የNXNSA ጥቃት ሁሉንም የዲ ኤን ኤስ ፈላጊዎችን ይነካል።

ከቴል አቪቭ ዩኒቨርሲቲ የተመራማሪዎች ቡድን እና በሄርዝሊያ (እስራኤል) የኢንተርዲሲፕሊን ማእከል አድጓል አዲስ የጥቃት ዘዴ NXNSA ጥቃት (ፒዲኤፍ), ማንኛውንም የዲ ኤን ኤስ መፍታት እንደ የትራፊክ ማጉሊያ እንድትጠቀም ያስችልሃል፣ ከፓኬቶቹ ብዛት አንፃር እስከ 1621 ጊዜ የማጉላት ፍጥነት (ወደ ፈላጊው ለሚላክ ለእያንዳንዱ ጥያቄ 1621 ለተጠቂው አገልጋይ የሚላኩ ጥያቄዎችን ማሳካት ትችላለህ) እና ከትራፊክ አንፃር እስከ 163 ጊዜ.

ችግሩ ከፕሮቶኮሉ ልዩ ባህሪያት ጋር የተያያዘ እና ተደጋጋሚ የመጠይቅ ሂደትን የሚደግፉ ሁሉንም የዲ ኤን ኤስ አገልጋዮችን ይነካል። BIND (CVE-2020-8616) ፣ ቋጠሮ (CVE-2020-12667) ፣ PowerDNS (CVE-2020-10995) ፣ የዊንዶውስ ዲ ኤን ኤስ አገልጋይ и ሳይገደቡ (CVE-2020-12662)፣ እንዲሁም የGoogle፣ Cloudflare፣ Amazon፣ Quad9፣ ICANN እና ሌሎች ኩባንያዎች የህዝብ ዲ ኤን ኤስ አገልግሎቶች። ጥገናው በዲ ኤን ኤስ አገልጋይ ገንቢዎች የተቀናጀ ሲሆን ይህም በምርታቸው ላይ ያለውን ተጋላጭነት ለማስተካከል በአንድ ጊዜ ዝማኔዎችን አውጥቷል። በመልቀቂያዎች ውስጥ የጥቃት መከላከያ ተተግብሯል
የማይታሰር 1.10.1, Knot Resolver 5.1.1, የPowerDNS Recursor 4.3.1, 4.2.2, 4.1.16, ማሰር 9.11.19, 9.14.12, 9.16.3.

ጥቃቱ በአጥቂው ላይ የተመሰረተ ነው ብዙ ቁጥር ያላቸውን ቀደም ሲል የማይታዩ ምናባዊ የኤንኤስ መዝገቦችን የሚያመለክቱ ጥያቄዎችን በመጠቀም የስም ውሳኔው ተላልፏል ነገር ግን በምላሹ የ NS አገልጋዮችን የአይፒ አድራሻዎች በተመለከተ የማጣበቂያ መዝገቦችን ሳይገልጽ። ለምሳሌ፣ አጥቂ ለአጥቂ.com ጎራ ተጠያቂ የሆነውን የዲኤንኤስ አገልጋይ በመቆጣጠር sd1.attacker.com የሚለውን ስም ለመፍታት ጥያቄ ይልካል። ፈታኙ ለአጥቂው ዲ ኤን ኤስ አገልጋይ ላቀረበው ጥያቄ ምላሽ የ sd1.attacker.com አድራሻን ለተጎጂው ዲ ኤን ኤስ አገልጋይ የ NS መዝገቦችን በማመልከት የአይፒ ኤን ኤስ አገልጋዮችን በዝርዝር ሳይገልጽ ምላሽ ይሰጣል ። የተጠቀሰው የኤንኤስ አገልጋይ ከዚህ በፊት ስላላጋጠመው እና የአይፒ አድራሻው ስላልተገለጸ ፈታኙ የ NS አገልጋይን IP አድራሻ ለማወቅ የሚሞክር ጥያቄን ወደ ኢላማው ጎራ (victim.com) የሚያገለግል ለተጎጂ ዲ ኤን ኤስ አገልጋይ በመላክ ነው።

ችግሩ አጥቂው ብዙ የማይደጋገሙ የኤንኤስ አገልጋዮች ከሌሉ ምናባዊ የተጎጂ ንዑስ ጎራ ስሞች (fake-1.victim.com፣ fake-2.victim.com፣... fake-1000) ጋር ምላሽ መስጠት ይችላል። ተጠቂ.com). ፈላጊው ለተጠቂው ዲ ኤን ኤስ አገልጋይ ጥያቄ ለመላክ ይሞክራል ነገር ግን ጎራው አልተገኘም የሚል ምላሽ ይደርሰዋል፣ከዚያ በኋላ በዝርዝሩ ውስጥ ያለውን ቀጣዩን የኤንኤስ አገልጋይ ለማወቅ ይሞክራል እና ሁሉንም እስኪሞክር ድረስ ይቀጥላል። በአጥቂው የተዘረዘሩት የኤን.ኤስ. በዚህ መሠረት፣ ለአንድ አጥቂ ጥያቄ፣ ፈቺው የኤንኤስ አስተናጋጆችን ለመወሰን እጅግ በጣም ብዙ ጥያቄዎችን ይልካል። የኤንኤስ አገልጋይ ስሞች በዘፈቀደ የሚፈጠሩ እና የሌሉ ንዑስ ጎራዎችን የሚያመለክቱ በመሆናቸው ከመሸጎጫው የማይወጡ እና ከአጥቂው የቀረበው እያንዳንዱ ጥያቄ የተጎጂውን ጎራ የሚያገለግል የዲ ኤን ኤስ አገልጋይ ብዙ ጥያቄዎችን ያስከትላል።

ተመራማሪዎች የህዝብ ዲ ኤን ኤስ ፈላጊዎችን ለችግሩ ተጋላጭነት ደረጃ ያጠኑ እና መጠይቆችን ወደ CloudFlare solver (1.1.1.1) በሚልኩበት ጊዜ የፓኬቶችን ብዛት (PAF ፣ Packet Amplification Factor) በ 48 ጊዜ ማሳደግ እንደሚቻል ወስነዋል ፣ Google (8.8.8.8) - 30 ጊዜ, FreeDNS (37.235.1.174) - 50 ጊዜ, OpenDNS (208.67.222.222) - 32 ጊዜ. ለ ተጨማሪ ትኩረት የሚስቡ አመልካቾች ተስተውለዋል
ደረጃ 3 (209.244.0.3) - 273 ጊዜ, ኳድ9 (9.9.9.9) - 415 ጊዜ
SafeDNS (195.46.39.39) - 274 ጊዜ, Verisign (64.6.64.6) - 202 ጊዜ,
Ultra (156.154.71.1) - 405 ጊዜ, ኮሞዶ ደህንነቱ የተጠበቀ (8.26.56.26) - 435 ጊዜ, DNS.Watch (84.200.69.80) - 486 ጊዜ, እና ኖርተን ConnectSafe (199.85.126.10) - 569 ጊዜ. በ BIND 9.12.3 ላይ ለተመሠረቱ አገልጋዮች፣ በጥያቄዎች ትይዩ ምክንያት፣ የትርፍ ደረጃው እስከ 1000 ሊደርስ ይችላል። በ Knot Resolver 5.1.0፣ የትርፍ ደረጃው ከተወሰነው ጊዜ ጀምሮ በግምት ብዙ አስር ጊዜ (24-48) ነው። የኤንኤስ ስሞች በቅደም ተከተል ይከናወናሉ እና ለአንድ ጥያቄ በተፈቀደው የስም መፍቻ ደረጃዎች ላይ ባለው ውስጣዊ ገደብ ላይ ያርፋሉ።

ሁለት ዋና ዋና የመከላከያ ስልቶች አሉ. DNSSEC ላላቸው ስርዓቶች ሀሳብ አቀረበ መጠቀም አር.ሲ.ኤፍ.-8198 ጥያቄዎች በዘፈቀደ ስሞች ስለሚላኩ የዲ ኤን ኤስ መሸጎጫ ማለፍን ለመከላከል። የስልቱ ይዘት ስልጣን ያላቸው የዲ ኤን ኤስ አገልጋዮችን ሳያገኙ አሉታዊ ምላሾችን ማመንጨት ነው፣ በDNSSEC በኩል የክልሎችን ማረጋገጥ። ቀለል ያለ አቀራረብ አንድ የውክልና ጥያቄ ሲቀርብ ሊገለጹ የሚችሉትን የስሞች ብዛት መገደብ ነው፣ ነገር ግን ይህ ዘዴ በፕሮቶኮሉ ውስጥ ገደቦቹ ስላልተገለጹ በአንዳንድ ነባር ውቅሮች ላይ ችግር ሊፈጥር ይችላል።

ምንጭ: opennet.ru