Theo các chuyên gia của Verisign Labs, thông tin thu thập từ dnstap sẽ giúp hiểu rõ hơn về “vành đai tổng thể” của tin tặc bằng cách tương quan các mối quan hệ giữa tên miền, địa chỉ IP khác nhau và các tài nguyên tin tặc sử dụng.

Đây là những thông tin được chia sẻ tại hội thảo Thu thập và Phân tích DNS thụ động - Khuynh hướng "dnstap" do Verisign Labs tổ chức. Hội thảo tập trung vào vấn đề: Một thiết bị phân tích lưu lượng mạng có thể cho bạn biết về những gì đang diễn ra trong mạng của bạn, trong khi một máy phân tích hệ thống tên miền (Domain Name System - DNS) có thể cung cấp thông tin về ngữ cảnh để trả lời các câu hỏi "Tại sao" và "Như thế nào".

Phát hiện nguy cơ, đảm bảo riêng tư

Theo Paul Vixie, CEO của Farsight Security, những sáng tạo gần đây trong hoạt động chia sẻ thông tin giữa các máy chủ phân giải tên miền DNS có thể giúp các nhà khai thác mạng phát hiện và vô hiệu hóa các nguy cơ an ninh mạng. Một trong những kết quả hoạt động của Farsight là các phép đo DNS hiện đang được thu thập dữ liệu nén ở tốc độ 150 Mbit/s và đang được cung cấp cho cộng đồng an ninh mạng Internet để thực hiện phân tích.

{keywords}

Dr. Burt Kaliski, Phó Chủ tịch Cấp cao, Giám đốc Công nghệ của Verisign

Khuynh hướng dnstap dựa trên dự án ban đầu về thu thập dữ liệu “DNS thụ động” bởi Florian Weimer, trong đó những đáp ứng nhận được từ các máy chủ tên miền tin cậy bởi các máy chủ phân giải tên miền được thu thập để tìm hiểu hành vi và cấu hình DNS.

Thay vì thu thập các gói tin trên mạng, dnstap được “tạo ra từ bên trong môi trường DNS” thông qua một giao thức mới. Việc thu thập dữ liệu hoạt động được thực hiện theo cơ chế không đồng bộ, có nghĩa là các hoạt động DNS thông thường trong máy chủ phân giải tên miền vẫn tiếp tục duy trì độc lập với các phép đo đang được thực hiện, nhờ đó giảm thiểu ảnh hưởng đến hiệu năng.

Thông tin thu thập từ dnstap có thể giúp các chuyên gia phân tích an ninh thông tin hiểu rõ hơn về “vành đai tổng thể” của tin tặc bằng cách tương quan các mối quan hệ giữa tên miền, địa chỉ IP khác nhau và các tài nguyên khác được tin tặc sử dụng.

Ngoài ra, thông tin được chia sẻ là từ "hướng lên" hay là phía "tin cậy" của máy chủ phân giải tên miền, chứ không phải là từ "hướng xuống" hoặc phía "máy khách", nhờ đó giảm được mối quan ngại về tính riêng tư.

Tiếp tục cải thiện năng lực phòng thủ tấn công mạng

Ông Edmonds, nhà phát triển phần mềm tại Farsight Security chịu trách nhiệm duy trì một số cấu phần chính của Hệ thống Trao đổi Thông tin An ninh và các sản phẩm DNSDB của Farsight, đã mô tả về kiến trúc của dnstap và Giao thức truyền tải dữ liệu các luồng của khung dữ liệu (Frame Streams data transport protocol) (fstrm).

Edmonds đã gắn kết mô hình lập trình truyền thống của giao thức DNS và mô hình hiện đại trong đó bao gồm RESTful API và các đối tượng JSON, giúp cho việc tích hợp các năng lực đo lường DNS vào trong các ứng dụng mới trở nên dễ dàng hơn.

Ngoài các yêu cầu và đáp ứng DNS được trao đổi giữa máy chủ phân giải tên miền và máy chủ tên miền tin cậy, những mở rộng tương lai của các năng lực này có thể bao trùm những loại thông điệp khác như là truyền tải giữa các vùng (zone transfer) và thông báo lọc bộ đệm (cache purge notification).

Farsight hiện đang trong quá trình tích hợp các năng lực đo lường vào trong một loạt các máy chủ phân giải tên miền DNS nguồn mở, và công ty cũng có kế hoạch hợp tác với các nhà cung cấp dịch vụ thương mại.

Hoạt động phân tích dữ liệu DNS ngày càng trở nên quan trọng khi có thêm nhiều ứng dụng dựa vào DNS như là một chức năng cơ sở hạ tầng tin cậy, và khi mà chính bản thân DNS cũng tiếp tục phát triển.

Theo tài liệu năm 2013 của Verisign Labs Những cân nhắc mới về An ninh và Độ ổn định gTLD và Cập nhật thông tin về An ninh, Độ ổn định và Khả năng đối phó sự cố của gTLD: Phân tích khám phá ảnh hưởng đến người tiêu dùng, Dữ liệu DNS từ máy chủ gốc cung cấp những thông tin quan trọng về rủi ro tiềm ẩn đối với các hệ thống đã được lắp đặt do xung đột tên miền phát sinh từ việc giới thiệu các tên miền chung cấp cao nhất mới.

Trong các môi trường điện toán được kết nối hiện nay, hoạt động phân tích ở cấp độ hệ thống là cần thiết. Điều đó đúng với cả hoạt động mô hình hóa tấn công (một quan điểm đã được đưa ra trong tài liệu hội nghị mới đây của Giám đốc An ninh Verisign, ông Danny McPherson và Nghiên cứu viên trưởng Eric Osterweil), cũng như là hoạt động chia sẻ thông tin.

Verisign Labs đang khám phá những cách thức mới để cải thiện năng lực phòng thủ trước các vụ tấn công thông qua chia sẻ thông tin có thể thích ứng với những thay đổi về DNS và các yêu cầu ứng dụng mới. Các năng lực đo lường như dnstap là một công cụ quan trọng nên có trong danh mục.

(Nguồn: Verisign)