụng

giao thức IPX” Là giao thức thuộc lớp mạng (network layer)

trong mô hình mạng 7 lớp OSI. IPX là giao thức chính được sử

dụng trong hệ điều hành mạng Netware của hãng Novell. Nó

tương tự như giao thức IP (Internet Protocol) trong TCP/IP.

IPX chứa địa chỉ mạng (netword Address) và cho phép các gói

thông tin được chuyển qua các mạng hoặc phân mạng (subnet)

khác nhau. IPX không bảo đảm việc chuyển giao một thông

điệp hoặc gói thông tin hoàn chỉnh, cũng như IP, các gói tin

được "đóng gói" theo giao thức IPX có thể bị "đánh rơi"

(dropped) bởi các Router ("thiết bị dẫn đường" trong mạng -

xin xem các bài sau) khi mạng bị nghẽn mạch. Do vậy, 'các ứng

dụng có nhu cầu truyền tin "bảo đảm" (giống như "gửi hư bảo

đảm" ) thì phải sử dụng giao thức SPX thay vì IPX.”Novell,

DECnet, SNA… hoặc một giao thức nào đó thì Gateway sẽ

chuyển đổi từ loại giao thức này sang loại khác.

Nếu không có DHCP, các máy có thể cấu hình IP thủ công (cấu hình

IP tĩnh). Ngoài việc cung cấp địa chỉ IP, DHCP còn cung cấp thông

tin cấu hình khác, cụ thể như DNS. Hiện nay DHCP có 2 version: cho

IPv4 và IPv6.

2. Chức năng

❖ DHCP tự động quản lý các địa chỉ IP và loại bỏ được các lỗi có

thể làm mất liên lạc.

❖ Tự động gán lại các địa chỉ chưa được sử dụng.

❖ Giúp máy chủ DHCP có thể đánh địa chỉ IP cho nhiều mạng

con.

❖ Giúp tránh trường hợp hai máy tính khác nhau lại có cùng địa

chỉ IP.

❖ Máy tính được cấu hình một cách tự động vì thế sẽ giảm việc

can thiệp vào hệ thống mạng.

❖ Cung cấp một CSDL trung tâm để theo dõi tất cả các máy tính

trong hệ thống mạng.

3. Nguyên tắc hoạt động

Dịch vụ DHCP hoạt động theo mô hình Client / Server. Theo đó

quá trình tương tác giữa DHCP client và server sẽ diễn ra theo các

bước sau:

▪

Khi máy Client khởi động, máy sẽ gửi broadcast gói tin DHCP

DISCOVER, yêu cầu một Server phục vụ mình. Gói tin này cũng

chứa địa chỉ MAC của client.

Nếu client không liên lạc được với DHCP Server thì sau 4 lần truy

vấn không thành công nó sẽ tự động phát sinh ra 1 địa chỉ IP riêng cho

chính mình nằm trong dãy 169.254.0.0 đến 169.254.255.255 dùng để

liên lạc tạm thời. Và client vẫn duy trì việc phát tín hiệu Broad cast

sau mỗi 5 phút để xin cấp IP từ DHCP Server.

▪

Các máy Server trên mạng khi nhận được yêu cầu đó. Nếu còn khả

năng cung cấp địa chỉ IP, đều gửi lại cho máy Client một gói tin

DHCP OFFER, đề nghị cho thuê một địa chỉ IP trong một khoảng thời

gian nhất định, kèm theo là một Subnet Mask và địa chỉ của Server.

Server sẽ không cấp phát đia chỉ IP vừa đề nghị cho client thuê trông

“khác mới đúng chứ”suốt thời gian thương thuyết.

▪

Máy Client sẽ lựa chọn một trong những lời đền nghị (

DHCPOFFER) và gửi broadcast lại gói tin DHCPREQUEST và chấp

nhận lời đề nghị đó. Điều này cho phép các lời đề nghị không được

chấp nhận sẽ được các Server rút lại và dùng để cấp phát cho các

Client khác.

Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin

DHCP ACK như một lời xác nhận, cho biết địa chỉ IP đó, Subnet

Mask đó và thời hạn cho sử dụng đó sẽ chính thức được áp dụng.

Ngoài ra server còn gửi kèm những thông tin bổ xung như địa chỉ

Gateway mặc định, địa chỉ DNS Server…

4. Bảo mật

Tuy có nhiều ưu điểm, nhưng giao thức DHCP hoạt động lại khá

đơn giản, suốt quá trình trao đổi thông điệp giữa DHCP Server và

DHCP Client không có sự xác thực hay kiểm soát truy cập. DHCP

Server không thể biết được rằng nó đang liên lạc với một DHCP

Client bất hợp pháp hay không, ngược lại DHCP Client cũng không

thể biết DHCP Server đang liên lạc có hợp pháp không. Như vậy sẽ có

hai tình huống xảy ra:

- Khi DHCP”Client có nên them zô không” là một máy trạm bất hợp

pháp:

Khi kẻ tấn công thỏa hiệp thành công với một DHCP Client hợp pháp

trong hệ thống mạng, sau đó thực hiện việc cài đặt, thực thi một

chương trình. Chương trình này liên tục gửi tới DHCP Server các gói

tin yêu cầu xin cấp địa chỉ IP với các địa chỉ MAC nguồn không có

thực, cho tới khi dải IP có sẵn trên DHCP Server cạn kiệt vì bị nó thuê

hết. Điều này dẫn tới việc DHCP Server không còn địa chỉ IP nào để

cho các DHCP Client hợp pháp thuê, khiến dịch vụ bị ngưng trệ, các

máy trạm khác không thể truy nhập vào hệ thống mạng để truyền

thông với các máy tính trong mạng.

Trường hợp tấn công này chỉ làm cho các máy tính đăng nhập vào

hệ thống mạng (sau khi bị tấn công) không thể sử dụng dịch vụ

DHCP, dẫn đến không vào được hệ thống mạng. Còn các máy trạm

khác đã đăng nhập trước đó vẫn hoạt động bình thường.

Đây là kiểu tấn công từ chối dịch vụ DHCP dễ dàng nhất mà kẻ tấn

công có thể thực hiện. Kẻ tấn công chỉ cần rất ít thời gian và băng

thông là có thể thực hiện được cuộc tấn công này.

- Khi DHCP server là một máy chủ bất hợp pháp:

Khi kẻ tấn công phá vỡ được các hàng rào bảo vệ mạng và đoạt

được quyền kiểm soát DHCP Server, nó có thể tạo ra những thay đổi

trong cấu hình của DHCP Server theo ý muốn. Kẻ tấn công có thể tấn

công hệ thống mạng theo các cách sau:

+ Tấn công theo kiểu DNS redirect: Kẻ tấn công đổi các thiết lập

DNS để chuyển hướng yêu cầu phân dải tên miền của Client tới các

DNS giả mạo, kết quả là Client có thể bị dẫn dụ tới các website giả

mạo được xây dựng nhằm mục đích đánh cắp thông tin tài khoản của

người dùng hoặc website có chứa các mã độc, virus, trojan... sẽ được

tải về máy Client.

+ Tấn công theo kiểu Man-in-the-middle: Kẻ tấn công thay đổi

Gateway mặc định trỏ về máy của chúng, để toàn bộ thông tin mà

Client gửi ra ngoài hệ thống mạng sẽ được chuyển tới máy này thay vì

tới Gateway mặc định thực sự. Sau khi xem được nội dung thông tin,

gói tin sẽ được chuyển tiếp đến Gateway thực sự của mạng và Client

vẫn truyền bình thường với các máy ngoài mạng mà người dùng

không hề biết họ đã để lộ thông tin cho kẻ tấn công. Với cách tấn công

này, kẻ tấn công chỉ có thể xem trộm nội dung thông tin của gói tin

gửi ra ngoài mạng mà không thể xem nội dung thông tin của gói tin

gửi cho Client từ bên ngoài mạng.

*Các phương pháp bảo vệ sự tấn công DHCP

Với tấn công từ chối dịch vụ bằng cách sử dụng một DHCP Client

bất hợp pháp, ta có thể khắc phục bằng cách sử dụng các switch có

tính năng bảo mật cao, giúp hạn chế số lượng địa chỉ MAC có thể sử

dụng trên một cổng. Mục đích là để ngăn chặn việc có quá nhiều địa

chỉ MAC sử dụng trên một cổng đó trong một khoảng thời gian giới

hạn, nếu vượt qua giới hạn này cổng sẽ bị đóng lại ngay lập tức. Thời

gian cổng hoạt động trở lại tùy thuộc vào giá trị mặc định do người

quản trị mạng thiết lập.

Với cuộc tấn công theo kiểu Man- in- the-Middle sử dụng DHCP

Server giả mạo, ta có thể khắc phục bằng cách sử dụng các switch có

tính năng bảo mật DHCP snooping. Tính năng này chỉ cho kết nối đến

DHCP trên một hoặc một số cổng tin cậy nhất định. Chỉ có những

cổng này mới cho phép gói tin DHCP Response hoạt động. Cổng này

được người quản trị mạng kết nối đến DHCP Server thật trong hệ

thống với mục đích ngăn chặn không cho DHCP Server giả mạo hoạt

động trên những cổng còn lại.

Ngoài ra, chúng ta có thể sử dụng các phương pháp bảo mật cơ bản

cho DHCP Server gồm: Bảo mật về mặt vật lý cho các DHCP Server;

Sử dụng hệ thống file NTFS “NTFS là hệ thống tập tin tiêu chuẩn

của Windows NT, bao gồm cả các phiên bản sau này của Windows

như Windows 2000, Windows XP“để lưu trữ dữ liệu hệ thống; Triển

khai sử dụng các giải pháp Anti - virus mạnh cho hệ thống; Thường

xuyên cập nhật các bản vá lỗi “bản vá phần mềm dùng để sửa các lỗ

hổng trong chương trình phần mềm. “cho các phần mềm và

Windows; Các dịch vụ hay các phần mềm không sử dụng thì nên gỡ

bỏ; Thực hiện việc Quản lý DHCP với người dùng có quyền hạn tối

thiểu nhất; DHCP Server phải được đặt phía sau Firewall(tường lửa);

Đóng tất cả các cổng không sử dụng đến; Sử dụng việc lọc địa chỉ

MAC; Giám sát hoạt động của DHCP bằng cách xem các file log và

xem thông tin thống kê của hệ thống trên DHCP Server.