Man-in-the-Middle 102 - Part 2 : DNS Spoof.
Man-in-the-Middle 102 - Part 2 : DNS Spoof
ຈາກທີ່ຜູ້ຂຽນໄດ້ນຳສະເໜີເຖິງວິທີການໂຈມຕີແບບ Man-in-the-Middle ແລະໄດ້ອະທິບາຍການໂຈມຕີດ້ວຍວິທີ ARP Spoof ໄປແລ້ວໃນບົດຄວາມກ່ອນໜ້າ ຈະສັງເກດໄດ້ວ່າ ການໂຈມຕີໂດຍວິທີ Man-in-the-Middle ນັ້ນ ເປັນການໃຊ້ຊ່ອງໂຫວ່ຂອງການກວດສອບຂໍ້ມູນທີ່ຮັບສົ່ງ ຊຶ່ງເຮັດໃຫ້ຜູ້ບໍ່ຫວັງດີສາມາດແຊກຕົວເຂົ້າມາເພື່ອດັກຮັບຫລືປອມແປງຂໍ້ມູນທີ່ຢູ່ລະຫວ່າງການສື່ສານໄດ້ ໃນບົດຄວາມ Man-in-the-Middle 102 ຕອນທີ່ 2 ນີ້ຈະກ່າວເຖິງການໂຈມຕີດ້ວຍວິທີ DNS Spoof ຫລືການປອມແປງ DNS
DNS ຄືຫຍັງ
ເຄື່ອງຄອມພິວເຕີໃນລະບົບອິນເຕີເນັດ ຈະຕິດຕໍ່ສື່ສານກັນຜ່ານທາງ IP Address ເຊັ່ນ 122.248.233.179 ເປັນຕົ້ນ ຊຶ່ງຫາກ IP Address ດັ່ງກ່າວນີ້ເປັນຂອງເຄື່ອງເຊີເວີທີ່ໃຫ້ບໍລິການເວັບໄຊ ຜູ້ໃຊ້ກໍສາມາດພິມ IP Address ນີ້ລົງໃນຊ່ອງ Address Bar ຂອງບາວເຊີເພື່ອເຂົ້າເຖິງເວັບໄຊນີ້ໄດ້ ແຕ່ຢ່າງໃດກໍຕາມ ການໃຊ້ IP Address ໃນການເຂົ້າເຖິງເວັບໄຊນັ້ນຈື່ຍາກແລະບໍ່ສະດວກໃນການໃຊ້ງານ ຈຶ່ງມີການຄິດຄົ້ນສິ່ງທີ່ຮຽກວ່າ Domain Name ຂຶ້ນມາ ຊຶ່ງເປັນການໃຊ້ຊື່ທີ່ເປັນຕົວອັກສອນທີ່ມີຄວາມຫມາຍໃນການຮຽກແທນ IP Address ເຊັ່ນ www.Laocert.gov.la ສາມາດໃຊ້ຮຽກແທນ IP Address 202.9.79.196 ໄດ້ ເປັນຕົ້ນ ການເຮັດວຽກງານຂອງລະບົບດັ່ງກ່າວນີ້ປຽບໄດ້ກັບການຈົດບັນທຶກລາຍຊື່ຜູ້ຕິດຕໍ່ລົງໃນສະໝຸດໂທລະສັບ ຊຶ່ງເປັນການແທນທີ່ໝາຍເລກໂທລະສັບດ້ວຍຊື່ຂອງຜູ້ຕິດຕໍ່ທີ່ຈື່ງ່າຍກວ່າ ໂປໂຕຄອນທີ່ໃຊ້ໃນການສືບຄົ້ນ Domain Name ເພື່ອຫາ IP Address ທີ່ສຳພັດກັບ Domain Name ນັ້ນ ຮຽກວ່າ Domain Name System (DNS) [1]
ການເຮັດວຽກງານຂອງ DNS
ເພື່ອໃຫ້ເຂົ້າໃຈຫລັກການເຮັດວຽກງານຂອງ DNS ງ່າຍຂຶ້ນ ຈະຂໍອະທິບາຍລຳດັບການເຮັດວຽກງານຂອງເຄື່ອງຄອມພິວເຕີເມື່ອຜູ້ໃຊ້ຕ້ອງການເຂົ້າໃຊ້ງານເວັບໄຊລາວເຊີດ ໂດຍເມື່ອຜູ້ໃຊ້ພິມ www.laocert.gov.la ທີ່ຊ່ອງ Address Bar ຂອງບາວເຊີ ຈະມີການເຮັດວຽກງານດັ່ງນີ້
1. ຄົ້ນຫາຂໍ້ມູນຈາກໄຟລ hosts
ໄຟລ hosts ເປັນໄຟລທີ່ໃຊ້ສຳລັບກຳນົດຄ່າ IP Address ແລະ Domain Name ໂດຍປົກກະຕິແລ້ວລະບົບປະຕິບັດການຕ່າງໆ ຈະເກັບໄຟລ hosts ໄວ້ທີ່ຕຳແໜ່ງດັ່ງນີ້
- Windows ຢູ່ທີ່ Windows\System32\drivers\etc\hosts
- Mac OS X ຢູ່ທີ່ /private/etc/hosts
- Linux ຢູ່ທີ່ /etc/hosts
ໄຟລ hosts ເປັນໄຟລຂໍ້ຄວາມທຳມະດາ ສາມາດໃຊ້ໂປແກມ Text Editor ເປີດຂຶ້ນມາເພື່ອເບິ່ງຫລືແກ້ໄຂໄດ້ ດັ່ງຮູບທີ່ 1 ຢ່າງໃດກໍຕາມ ການແກ້ໄຂໄຟລດັ່ງກ່າວນີ້ສາມາດເຮັດໄດ້ສະເພາະຜູ້ທີ່ມີສິດທິຂອງຜູ້ເບິ່ງແຍງລະບົບ ເທົ່ານັ້ນ ຫາກເຄື່ອງຄອມພິວເຕີບໍ່ພົບຂໍ້ມູນຂອງ www.laocert.gov.la ໃນໄຟລ hosts ກໍຈະໄປຄົ້ນຂໍ້ມູນຈາກ DNS Table
ຮູບທີ່ 1 ຕົວຢ່າງຂໍ້ມູນໃນໄຟລ hosts ໃນລະບົບປະຕິບັດການ Windows 7
2. ຄົ້ນຫາຂໍ້ມູນຈາກ DNS Table
DNS Table ຫລື DNS Cache ໃຊ້ໃນການເກັບຂໍ້ມູນ Domain Name ແລະ IP Address ທີ່ເຄີຍຄົ້ນຫາມາແລ້ວ ເພື່ອທີ່ຈະໄດ້ບໍ່ຕ້ອງສອບຖາມກັບ DNS Server ເມື່ອຕ້ອງການຮຽກໃຊ້ງານ Domain Name ນີ້ອີກໃນເທື່ອຖັດໄປ ການກວດສອບຂໍ້ມູນໃນ DNS Table ສາມາດເຮັດໄດ້ດັ່ງນີ້
- Windows ໃຊ້ຄຳສັ່ງ ipconfig /displaydns
- Mac OS X ໃຊ້ຄຳສັ່ງ dscacheutil -cachedump -entries
Linux ໂດຍປົກກະຕິແລ້ວຈະບໍ່ມີການເຮັດ DNS Table ແຕ່ໃນບາງ Distro ອາດມີການຕິດຕັ້ງໂປແກມເພິ່ມເຕິມເພື່ອມາຈັດການໃນສ່ວນນີ້ ເຊັ່ນ ໂປແກມ nscd (Name Service Cache Daemon)
ຮູບທີ່ 2 ຕົວຢ່າງຂໍ້ມູນ DNS Table ໃນລະບົບປະຕິບັດການ Windows 7
ຫາກເປີດເຄື່ອງຂຶ້ນມາໃໝ່ ລະບົບຈະຍັງບໍ່ມີຂໍ້ມູນໃນ DNS Table ເຄື່ອງຄອມພິວເຕີຈະຕ້ອງສອບຖາມກັບ DNS Server ເພື່ອຂໍຮູ້ IP Address ຂອງ Domain Name ນັ້ນ
3. ຄົ້ນຫາຂໍ້ມູນຈາກ DNS Server
DNS Server ເປັນເຄື່ອງເຊີເວີທີ່ມີຖານຂໍ້ມູນຂອງ Domain Name ແລະ IP Address ໂດຍປົກກະຕິແລ້ວການຕັ້ງຄ່າ DNS Server ຈະຖືກກຳນົດມາໃຫ້ຈາກ ISP ຫລື Router ໃນຕອນທີ່ຜູ້ໃຊ້ເຊື່ອມຕໍ່ເຂົ້າກັບລະບົບເຄືອຂ່າຍ ຕົວຢ່າງການຕັ້ງຄ່າ DNS Server ເປັນດັ່ງຮູບທີ່ 3 ຢ່າງໃດກໍຕາມ ຜູ້ໃຊ້ສາມາດກຳນົດການຕັ້ງຄ່າ DNS Server ເອງໄດ້
ຮູບທີ່ 3 ຕົວຢ່າງການຕັ້ງຄ່າ DNS Server ໃນລະບົບປະຕິບັດການ Windows 7
ໃນການເຮັດວຽກງານ ເມື່ອເຄື່ອງຂອງຜູ້ໃຊ້ສົ່ງ DNS Query ໄປຫາ DNS Server ຜ່ານ UDP Port 53 ໂດຍລະບຸ Domain Name ທີ່ຕ້ອງການຫາຂໍ້ມູນ ເຄື່ອງເຊີເວີຈະຄົ້ນຫາ Domain Name ນັ້ນໃນຖານຂໍ້ມູນ ຫາກພົບກໍຈະສົ່ງ DNS Response ຕອບ IP Address ກັບໄປໃຫ້ [2] ຕົວຢ່າງ DNS Query ແລະ DNS Response ເປັນດັ່ງຮູບທີ່ 4
ຮູບທີ່ 4 ຕົວຢ່າງ DNS Query ແລະ DNS Response (ທີ່ມາ WindowsSecurity.com)
ຢ່າງໃດກໍຕາມ ຂັ້ນຕອນການເຮັດວຽກຂອງ DNS ນັ້ນບໍ່ມີການກວດສອບຄວາມຖືກຕ້ອງຂອງຂໍ້ມູນທີ່ຮັບສົ່ງ ຈຶ່ງເປັນຊ່ອງໂຫວ່ໃຫ້ຜູ້ບໍ່ຫວັງດີໂຈມຕີຜ່ານຈຸດນີ້ໄດ້ໂດຍການເຮັດ DNS Spoof
DNS Spoof
ການເຮັດ DNS Spoofing ຫລື DNS Cache Poisoning ຄືການປ່ຽນຂໍ້ມູນຂອງ DNS ໃຫ້ແລ່ນ ໄປທີ່ IP Address ປາຍທາງທີ່ອື່ນທີ່ບໍ່ແມ່ນຂອງຈິງ ຊຶ່ງວິທີການໂຈມຕີແບບນີ້ຈະສັງເກດເຫັນຄວາມຜິດປົກກະຕິໄດ້ຍາກ ເນື່ອງຈາກໃນ Address Bar ຂອງບາວເຊີຈະສະແດງ URL ທີ່ຖືກຕ້ອງ ແຕ່ເວັບໄຊປາຍທາງນັ້ນບໍ່ແມ່ນເວັບໄຊທີ່ແທ້ຈິງ ຈຸດປະສົງຫລັກໆ ຂອງການໂຈມຕີດ້ວຍວິທີນີ້ອາດຈະເປັນການລັກຂໍ້ມູນຫລືເພື່ອເຜີຍແຜ່ມັນແວ [3] ຕົວຢ່າງການໂຈມຕີດ້ວຍວິທີ ARP Spoof ເຊັ່ນ
ແກ້ໄຂໄຟລ hosts
ເນື່ອງຈາກໄຟລ hosts ເປັນໄຟລຂໍ້ຄວາມທຳມະດາ ຈຶ່ງສາມາດໃຊ້ໂປແກມ Text Editor ເປີດຂຶ້ນມາແກ້ໄຂໄດ້ ດັ່ງນັ້ນຫາກມີການແກ້ໄຂໄຟລດັ່ງກ່າວໂດຍໃສ່ Domain Name ແລະ IP Address ທີ່ບໍ່ມີຢູ່ຈິງລົງໄປ ກໍຈະບໍ່ສາມາດເຂົ້າໃຊ້ງານເວັບໄຊທີ່ມີ Domain Name ດັ່ງກ່າວໄດ້ ຫລືຫາກມີຜູ້ບໍ່ຫວັງດີແກ້ໄຂໄຟລ hosts ໂດຍໃຫ້ Domain Name ຂອງເວັບໄຊໃດໆ ຊີ້ໄປທີ່ IP ຂອງເວັບໄຊອື່ນກໍສາມາດເຮັດໄດ້ເຊັ່ນກັນ ຊຶ່ງການແກ້ໄຂຂໍ້ມູນໃນໄຟລ hosts ເພື່ອໃຫ້ຊີ້ໄປທີ່ເວັບໄຊອື່ນອາດເກີດຈາກການກະທຳຂອງຜູ້ບໍ່ຫວັງດີຫລືອາດເກີດຈາກມັນແວກໍໄດ້
ຈາກຊ່ອງໂຫວ່ດັ່ງກ່າວນີ້ ທາງ Microsoft ຈຶ່ງໄດ້ເພີ່ມລະບົບປ້ອງກັນການແກ້ໄຂໄຟລ hosts ໃນ Windows 8 ໂດຍຈະມີໂປແກມ Windows Defender ຄອຍຖ້າກວດສອບວ່າມີການແກ້ໄຂຄ່າ DNS ຂອງເວັບໄຊຕ໌ສຳຄັນ ໆ ເຊັ່ນ Facebook. com ໃນໄຟລ hosts ຫລືບໍ່ ຫາກພົບກໍຈະລົບຂໍ້ມູນນັ້ນອອກເພື່ອໃຫ້ປ້ອງກັນບໍ່ໃຫ້ຜູ້ໃຊ້ຖືກຫລອກລວງຈາກເວັບໄຊປອມ ຢ່າງໃດກໍຕາມ ຜູ້ໃຊ້ຍັງສາມາດປິດການເຮັດວຽກງານຂອງລະບົບດັ່ງກ່າວນີ້ໄດ້ [4] ການປອມແປງ DNS ດ້ວຍການແກ້ໄຂໄຟລ hosts ຮຽກວ່າ Local DNS Spoofing
ກຳນົດຄ່າໃຫ້ຕິດຕໍ່ໄປຍັງ DNS Server ປ້ອມ
ເນື່ອງຈາກການເຮັດວຽກງານຂອງ DNS ຕ້ອງມີການຕິດຕໍ່ໄປຍັງ DNS Server ເພື່ອຂໍຂໍ້ມູນ IP Address ຂອງເວັບໄຊທີ່ຕ້ອງການເຂົ້າຊົມ ດັ່ງນັ້ນຈຶ່ງມີຜູ້ບໍ່ຫວັງດີພັດທະນາມັນແວຂຶ້ນມາເພື່ອປ່ຽນແປງການຕັ້ງຄ່າ DNS Server ໃນເຄື່ອງຂອງຜູ້ໃຊ້ໃຫ້ວິ່ງມາທີ່ເຄື່ອງ DNS Server ຂອງຜູ້ສ້າງມັນແວ ຕົວຢ່າງມັນແວທີ່ໂຈມຕີດ້ວຍວິທີການນີ້ ເຊັ່ນ DNS Changer
ສົ່ງ DNS Response ປ້ອມ
ເນື່ອງຈາກການຕິດຕໍ່ຂໍຂໍ້ມູນ IP Address ຈາກເຄື່ອງ DNS Server ຈຳເປັນຕ້ອງມີການສົ່ງ DNS Request ອອກໄປແລ້ວລໍໃຫ້ ເຊີເວີຕອບ DNS Response ກັບມາ ໃນລະຫວ່າງທີ່ກຳລັງລໍຄຳຕອບຈາກເຄື່ອງ DNS Server ຢູ່ນັ້ນ ຫາກມີຜູ້ບໍ່ຫວັງດີສົ່ງ DNS Response ຕອບ IP Address ທີ່ບໍ່ຖືກຕ້ອງກັບມາໃຫ້ ເຄື່ອງຄອມພິວເຕີກໍຈະເຂົ້າໃຈວ່າຄຳຕອບນັ້ນເປັນ IP Address ຈິງຂອງ Domain Name ທີ່ຕ້ອງການຕິດຕໍ່ດ້ວຍ ຕົວຢ່າງໂປແກມທີ່ໃຊ້ໃນການໂຈມຕີດ້ວຍວິທີນີ້ ເຊັ່ນ dsniff ຫລື ettercap ດັ່ງຮູບທີ່ 5 ການໂຈມຕີດ້ວຍວິທີການສົ່ງ DNS Response ປ້ອມ ຮຽກວ່າ Remote DNS Spoofing
ຮູບທີ່ 5 ຕົວຢ່າງໂປແກມ ettercap
ການກວດສອບແລະປ້ອງກັນ
ການກວດສອບວ່າຖືກໂຈມຕີດ້ວຍວິທີ DNS Spoof ຫລືບໍ່ນັ້ນອາດເຮັດໄດ້ຍາກ ເນື່ອງຈາກເປັນວິທີການໂຈມຕີທີ່ແນບນຽນແລະແທບຈະບໍ່ເຫັນຄວາມຜິດປົກກະຕິ ຢ່າງໃດກໍຕາມ ຜູ້ໃຊ້ອາດກວດສອບຂໍ້ມູນຈາກໄຟລ hosts ຂອງເຄື່ອງວ່າມີການຕັ້ງຄ່າ Domain Name ທີ່ມີລັກສະນະຜິດປົກກະຕິນຳຫລືບໍ່ ລວມທັງອາດກວດສອບຈາກການຕັ້ງຄ່າ DNS Server ໃນເຄື່ອງດ້ວຍ
ນອກຈາກນີ້ ຜູ້ໃຊ້ສາມາດກຳນົດການຕັ້ງຄ່າ DNS Server ໃຫ້ໃຊ້ຂໍ້ມູນຈາກ Public DNS Server ທີ່ເຊື່ອຖືໄດ້ ເຊັ່ນ OpenDNS ຫລື Google Public DNS ເປັນຕົ້ນ ຕົວຢ່າງການຕັ້ງຄ່າການເຊື່ອມຕໍ່ໃຫ້ໃຊ້ Google Public DNS Server ເປັນດັ່ງຮູບທີ່ 6
ຮູບທີ່ 6 ການກຳນົດຄ່າໃຫ້ໃຊ້ DNS Server ຂອງ Google
ອ້າງອິງ
laocert 04 February 2020 4707 reads
Print
Man-in-the-Middle 102 - Part 2 : DNS Spoof
ຈາກທີ່ຜູ້ຂຽນໄດ້ນຳສະເໜີເຖິງວິທີການໂຈມຕີແບບ Man-in-the-Middle ແລະໄດ້ອະທິບາຍການໂຈມຕີດ້ວຍວິທີ ARP Spoof ໄປແລ້ວໃນບົດຄວາມກ່ອນໜ້າ ຈະສັງເກດໄດ້ວ່າ ການໂຈມຕີໂດຍວິທີ Man-in-the-Middle ນັ້ນ ເປັນການໃຊ້ຊ່ອງໂຫວ່ຂອງການກວດສອບຂໍ້ມູນທີ່ຮັບສົ່ງ ຊຶ່ງເຮັດໃຫ້ຜູ້ບໍ່ຫວັງດີສາມາດແຊກຕົວເຂົ້າມາເພື່ອດັກຮັບຫລືປອມແປງຂໍ້ມູນທີ່ຢູ່ລະຫວ່າງການສື່ສານໄດ້ ໃນບົດຄວາມ Man-in-the-Middle 102 ຕອນທີ່ 2 ນີ້ຈະກ່າວເຖິງການໂຈມຕີດ້ວຍວິທີ DNS Spoof ຫລືການປອມແປງ DNS
DNS ຄືຫຍັງ
ເຄື່ອງຄອມພິວເຕີໃນລະບົບອິນເຕີເນັດ ຈະຕິດຕໍ່ສື່ສານກັນຜ່ານທາງ IP Address ເຊັ່ນ 122.248.233.179 ເປັນຕົ້ນ ຊຶ່ງຫາກ IP Address ດັ່ງກ່າວນີ້ເປັນຂອງເຄື່ອງເຊີເວີທີ່ໃຫ້ບໍລິການເວັບໄຊ ຜູ້ໃຊ້ກໍສາມາດພິມ IP Address ນີ້ລົງໃນຊ່ອງ Address Bar ຂອງບາວເຊີເພື່ອເຂົ້າເຖິງເວັບໄຊນີ້ໄດ້ ແຕ່ຢ່າງໃດກໍຕາມ ການໃຊ້ IP Address ໃນການເຂົ້າເຖິງເວັບໄຊນັ້ນຈື່ຍາກແລະບໍ່ສະດວກໃນການໃຊ້ງານ ຈຶ່ງມີການຄິດຄົ້ນສິ່ງທີ່ຮຽກວ່າ Domain Name ຂຶ້ນມາ ຊຶ່ງເປັນການໃຊ້ຊື່ທີ່ເປັນຕົວອັກສອນທີ່ມີຄວາມຫມາຍໃນການຮຽກແທນ IP Address ເຊັ່ນ www.Laocert.gov.la ສາມາດໃຊ້ຮຽກແທນ IP Address 202.9.79.196 ໄດ້ ເປັນຕົ້ນ ການເຮັດວຽກງານຂອງລະບົບດັ່ງກ່າວນີ້ປຽບໄດ້ກັບການຈົດບັນທຶກລາຍຊື່ຜູ້ຕິດຕໍ່ລົງໃນສະໝຸດໂທລະສັບ ຊຶ່ງເປັນການແທນທີ່ໝາຍເລກໂທລະສັບດ້ວຍຊື່ຂອງຜູ້ຕິດຕໍ່ທີ່ຈື່ງ່າຍກວ່າ ໂປໂຕຄອນທີ່ໃຊ້ໃນການສືບຄົ້ນ Domain Name ເພື່ອຫາ IP Address ທີ່ສຳພັດກັບ Domain Name ນັ້ນ ຮຽກວ່າ Domain Name System (DNS) [1]
ການເຮັດວຽກງານຂອງ DNS
ເພື່ອໃຫ້ເຂົ້າໃຈຫລັກການເຮັດວຽກງານຂອງ DNS ງ່າຍຂຶ້ນ ຈະຂໍອະທິບາຍລຳດັບການເຮັດວຽກງານຂອງເຄື່ອງຄອມພິວເຕີເມື່ອຜູ້ໃຊ້ຕ້ອງການເຂົ້າໃຊ້ງານເວັບໄຊລາວເຊີດ ໂດຍເມື່ອຜູ້ໃຊ້ພິມ www.laocert.gov.la ທີ່ຊ່ອງ Address Bar ຂອງບາວເຊີ ຈະມີການເຮັດວຽກງານດັ່ງນີ້
1. ຄົ້ນຫາຂໍ້ມູນຈາກໄຟລ hosts
ໄຟລ hosts ເປັນໄຟລທີ່ໃຊ້ສຳລັບກຳນົດຄ່າ IP Address ແລະ Domain Name ໂດຍປົກກະຕິແລ້ວລະບົບປະຕິບັດການຕ່າງໆ ຈະເກັບໄຟລ hosts ໄວ້ທີ່ຕຳແໜ່ງດັ່ງນີ້
- Windows ຢູ່ທີ່ Windows\System32\drivers\etc\hosts
- Mac OS X ຢູ່ທີ່ /private/etc/hosts
- Linux ຢູ່ທີ່ /etc/hosts
ໄຟລ hosts ເປັນໄຟລຂໍ້ຄວາມທຳມະດາ ສາມາດໃຊ້ໂປແກມ Text Editor ເປີດຂຶ້ນມາເພື່ອເບິ່ງຫລືແກ້ໄຂໄດ້ ດັ່ງຮູບທີ່ 1 ຢ່າງໃດກໍຕາມ ການແກ້ໄຂໄຟລດັ່ງກ່າວນີ້ສາມາດເຮັດໄດ້ສະເພາະຜູ້ທີ່ມີສິດທິຂອງຜູ້ເບິ່ງແຍງລະບົບ ເທົ່ານັ້ນ ຫາກເຄື່ອງຄອມພິວເຕີບໍ່ພົບຂໍ້ມູນຂອງ www.laocert.gov.la ໃນໄຟລ hosts ກໍຈະໄປຄົ້ນຂໍ້ມູນຈາກ DNS Table
ຮູບທີ່ 1 ຕົວຢ່າງຂໍ້ມູນໃນໄຟລ hosts ໃນລະບົບປະຕິບັດການ Windows 7
2. ຄົ້ນຫາຂໍ້ມູນຈາກ DNS Table
DNS Table ຫລື DNS Cache ໃຊ້ໃນການເກັບຂໍ້ມູນ Domain Name ແລະ IP Address ທີ່ເຄີຍຄົ້ນຫາມາແລ້ວ ເພື່ອທີ່ຈະໄດ້ບໍ່ຕ້ອງສອບຖາມກັບ DNS Server ເມື່ອຕ້ອງການຮຽກໃຊ້ງານ Domain Name ນີ້ອີກໃນເທື່ອຖັດໄປ ການກວດສອບຂໍ້ມູນໃນ DNS Table ສາມາດເຮັດໄດ້ດັ່ງນີ້
- Windows ໃຊ້ຄຳສັ່ງ ipconfig /displaydns
- Mac OS X ໃຊ້ຄຳສັ່ງ dscacheutil -cachedump -entries
Linux ໂດຍປົກກະຕິແລ້ວຈະບໍ່ມີການເຮັດ DNS Table ແຕ່ໃນບາງ Distro ອາດມີການຕິດຕັ້ງໂປແກມເພິ່ມເຕິມເພື່ອມາຈັດການໃນສ່ວນນີ້ ເຊັ່ນ ໂປແກມ nscd (Name Service Cache Daemon)
ຮູບທີ່ 2 ຕົວຢ່າງຂໍ້ມູນ DNS Table ໃນລະບົບປະຕິບັດການ Windows 7
ຫາກເປີດເຄື່ອງຂຶ້ນມາໃໝ່ ລະບົບຈະຍັງບໍ່ມີຂໍ້ມູນໃນ DNS Table ເຄື່ອງຄອມພິວເຕີຈະຕ້ອງສອບຖາມກັບ DNS Server ເພື່ອຂໍຮູ້ IP Address ຂອງ Domain Name ນັ້ນ
3. ຄົ້ນຫາຂໍ້ມູນຈາກ DNS Server
DNS Server ເປັນເຄື່ອງເຊີເວີທີ່ມີຖານຂໍ້ມູນຂອງ Domain Name ແລະ IP Address ໂດຍປົກກະຕິແລ້ວການຕັ້ງຄ່າ DNS Server ຈະຖືກກຳນົດມາໃຫ້ຈາກ ISP ຫລື Router ໃນຕອນທີ່ຜູ້ໃຊ້ເຊື່ອມຕໍ່ເຂົ້າກັບລະບົບເຄືອຂ່າຍ ຕົວຢ່າງການຕັ້ງຄ່າ DNS Server ເປັນດັ່ງຮູບທີ່ 3 ຢ່າງໃດກໍຕາມ ຜູ້ໃຊ້ສາມາດກຳນົດການຕັ້ງຄ່າ DNS Server ເອງໄດ້
ຮູບທີ່ 3 ຕົວຢ່າງການຕັ້ງຄ່າ DNS Server ໃນລະບົບປະຕິບັດການ Windows 7
ໃນການເຮັດວຽກງານ ເມື່ອເຄື່ອງຂອງຜູ້ໃຊ້ສົ່ງ DNS Query ໄປຫາ DNS Server ຜ່ານ UDP Port 53 ໂດຍລະບຸ Domain Name ທີ່ຕ້ອງການຫາຂໍ້ມູນ ເຄື່ອງເຊີເວີຈະຄົ້ນຫາ Domain Name ນັ້ນໃນຖານຂໍ້ມູນ ຫາກພົບກໍຈະສົ່ງ DNS Response ຕອບ IP Address ກັບໄປໃຫ້ [2] ຕົວຢ່າງ DNS Query ແລະ DNS Response ເປັນດັ່ງຮູບທີ່ 4
ຮູບທີ່ 4 ຕົວຢ່າງ DNS Query ແລະ DNS Response (ທີ່ມາ WindowsSecurity.com)
ຢ່າງໃດກໍຕາມ ຂັ້ນຕອນການເຮັດວຽກຂອງ DNS ນັ້ນບໍ່ມີການກວດສອບຄວາມຖືກຕ້ອງຂອງຂໍ້ມູນທີ່ຮັບສົ່ງ ຈຶ່ງເປັນຊ່ອງໂຫວ່ໃຫ້ຜູ້ບໍ່ຫວັງດີໂຈມຕີຜ່ານຈຸດນີ້ໄດ້ໂດຍການເຮັດ DNS Spoof
DNS Spoof
ການເຮັດ DNS Spoofing ຫລື DNS Cache Poisoning ຄືການປ່ຽນຂໍ້ມູນຂອງ DNS ໃຫ້ແລ່ນ ໄປທີ່ IP Address ປາຍທາງທີ່ອື່ນທີ່ບໍ່ແມ່ນຂອງຈິງ ຊຶ່ງວິທີການໂຈມຕີແບບນີ້ຈະສັງເກດເຫັນຄວາມຜິດປົກກະຕິໄດ້ຍາກ ເນື່ອງຈາກໃນ Address Bar ຂອງບາວເຊີຈະສະແດງ URL ທີ່ຖືກຕ້ອງ ແຕ່ເວັບໄຊປາຍທາງນັ້ນບໍ່ແມ່ນເວັບໄຊທີ່ແທ້ຈິງ ຈຸດປະສົງຫລັກໆ ຂອງການໂຈມຕີດ້ວຍວິທີນີ້ອາດຈະເປັນການລັກຂໍ້ມູນຫລືເພື່ອເຜີຍແຜ່ມັນແວ [3] ຕົວຢ່າງການໂຈມຕີດ້ວຍວິທີ ARP Spoof ເຊັ່ນ
ແກ້ໄຂໄຟລ hosts
ເນື່ອງຈາກໄຟລ hosts ເປັນໄຟລຂໍ້ຄວາມທຳມະດາ ຈຶ່ງສາມາດໃຊ້ໂປແກມ Text Editor ເປີດຂຶ້ນມາແກ້ໄຂໄດ້ ດັ່ງນັ້ນຫາກມີການແກ້ໄຂໄຟລດັ່ງກ່າວໂດຍໃສ່ Domain Name ແລະ IP Address ທີ່ບໍ່ມີຢູ່ຈິງລົງໄປ ກໍຈະບໍ່ສາມາດເຂົ້າໃຊ້ງານເວັບໄຊທີ່ມີ Domain Name ດັ່ງກ່າວໄດ້ ຫລືຫາກມີຜູ້ບໍ່ຫວັງດີແກ້ໄຂໄຟລ hosts ໂດຍໃຫ້ Domain Name ຂອງເວັບໄຊໃດໆ ຊີ້ໄປທີ່ IP ຂອງເວັບໄຊອື່ນກໍສາມາດເຮັດໄດ້ເຊັ່ນກັນ ຊຶ່ງການແກ້ໄຂຂໍ້ມູນໃນໄຟລ hosts ເພື່ອໃຫ້ຊີ້ໄປທີ່ເວັບໄຊອື່ນອາດເກີດຈາກການກະທຳຂອງຜູ້ບໍ່ຫວັງດີຫລືອາດເກີດຈາກມັນແວກໍໄດ້
ຈາກຊ່ອງໂຫວ່ດັ່ງກ່າວນີ້ ທາງ Microsoft ຈຶ່ງໄດ້ເພີ່ມລະບົບປ້ອງກັນການແກ້ໄຂໄຟລ hosts ໃນ Windows 8 ໂດຍຈະມີໂປແກມ Windows Defender ຄອຍຖ້າກວດສອບວ່າມີການແກ້ໄຂຄ່າ DNS ຂອງເວັບໄຊຕ໌ສຳຄັນ ໆ ເຊັ່ນ Facebook. com ໃນໄຟລ hosts ຫລືບໍ່ ຫາກພົບກໍຈະລົບຂໍ້ມູນນັ້ນອອກເພື່ອໃຫ້ປ້ອງກັນບໍ່ໃຫ້ຜູ້ໃຊ້ຖືກຫລອກລວງຈາກເວັບໄຊປອມ ຢ່າງໃດກໍຕາມ ຜູ້ໃຊ້ຍັງສາມາດປິດການເຮັດວຽກງານຂອງລະບົບດັ່ງກ່າວນີ້ໄດ້ [4] ການປອມແປງ DNS ດ້ວຍການແກ້ໄຂໄຟລ hosts ຮຽກວ່າ Local DNS Spoofing
ກຳນົດຄ່າໃຫ້ຕິດຕໍ່ໄປຍັງ DNS Server ປ້ອມ
ເນື່ອງຈາກການເຮັດວຽກງານຂອງ DNS ຕ້ອງມີການຕິດຕໍ່ໄປຍັງ DNS Server ເພື່ອຂໍຂໍ້ມູນ IP Address ຂອງເວັບໄຊທີ່ຕ້ອງການເຂົ້າຊົມ ດັ່ງນັ້ນຈຶ່ງມີຜູ້ບໍ່ຫວັງດີພັດທະນາມັນແວຂຶ້ນມາເພື່ອປ່ຽນແປງການຕັ້ງຄ່າ DNS Server ໃນເຄື່ອງຂອງຜູ້ໃຊ້ໃຫ້ວິ່ງມາທີ່ເຄື່ອງ DNS Server ຂອງຜູ້ສ້າງມັນແວ ຕົວຢ່າງມັນແວທີ່ໂຈມຕີດ້ວຍວິທີການນີ້ ເຊັ່ນ DNS Changer
ສົ່ງ DNS Response ປ້ອມ
ເນື່ອງຈາກການຕິດຕໍ່ຂໍຂໍ້ມູນ IP Address ຈາກເຄື່ອງ DNS Server ຈຳເປັນຕ້ອງມີການສົ່ງ DNS Request ອອກໄປແລ້ວລໍໃຫ້ ເຊີເວີຕອບ DNS Response ກັບມາ ໃນລະຫວ່າງທີ່ກຳລັງລໍຄຳຕອບຈາກເຄື່ອງ DNS Server ຢູ່ນັ້ນ ຫາກມີຜູ້ບໍ່ຫວັງດີສົ່ງ DNS Response ຕອບ IP Address ທີ່ບໍ່ຖືກຕ້ອງກັບມາໃຫ້ ເຄື່ອງຄອມພິວເຕີກໍຈະເຂົ້າໃຈວ່າຄຳຕອບນັ້ນເປັນ IP Address ຈິງຂອງ Domain Name ທີ່ຕ້ອງການຕິດຕໍ່ດ້ວຍ ຕົວຢ່າງໂປແກມທີ່ໃຊ້ໃນການໂຈມຕີດ້ວຍວິທີນີ້ ເຊັ່ນ dsniff ຫລື ettercap ດັ່ງຮູບທີ່ 5 ການໂຈມຕີດ້ວຍວິທີການສົ່ງ DNS Response ປ້ອມ ຮຽກວ່າ Remote DNS Spoofing
ຮູບທີ່ 5 ຕົວຢ່າງໂປແກມ ettercap
ການກວດສອບແລະປ້ອງກັນ
ການກວດສອບວ່າຖືກໂຈມຕີດ້ວຍວິທີ DNS Spoof ຫລືບໍ່ນັ້ນອາດເຮັດໄດ້ຍາກ ເນື່ອງຈາກເປັນວິທີການໂຈມຕີທີ່ແນບນຽນແລະແທບຈະບໍ່ເຫັນຄວາມຜິດປົກກະຕິ ຢ່າງໃດກໍຕາມ ຜູ້ໃຊ້ອາດກວດສອບຂໍ້ມູນຈາກໄຟລ hosts ຂອງເຄື່ອງວ່າມີການຕັ້ງຄ່າ Domain Name ທີ່ມີລັກສະນະຜິດປົກກະຕິນຳຫລືບໍ່ ລວມທັງອາດກວດສອບຈາກການຕັ້ງຄ່າ DNS Server ໃນເຄື່ອງດ້ວຍ
ນອກຈາກນີ້ ຜູ້ໃຊ້ສາມາດກຳນົດການຕັ້ງຄ່າ DNS Server ໃຫ້ໃຊ້ຂໍ້ມູນຈາກ Public DNS Server ທີ່ເຊື່ອຖືໄດ້ ເຊັ່ນ OpenDNS ຫລື Google Public DNS ເປັນຕົ້ນ ຕົວຢ່າງການຕັ້ງຄ່າການເຊື່ອມຕໍ່ໃຫ້ໃຊ້ Google Public DNS Server ເປັນດັ່ງຮູບທີ່ 6
ຮູບທີ່ 6 ການກຳນົດຄ່າໃຫ້ໃຊ້ DNS Server ຂອງ Google
ອ້າງອິງ