<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Dhcp on Roduygo | Blog</title><link>/tags/dhcp/</link><description>Recent content in Dhcp on Roduygo | Blog</description><generator>Hugo -- gohugo.io</generator><language>en</language><lastBuildDate>Thu, 21 May 2026 22:53:00 +0700</lastBuildDate><atom:link href="/tags/dhcp/index.xml" rel="self" type="application/rss+xml"/><item><title>Hạ tầng Mạng (DNS &amp; DHCP)</title><link>/post/dns-dhcp-network-infrastructure/</link><pubDate>Thu, 21 May 2026 22:53:00 +0700</pubDate><guid>/post/dns-dhcp-network-infrastructure/</guid><description>&lt;p&gt;Chào mừng các bạn tiếp tục với Series Giải phẫu Mạng &amp;amp; Packet Analysis! Sau khi đã thiết lập xong &amp;ldquo;đường hầm&amp;rdquo; mã hóa vững chắc ở Tầng 6, chúng ta chính thức bước chân vào Lớp 7 (Application). Đây là nơi chứa đựng những giao thức nền tảng nhất giúp Internet vận hành, nhưng cũng là những &amp;ldquo;góc khuất ngây thơ&amp;rdquo; nhất vì mặc định chúng thiếu đi các cơ chế bảo mật cốt lõi. Hôm nay, chúng ta sẽ cùng bóc tách hệ thống phân giải tên miền (DNS) và quá trình xin cấp phát IP tự động (DHCP), đồng thời phân tích các đòn đánh hiểm hóc nhắm vào chúng.&lt;/p&gt;
&lt;h2 id="1-dns-domain-name-system---bản-danh-bạ-của-internet"&gt;1. DNS (Domain Name System) - Bản danh bạ của Internet
&lt;/h2&gt;&lt;p&gt;Hệ thống phân giải tên miền (&lt;strong&gt;DNS&lt;/strong&gt;) là một giao thức cốt lõi thuộc Tầng 7 (Application Layer) hoạt động chủ yếu qua cổng &lt;strong&gt;UDP 53&lt;/strong&gt;. Nhiệm vụ của nó là &amp;ldquo;dịch&amp;rdquo; các tên miền dễ nhớ đối với con người (như &lt;code&gt;google.com&lt;/code&gt;) thành địa chỉ IP thực tế để máy tính có thể giao tiếp với nhau trên mạng.&lt;/p&gt;
&lt;p&gt;Ví dụ, trước khi bạn thực sự truy cập vào trang Facebook, máy tính của bạn sẽ bắn một gói tin truy vấn DNS đến máy chủ phân giải (như &lt;code&gt;8.8.8.8&lt;/code&gt;) để hỏi IP của Facebook là gì. Sau khi DNS trả về địa chỉ IP và lưu nó vào bộ nhớ đệm (cache), trình duyệt của bạn mới bắt đầu thực hiện kết nối TCP 3 bước để trao đổi dữ liệu web.&lt;/p&gt;
&lt;h2 id="2-bắt-tại-trận-các-đòn-tấn-công-nhắm-vào-dns"&gt;2. Bắt tại trận các đòn tấn công nhắm vào DNS
&lt;/h2&gt;&lt;p&gt;DNS được thiết kế từ thời kỳ sơ khai của Internet nên nó rất &amp;ldquo;ngây thơ&amp;rdquo;: mặc định các truy vấn &lt;strong&gt;không được mã hóa&lt;/strong&gt; và &lt;strong&gt;không có cơ chế xác thực danh tính&lt;/strong&gt; mạnh mẽ. Hacker hiểu rất rõ điểm yếu này và thường xuyên tung ra các đòn tấn công sau:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;DNS Spoofing / Poisoning (Lừa đảo/Đầu độc):&lt;/strong&gt; Kẻ tấn công gửi một gói tin trả lời (Response) giả mạo chứa địa chỉ IP của máy hacker, cố gắng đến máy bạn nhanh hơn cả DNS Server thật. Nếu số định danh &lt;code&gt;Transaction ID&lt;/code&gt; trong gói tin trùng khớp, máy tính của bạn sẽ tin tưởng tuyệt đối và truy cập thẳng vào trang web lừa đảo do hacker dựng sẵn.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;DNS Tunneling (Đường hầm dữ liệu):&lt;/strong&gt; Tường lửa của các doanh nghiệp thường luôn cho phép cổng &lt;code&gt;53&lt;/code&gt; đi qua một cách tự do. Biết được kẽ hở này, hacker có thể nhồi nhét dữ liệu nhạy cảm (như mã nguồn dự án hoặc thông tin thẻ tín dụng) vào bên trong các truy vấn DNS thông thường để âm thầm tuồn dữ liệu ra ngoài (&lt;strong&gt;Data Exfiltration&lt;/strong&gt;) mà không bị hệ thống IDS/IPS chặn lại.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;DNS Hijacking (Chiếm quyền điều khiển):&lt;/strong&gt; Kẻ gian trực tiếp thay đổi cài đặt máy chủ DNS trên hệ điều hành máy nạn nhân hoặc trên Router để trỏ mọi truy vấn phân giải về một DNS Server do chúng kiểm soát hoàn toàn.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Dưới đây là output Wireshark ghi lại một truy vấn DNS bình thường. Nếu bị &lt;strong&gt;DNS Spoofing&lt;/strong&gt;, IP trả về ở gói số 2 sẽ là IP của kẻ tấn công thay vì IP thật:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;# Máy khách 192.168.1.156 hỏi DNS Server 203.113.188.6 địa chỉ của google.com
# Bộ lọc Wireshark: dns &amp;amp;&amp;amp; ip.addr == 192.168.1.156

No. Time Source Destination Protocol Info
1 0.000000 192.168.1.156 -&amp;gt; 203.113.188.6 DNS Standard query 0x24b7 A google.com
2 0.084123 203.113.188.6 -&amp;gt; 192.168.1.156 DNS Standard query response 0x24b7 A google.com A 142.250.198.46
&lt;/code&gt;&lt;/pre&gt;&lt;h2 id="3-dhcp-dynamic-host-configuration-protocol-và-quy-trình-dora"&gt;3. DHCP (Dynamic Host Configuration Protocol) và Quy trình DORA
&lt;/h2&gt;&lt;p&gt;Trước khi máy tính có thể &amp;ldquo;hỏi đường&amp;rdquo; bằng DNS, nó phải làm thủ tục &amp;ldquo;xin hộ khẩu&amp;rdquo; để có một địa chỉ IP nội bộ hợp lệ nhằm gia nhập mạng. Quá trình tự động hóa này do giao thức &lt;strong&gt;DHCP&lt;/strong&gt; đảm nhận, hoạt động ở Tầng 7 và sử dụng cổng &lt;strong&gt;UDP 67&lt;/strong&gt; cho Server, &lt;strong&gt;UDP 68&lt;/strong&gt; cho Client.&lt;/p&gt;
&lt;p&gt;Khi bạn vừa cắm dây cáp mạng hoặc bật Wi-Fi, một quy trình 4 bước mang tên &lt;strong&gt;DORA&lt;/strong&gt; sẽ lập tức diễn ra:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;&lt;strong&gt;D — Discover (Khám phá):&lt;/strong&gt; Máy tính của bạn lúc này chưa có IP, nó dùng địa chỉ &lt;code&gt;0.0.0.0&lt;/code&gt; để &amp;ldquo;hét&amp;rdquo; lên toàn mạng bằng gói tin Broadcast: &amp;ldquo;Có ai là DHCP Server ở đây không? Tôi cần một địa chỉ IP!&amp;rdquo;.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;O — Offer (Đề nghị):&lt;/strong&gt; Router (đóng vai trò DHCP Server) nghe thấy và đáp lại: &amp;ldquo;Tôi đây! Tôi đang có sẵn địa chỉ &lt;code&gt;192.168.1.14&lt;/code&gt; trống, cậu có muốn dùng không?&amp;rdquo;.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;R — Request (Yêu cầu):&lt;/strong&gt; Máy của bạn phản hồi lại toàn mạng: &amp;ldquo;Tuyệt quá! Tôi đồng ý dùng địa chỉ &lt;code&gt;.14&lt;/code&gt; đó. Làm ơn khóa địa chỉ đó lại cho tôi nhé!&amp;rdquo;.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;A — Acknowledge (Xác nhận):&lt;/strong&gt; Router chốt sổ và thông báo: &amp;ldquo;Ok, địa chỉ &lt;code&gt;.14&lt;/code&gt; là của cậu trong vòng 24 giờ tới. Đây là thông số DNS và Default Gateway để cậu vào mạng&amp;rdquo;.&lt;/li&gt;
&lt;/ol&gt;
&lt;h2 id="4-dhcp-starvation-và-rogue-server---sự-nguy-hiểm-của-broadcast"&gt;4. DHCP Starvation và Rogue Server - Sự nguy hiểm của Broadcast
&lt;/h2&gt;&lt;p&gt;Điểm yếu chí mạng của DHCP là nó hoạt động hoàn toàn dựa trên &lt;strong&gt;niềm tin&lt;/strong&gt; vào bất kỳ thiết bị nào phản hồi lại gói tin Broadcast (&lt;code&gt;255.255.255.255&lt;/code&gt;). Kẻ tấn công đứng trong cùng một mạng LAN có thể dễ dàng khai thác niềm tin này:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;DHCP Starvation (Tấn công làm cạn kiệt):&lt;/strong&gt; Hacker sử dụng công cụ tự động để tạo ra hàng vạn gói tin Discover với các địa chỉ MAC giả mạo liên tục. Router sẽ ngây thơ cấp phát toàn bộ dải IP trống trong kho của nó (ví dụ từ &lt;code&gt;.2&lt;/code&gt; đến &lt;code&gt;.254&lt;/code&gt;) cho các MAC ảo này. Hậu quả là khi một nhân viên thật kết nối vào mạng, Router sẽ báo &amp;ldquo;hết số&amp;rdquo; và họ không thể nhận được IP để vào mạng.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Rogue DHCP Server (Server giả mạo):&lt;/strong&gt; Hacker chủ động dựng lên một DHCP Server giả ngay trong mạng công ty. Khi máy của nhân viên gửi gói tin Discover xin IP, Server giả này sẽ phản hồi nhanh hơn cả Router thật để cấp IP — nhưng nó sẽ cấp cho nạn nhân một &lt;strong&gt;Default Gateway giả mạo&lt;/strong&gt; trỏ thẳng về máy của hacker. Lúc này, toàn bộ dữ liệu nạn nhân gửi ra Internet đều chảy xuyên qua máy kẻ tấn công, tạo nên một đòn &lt;strong&gt;Man-in-the-Middle (MitM)&lt;/strong&gt; hoàn hảo.&lt;/li&gt;
&lt;/ul&gt;

 &lt;blockquote&gt;
 &lt;p&gt;&lt;strong&gt;Cảnh báo SOC:&lt;/strong&gt; Để chống lại các cuộc tấn công hạ tầng này, quản trị viên mạng cần cấu hình tính năng &lt;strong&gt;DHCP Snooping&lt;/strong&gt; trên các Switch vật lý. Tính năng này sẽ chỉ cho phép các cổng (Port) kết nối với Router thật mới được quyền gửi gói tin &lt;code&gt;Offer&lt;/code&gt; và &lt;code&gt;Acknowledge&lt;/code&gt;, chặn đứng mọi DHCP Server giả mạo.&lt;/p&gt;

 &lt;/blockquote&gt;
&lt;hr&gt;
&lt;p&gt;&lt;em&gt;Thấu hiểu cách DNS và DHCP vận hành giúp SOC Analyst phát hiện sớm các chiến dịch đánh cắp dữ liệu hoặc nghe lén mạng nội bộ trước khi chúng gây ra hậu quả. Sau khi gói tin của chúng ta đã có IP và tìm được đích đến, nó sẽ được chuyển giao cho các giao thức truyền tải văn bản và tệp tin. Trong Bài 9 tiếp theo, chúng ta sẽ phân tích sâu hơn về HTTP/HTTPS, cách FTP làm lộ mật khẩu trần trụi và kiến trúc đường hầm an toàn của SFTP. Hẹn gặp lại các bạn!&lt;/em&gt;&lt;/p&gt;</description></item></channel></rss>