Təl-Əviv Universitetindən və Herzliyadakı (İsrail) Fənlərarası Mərkəzdən bir qrup tədqiqatçı
Problem protokolun xüsusiyyətləri ilə bağlıdır və rekursiv sorğuların işlənməsini dəstəkləyən bütün DNS serverlərinə, o cümlədən
Hücum təcavüzkarın əvvəllər görünməmiş çoxlu sayda uydurma NS qeydlərinə istinad edən sorğulardan istifadə etməsinə əsaslanır, hansı ki, onlara ad təyini verilir, lakin cavabda NS serverlərinin IP ünvanları haqqında məlumat olan yapışqan qeydlər göstərilmir. Məsələn, təcavüzkar attacker.com domeninə cavabdeh olan DNS serverinə nəzarət etməklə sd1.attacker.com adını həll etmək üçün sorğu göndərir. Təcavüzkarın DNS serverinə həlledicinin sorğusuna cavab olaraq, IP NS serverlərini təfərrüatlandırmadan cavabda NS qeydlərini göstərməklə sd1.attacker.com ünvanının müəyyən edilməsini qurbanın DNS serverinə həvalə edən cavab verilir. Sözügedən NS serverinə əvvəllər rast gəlmədiyindən və onun IP ünvanı göstərilmədiyindən, həlledici hədəf domenə (victim.com) xidmət edən qurbanın DNS serverinə sorğu göndərməklə NS serverinin IP ünvanını müəyyən etməyə çalışır.
Problem ondadır ki, təcavüzkar mövcud olmayan uydurma qurban subdomen adları (fake-1.victim.com, fake-2.victim.com,... saxta-1000) ilə təkrarlanmayan NS serverlərinin böyük siyahısı ilə cavab verə bilər. qurban.com). Həlledici qurbanın DNS serverinə sorğu göndərməyə çalışacaq, lakin domenin tapılmadığına dair cavab alacaq, bundan sonra o, siyahıda növbəti NS serverini müəyyən etməyə çalışacaq və s. Təcavüzkar tərəfindən siyahıya alınan NS qeydləri. Müvafiq olaraq, bir təcavüzkarın sorğusu üçün həlledici NS hostlarını müəyyən etmək üçün çoxlu sayda sorğu göndərəcək. NS server adları təsadüfi yaradıldığından və mövcud olmayan subdomenlərə istinad etdiyindən, onlar keşdən çıxarılmır və təcavüzkarın hər sorğusu qurbanın domeninə xidmət edən DNS serverinə çoxlu sorğularla nəticələnir.
Tədqiqatçılar ictimai DNS həlledicilərinin problemə həssaslıq dərəcəsini öyrəniblər və müəyyən ediblər ki, CloudFlare həlledicisinə (1.1.1.1) sorğular göndərilərkən paketlərin sayını (PAF, Packet Amplification Factor) 48 dəfə artırmaq olar, Google (8.8.8.8) - 30 dəfə, FreeDNS (37.235.1.174) - 50 dəfə, OpenDNS (208.67.222.222) - 32 dəfə. üçün daha nəzərə çarpan göstəricilər müşahidə olunur
Səviyyə3 (209.244.0.3) - 273 dəfə, Quad9 (9.9.9.9) - 415 dəfə
SafeDNS (195.46.39.39) - 274 dəfə, Verisign (64.6.64.6) - 202 dəfə,
Ultra (156.154.71.1) - 405 dəfə, Comodo Secure (8.26.56.26) - 435 dəfə, DNS.Watch (84.200.69.80) - 486 dəfə, Norton ConnectSafe (199.85.126.10) - 569 dəfə. BIND 9.12.3-ə əsaslanan serverlər üçün sorğuların paralelləşdirilməsi səbəbindən qazanc səviyyəsi 1000-ə çata bilər. Knot Resolver 5.1.0-da qazanc səviyyəsi təxminən bir neçə onlarla dəfədir (24-48), NS adları ardıcıllıqla yerinə yetirilir və bir sorğu üçün icazə verilən ad həlli addımlarının sayının daxili limitinə əsaslanır.
İki əsas müdafiə strategiyası var. DNSSEC sistemləri üçün
Mənbə: opennet.ru