1. BÁO CÁO NGHIÊN CỨU
DOMAIN NAME SYSTEM
Nguyễn Thanh Quỳnh
Liêu Minh Trí
2. Cơ Sở Dữ Liệu DNS
01 Tổng Quan Về Hệ
Thống Tên Miền DNS
NỘI DUNG
03
02
Vấn Đề Bảo Mật DNS
1
3. Tổng Quan Về Hệ Thống
Tên Miền DNS
01
1. Giới Thiệu Hệ Thống Tên Miên DNS
2. Các Loại DNS Server
3. Chức Năng Của DNS Server
2
4. 1. Giới Thiệu Hệ Thống Tên Miền DNS
Hệ thống tên miền (DNS) là thành phần tối quan trọng trong cơ sở hạ
tầng Internet. Hệ thống này do ICANN (Tổ chức Quản lý tên miền và
địa chỉ Internet quốc tế) quản lý. Tương tự như chỉ mục của một quyển
sách, DNS cung cấp một phương pháp lưu trữ và truy cập thông tin về
các trang web một cách có hệ thống và cấp bậc.
(Domain Name System) là hệ thống giúp biên dịch tên website hoặc
hostname thành số IP để máy tính có thể hiểu được. Nó tương tự như
ứng dụng “Danh Bạ” trên điện thoại của bạn,con người sử dụng tên,
còn máy tính sử dụng số IP.
Ví Dụ: https://www.hutech.edu.vn
3
5. 2.1 Các Loại DNS Server
Root Name Server: Được xem là
server quan trọng nhất trong hệ
thống DNS. Nó giữ thông tin về tên
miền gốc và hướng dẫn các DNS
Recursor tìm kiếm thông tin.
4
6. 2.2 Các Loại DNS Server
Local Name Server: Là “nhân
viên tận tâm” của hệ thống
DNS. Nhiệm vụ của nó là lấy
và trả thông tin cho trình duyệt
để tìm kiếm thông tin cần thiết.
5
7. 2.3 Các Loại DNS Server
DNS Recursor: đóng vai trò như
một thủ thư với nhiệm vụ đi tìm
địa chỉ IP và trả thông tin đúng mà
trình duyệt cần tìm. Nó sẽ giữ
trách nhiệm liên lạc và dùng các
DNS server khác để phản hồi đến
client. Bên cạnh đó, thay vì khi
nào cũng đi tìm IP thì nó còn có
cache giúp tăng tốc độ phản hồi
nhanh hơn.
6
8. 2.4 Các Loại DNS Server
TLD Name Server : là máy chủ tên miền
cấp cao nhất, chịu trách nhiệm lưu trữ
thông tin về các tên miền có phần mở
rộng chung (gTLD), chẳng hạn như .com,
.org, .net. Trong quá trình tìm kiếm địa
chỉ IP, máy chủ định danh sẽ liên hệ với
TLD Name Server để lấy thông tin về tên
miền.
7
9. 2.5 Các Loại DNS Server
Authoritative Name Server có
chứa thông tin cho biết tên
miền gắn với địa chỉ nào. Nó là
điểm dừng cuối trong truy vấn
và phân giải địa chỉ IP cần thiết
cung cấp cho DNS Recursor.
8
10. 3. Chức Năng Của DNS
DNS đóng vai trò như một “biên dịch
viên” giữa tên miền và địa chỉ IP.
Tên miền là chuỗi ký tự dễ nhớ, trong khi
địa chỉ IP là chuỗi số khó nhớ.
DNS giúp chuyển đổi tên miền thành địa
chỉ IP, từ đó giúp máy tính có thể truy
cập vào các trang web trên internet.
9
11. Cơ Sở Dữ Liệu DNS
02
10
1. Cách Phân Bố Dữ Liệu
2. Cơ Chế Phân Giải Tên Miền
3. Hệ Thống Cache
4. Các bản Ghi DNS
5. Cấu Trúc Gói tin DNS
12. 1.Cách Phân Bố Dữ Liệu
Hệ thống tên miền được sắp xếp
theo cấu trúc phân cấp.
Mức trêm cùng được gọi là root và
ký hiệu là “ . ”
Tên miền ở dưới mức root được gọi là Top-Level Domain (TLD). Có một số
loại TLD khác nhau:
TLD dùng chung (gTLDs): Bao gồm các tên miền phổ biến như .com, .net,
và .org.
TLD quốc gia (ccTLDs): Được sử dụng cho các quốc gia cụ thể, ví dụ .vn
cho Việt Nam, .jp cho Nhật Bản, và .kr cho Hàn Quốc.
TLD hạ tầng (iTLD): Bao gồm các tên miền như .int và .arp.
TLD được tài trợ (usTLD): Bao gồm các tên miền như .gov và .edu.
11
13. 2. Cơ Chế Phân Giải Tên Miền
• Truy vấn đệ quy (Recursive Query): Trong truy
vấn đệ quy, một máy khách DNS cung cấp một tên
miền, và DNS Resolver phải cung cấp một câu trả
lời.
• Truy vấn lặp đi lặp lại (Iterative Query): Trong
truy vấn lặp đi lặp lại, máy khách DNS cung cấp
một tên miền, và Resolver trả về câu trả lời tốt nhất
mà nó có thể.
• Truy vấn không đệ quy (Non-Recursive Query):
Trong truy vấn không đệ quy, máy khách DNS cung
cấp một tên miền, và Resolver trả về câu trả lời mà
nó có sẵn trong bộ nhớ cache hoặc từ bản ghi tài
nguyên của nó.
Trong phân giải tên miền có 3 dạng truy vấn:
12
14. 3. Hệ Thống Cache
Mỗi lần server tên miền học được ánh xạ, nó
sẻ lưu đệm ánh xạ đó:
Các mục lưu đệm quá thời hạn bị loại bỏ sau
một thời gian (TTL)
Server tên miền mức cao (TLD) thường lưu
đệm tong các server tên miền khu vực (cục
bộ).
Mục đích:
• Làm tăng tốc độ phân giải bằng cách sử
dụng cache
• Giảm bớt gánh nặng phân giải tên máy cho
các Name Server .
• Giảm việc luu thông trên những mạng lớn
13
15. 4. Các bản Ghi DNS
Bản ghi DNS (DNS Record) là một phần quan trọng trong hệ
thống phân giải tên miền (DNS). Chúng giúp ánh xạ tên miền
(domain name) sang địa chỉ IP, cho phép người dùng kết nối đến
các trang web trên internet. Dưới đây là một số loại bản ghi
DNS phổ biến:
1. Bản ghi A (Address Record)
2. Bản ghi AAAA (IPv6 Address Record)
3. Bản ghi CNAME (Canonical Name)
4. Bản ghi MX (Mail Exchange)
5. Bản ghi PTR (Pointer)
6. Bản ghi NS (Name Server)
7. Bản ghi SOA (Start of Authority)
8. Bản ghi TXT (Text)
14
16. 4. Các bản Ghi DNS
1. Bản ghi A (Address Record):
- Liên kết tên miền với địa chỉ IPv4 của máy tính lưu trữ tên
miền trên internet.
- Ví dụ: khi bạn truy cập một website như easyDMARC.com
một bản ghi A sẽ trỏ đến một địa chỉ IP (v4) tương ứng.-
2. Bản ghi AAAA (IPv6 Address Record):
- Tương tự bản ghi A, nhưng trỏ đến địa chỉ IPv6 của máy
chủ DNS thay vì IPv4. Bản ghi AAAA cho phép kết nối đến
website qua địa chỉ IP dài hơn (IPv6).
15
17. 4. Các bản Ghi DNS
3. Bản ghi CNAME (Canonical Name):
- Liên kết một tên miền với tên miền khác (alias).
Thường được sử dụng để tạo bí danh cho các dịch vụ.
- Ví dụ: Như liên kết “www” với tên miền gốc.
4. Bản ghi MX (Mail Exchange):
- Xác định máy chủ email mà các email sẽ được gửi
đến cho tên miền đó. Điều này quan trọng trong việc
gửi và nhận email.
- Ví dụ: Để các thư điện tử có cấu trúc user@kites.com.vn
được gửi đến máy chủ chuyển thư điện tử có tên
SMTP.MAILER.iNET.VN
16
18. 5. Bản ghi PTR (Pointer):
- Ngược lại với bản ghi A, cho phép chuyển đổi từ địa chỉ
IP sang tên miền. Thường được sử dụng để xác thực IP
của các hostname gửi tới.
- Vi dụ: Bản ghi PTR như sau: 129.57.162.in-addr.
arpa IN PTR mail.domainname.com.vn
4. Các bản Ghi DNS
6. Bản ghi NS (Name Server):
- Xác định máy chủ DNS chịu trách nhiệm cho tên miền cụ thể.
- Ví dụ: [Tên miền] IN NS [tên máy chủ tên miền]
bizflycloud.com IN NS ns1.bizflycloud.vn
17
19. 4. Các Bản Ghi DNS
7. Bản ghi SOA (Start of Authority):
- Chứa thông tin quản trị tên miền, bao gồm các thông số như thời
gian cập nhật, thời gian hết hạn, và mã xác thực.
- Ví dụ : SOA Record name daovanhung.com
8. Bản ghi TXT (Text):
- Lưu trữ thông tin văn bản tùy ý, thường được sử dụng cho việc
xác thực và ghi chú.
18
20. 5. Cấu Trúc Gói tin DNS
Idenfication: số 16 bits đinh
danh cho query,reply cho query
cho query này sử dụng cùng số.
Flags:
• Query hay reply
• Đệ quy được đề nghị
• Đệ quy sẳn có
• Reply là chính thức (có thẩm
quyền).
Trong DNS bản tin truy vấn – query và trả
lời – reply có cùng khuôn dạng:
19
21. 5. Cấu Trúc Gói tin DNS
20
Phần truy vấn (Questions):
• Thông thường chỉ có phần truy vấn
1 bảng tin, tuy nhiên số lượng truy
vấn được cho phép 1 cách bất kỳ,
xác đinh bởi trường QDCOUNT.
22. 5. Cấu Trúc Gói tin DNS
21
Phần phản hồi (Answers):
• Chứa 3 phần: Thành phần trả lời, thành
phần máy chủ xác thực và thông tin
thêm.
• Bản thân phần trả lời đã chứa phần trả
lời.
23. 5. Cấu Trúc Gói tin DNS
22
Phân quyền truy cập (Authority section):
• Authority record có cấu trúc giống hệt với
phần phản hồi (Answers).Ngoài ra chúng
còn bao gồm các bản ghi của các server
bắt buộc khác.
24. 5. Cấu Trúc Gói tin DNS
23
Phân bản ghi mổ sung (Additional information):
• Tương tự với phần trên phần bản ghi bổ sung có
cấu trúc giống với phần phản hồi.Ngoài ra nó
còn chứa các bản ghi hữu ích khác.
25. VẤN ĐỀ BẢO MẬT
DNS
03
1. Các điểm yếu của DNS
2. Bảo mật DNS Server
24
26. 1. Các Điểm Yếu Của DNS
Tấn công đầu đọc cache
(Cache Poisoning Attack)
Tấn công tràn bộ đệm
( Buffer overflow Attack)
Tấn công trong quá trình zone transfer
(Zone Transfer Attack)
Tấn công từ chối dịch vụ
(Denial of Service Attack)
Tấn công phương thức cập nhật động
(Dynamic update Attack)
25
27. 2. Bảo Mật DNS
26
Dùng chuẩn DNSSEC để cung cấp chế độ bảo vệ , chống
tấn công vào cache.
Dùng DNS security check để kiểm tra bảo mật DNS giúp
xác định các địa chỉ IP độc hại trên môi trường internet mà
một server đang truy cập.
Tắt tính năng đệ quy trên các server được ủy quyền.Theo
mặc định thì name server hổ trợ tính năng recursive,
chúng ta tắt tính năng này đi vì bản thân các name server
liên lạc với nhau theo kiểu nonrecursive.
Ngăn không cho thực hiện chuyển vùng trái phép bằng
cách sử dụng Access control list , chỉ những máy nào có
địa chỉ IP nằm trong danh sách này được thực hiện quá
trình chuyển vùng với DNS server chính.