مجموعة من الباحثين من جامعة تل أبيب والمركز متعدد التخصصات في هرتسليا (إسرائيل)
تتعلق المشكلة بخصائص البروتوكول وتؤثر على جميع خوادم DNS التي تدعم معالجة الاستعلام العودي، بما في ذلك
يعتمد الهجوم على المهاجم الذي يستخدم الطلبات التي تشير إلى عدد كبير من سجلات NS الوهمية غير المرئية سابقًا، والتي يتم تفويض تحديد الاسم إليها، ولكن دون تحديد سجلات لاصقة تحتوي على معلومات حول عناوين IP لخوادم NS في الاستجابة. على سبيل المثال، يرسل أحد المهاجمين استعلامًا لحل الاسم sd1.attacker.com عن طريق التحكم في خادم DNS المسؤول عن مجال Attacker.com. استجابة لطلب المحلل إلى خادم DNS الخاص بالمهاجم، يتم إصدار استجابة تقوم بتفويض تحديد عنوان sd1.attacker.com إلى خادم DNS الخاص بالضحية من خلال الإشارة إلى سجلات NS في الاستجابة دون تفصيل خوادم IP NS. نظرًا لعدم مواجهة خادم NS المذكور من قبل ولم يتم تحديد عنوان IP الخاص به، يحاول المحلل تحديد عنوان IP لخادم NS عن طريق إرسال استعلام إلى خادم DNS الخاص بالضحية الذي يخدم المجال الهدف (victim.com).
المشكلة هي أن المهاجم يمكنه الرد بقائمة ضخمة من خوادم NS غير المتكررة بأسماء نطاقات فرعية وهمية للضحية غير موجودة (fake-1.victim.com، fake-2.victim.com،... fake-1000. الضحية.كوم). سيحاول المحلل إرسال طلب إلى خادم DNS الخاص بالضحية، ولكنه سيتلقى ردًا يفيد بعدم العثور على المجال، وبعد ذلك سيحاول تحديد خادم NS التالي في القائمة، وهكذا حتى يجرب كل الحلول. سجلات NS المدرجة من قبل المهاجم. وفقًا لذلك، بالنسبة لطلب أحد المهاجمين، سيرسل المحلل عددًا كبيرًا من الطلبات لتحديد مضيفي NS. نظرًا لأن أسماء خوادم NS يتم إنشاؤها بشكل عشوائي وتشير إلى نطاقات فرعية غير موجودة، فلا يتم استردادها من ذاكرة التخزين المؤقت ويؤدي كل طلب من المهاجم إلى موجة من الطلبات إلى خادم DNS الذي يخدم مجال الضحية.
قام الباحثون بدراسة درجة ضعف محللات DNS العامة تجاه المشكلة وتوصلوا إلى أنه عند إرسال الاستعلامات إلى محلل CloudFlare (1.1.1.1)، من الممكن زيادة عدد الحزم (PAF، Packet Amplification Factor) بمقدار 48 مرة، جوجل (8.8.8.8) - 30 مرة، FreeDNS (37.235.1.174) - 50 مرة، OpenDNS (208.67.222.222) - 32 مرة. ويلاحظ المزيد من المؤشرات الملحوظة ل
المستوى 3 (209.244.0.3) - 273 مرة، Quad9 (9.9.9.9) - 415 مرة
SafeDNS (195.46.39.39) - 274 مرة، Verisign (64.6.64.6) - 202 مرة،
Ultra (156.154.71.1) – 405 مرة، Comodo Secure (8.26.56.26) – 435 مرة، DNS.Watch (84.200.69.80) – 486 مرة، وNorton ConnectSafe (199.85.126.10) – 569 مرة. بالنسبة للخوادم المستندة إلى BIND 9.12.3، نظرًا لتوازي الطلبات، يمكن أن يصل مستوى الكسب إلى 1000. في Knot Resolver 5.1.0، يبلغ مستوى الكسب عدة عشرات من المرات تقريبًا (24-48)، منذ تحديد يتم تنفيذ أسماء NS بشكل تسلسلي وتعتمد على الحد الداخلي لعدد خطوات تحليل الاسم المسموح بها لطلب واحد.
هناك نوعان من استراتيجيات الدفاع الرئيسية. للأنظمة التي تحتوي على DNSSEC
المصدر: opennet.ru