ከቴል አቪቭ ዩኒቨርሲቲ የተመራማሪዎች ቡድን እና በሄርዝሊያ (እስራኤል) የኢንተርዲሲፕሊን ማእከል
ችግሩ ከፕሮቶኮሉ ልዩ ባህሪያት ጋር የተያያዘ እና ተደጋጋሚ የመጠይቅ ሂደትን የሚደግፉ ሁሉንም የዲ ኤን ኤስ አገልጋዮችን ይነካል።
ጥቃቱ በአጥቂው ላይ የተመሰረተ ነው ብዙ ቁጥር ያላቸውን ቀደም ሲል የማይታዩ ምናባዊ የኤንኤስ መዝገቦችን የሚያመለክቱ ጥያቄዎችን በመጠቀም የስም ውሳኔው ተላልፏል ነገር ግን በምላሹ የ NS አገልጋዮችን የአይፒ አድራሻዎች በተመለከተ የማጣበቂያ መዝገቦችን ሳይገልጽ። ለምሳሌ፣ አጥቂ ለአጥቂ.com ጎራ ተጠያቂ የሆነውን የዲኤንኤስ አገልጋይ በመቆጣጠር sd1.attacker.com የሚለውን ስም ለመፍታት ጥያቄ ይልካል። ፈታኙ ለአጥቂው ዲ ኤን ኤስ አገልጋይ ላቀረበው ጥያቄ ምላሽ የ sd1.attacker.com አድራሻን ለተጎጂው ዲ ኤን ኤስ አገልጋይ የ NS መዝገቦችን በማመልከት የአይፒ ኤን ኤስ አገልጋዮችን በዝርዝር ሳይገልጽ ምላሽ ይሰጣል ። የተጠቀሰው የኤንኤስ አገልጋይ ከዚህ በፊት ስላላጋጠመው እና የአይፒ አድራሻው ስላልተገለጸ ፈታኙ የ NS አገልጋይን IP አድራሻ ለማወቅ የሚሞክር ጥያቄን ወደ ኢላማው ጎራ (victim.com) የሚያገለግል ለተጎጂ ዲ ኤን ኤስ አገልጋይ በመላክ ነው።
ችግሩ አጥቂው ብዙ የማይደጋገሙ የኤንኤስ አገልጋዮች ከሌሉ ምናባዊ የተጎጂ ንዑስ ጎራ ስሞች (fake-1.victim.com፣ fake-2.victim.com፣... fake-1000) ጋር ምላሽ መስጠት ይችላል። ተጠቂ.com). ፈላጊው ለተጠቂው ዲ ኤን ኤስ አገልጋይ ጥያቄ ለመላክ ይሞክራል ነገር ግን ጎራው አልተገኘም የሚል ምላሽ ይደርሰዋል፣ከዚያ በኋላ በዝርዝሩ ውስጥ ያለውን ቀጣዩን የኤንኤስ አገልጋይ ለማወቅ ይሞክራል እና ሁሉንም እስኪሞክር ድረስ ይቀጥላል። በአጥቂው የተዘረዘሩት የኤን.ኤስ. በዚህ መሠረት፣ ለአንድ አጥቂ ጥያቄ፣ ፈቺው የኤንኤስ አስተናጋጆችን ለመወሰን እጅግ በጣም ብዙ ጥያቄዎችን ይልካል። የኤንኤስ አገልጋይ ስሞች በዘፈቀደ የሚፈጠሩ እና የሌሉ ንዑስ ጎራዎችን የሚያመለክቱ በመሆናቸው ከመሸጎጫው የማይወጡ እና ከአጥቂው የቀረበው እያንዳንዱ ጥያቄ የተጎጂውን ጎራ የሚያገለግል የዲ ኤን ኤስ አገልጋይ ብዙ ጥያቄዎችን ያስከትላል።
ተመራማሪዎች የህዝብ ዲ ኤን ኤስ ፈላጊዎችን ለችግሩ ተጋላጭነት ደረጃ ያጠኑ እና መጠይቆችን ወደ CloudFlare solver (1.1.1.1) በሚልኩበት ጊዜ የፓኬቶችን ብዛት (PAF ፣ Packet Amplification Factor) በ 48 ጊዜ ማሳደግ እንደሚቻል ወስነዋል ፣ Google (8.8.8.8) - 30 ጊዜ, FreeDNS (37.235.1.174) - 50 ጊዜ, OpenDNS (208.67.222.222) - 32 ጊዜ. ለ ተጨማሪ ትኩረት የሚስቡ አመልካቾች ተስተውለዋል
ደረጃ 3 (209.244.0.3) - 273 ጊዜ, ኳድ9 (9.9.9.9) - 415 ጊዜ
SafeDNS (195.46.39.39) - 274 ጊዜ, Verisign (64.6.64.6) - 202 ጊዜ,
Ultra (156.154.71.1) - 405 ጊዜ, ኮሞዶ ደህንነቱ የተጠበቀ (8.26.56.26) - 435 ጊዜ, DNS.Watch (84.200.69.80) - 486 ጊዜ, እና ኖርተን ConnectSafe (199.85.126.10) - 569 ጊዜ. በ BIND 9.12.3 ላይ ለተመሠረቱ አገልጋዮች፣ በጥያቄዎች ትይዩ ምክንያት፣ የትርፍ ደረጃው እስከ 1000 ሊደርስ ይችላል። በ Knot Resolver 5.1.0፣ የትርፍ ደረጃው ከተወሰነው ጊዜ ጀምሮ በግምት ብዙ አስር ጊዜ (24-48) ነው። የኤንኤስ ስሞች በቅደም ተከተል ይከናወናሉ እና ለአንድ ጥያቄ በተፈቀደው የስም መፍቻ ደረጃዎች ላይ ባለው ውስጣዊ ገደብ ላይ ያርፋሉ።
ሁለት ዋና ዋና የመከላከያ ስልቶች አሉ. DNSSEC ላላቸው ስርዓቶች
ምንጭ: opennet.ru