Təl-Əviv Universitetindən və Herzliyadakı (İsrail) Fənlərarası Mərkəzdən bir qrup tədqiqatçı yeni hücum üsulu (), hər hansı DNS həlledicilərini trafik gücləndiriciləri kimi istifadə etməyə imkan verir, paketlərin sayı baxımından 1621 dəfəyə qədər gücləndirmə sürətini təmin edir (həllediciyə göndərilən hər sorğu üçün qurbanın serverinə göndərilən 1621 sorğuya nail ola bilərsiniz) və nəqliyyatın hərəkəti baxımından 163 dəfəyə qədər.
Problem protokolun xüsusiyyətləri ilə bağlıdır və rekursiv sorğuların işlənməsini dəstəkləyən bütün DNS serverlərinə, o cümlədən (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), həmçinin Google, Cloudflare, Amazon, Quad9, ICANN və digər şirkətlərin ictimai DNS xidmətləri. Düzəliş məhsullarındakı zəifliyi aradan qaldırmaq üçün eyni vaxtda yeniləmələr buraxan DNS server tərtibatçıları ilə əlaqələndirilib. Buraxılışlarda hücumdan qorunma həyata keçirilir
, , , .
Hücum təcavüzkarın əvvəllər görünməmiş çoxlu sayda uydurma NS qeydlərinə istinad edən sorğulardan istifadə etməsinə əsaslanır, hansı ki, onlara ad təyini verilir, lakin cavabda NS serverlərinin IP ünvanları haqqında məlumat olan yapışqan qeydlər göstərilmir. Məsələn, təcavüzkar attacker.com domeninə cavabdeh olan DNS serverinə nəzarət etməklə sd1.attacker.com adını həll etmək üçün sorğu göndərir. Təcavüzkarın DNS serverinə həlledicinin sorğusuna cavab olaraq, IP NS serverlərini təfərrüatlandırmadan cavabda NS qeydlərini göstərməklə sd1.attacker.com ünvanının müəyyən edilməsini qurbanın DNS serverinə həvalə edən cavab verilir. Sözügedən NS serverinə əvvəllər rast gəlmədiyindən və onun IP ünvanı göstərilmədiyindən, həlledici hədəf domenə (victim.com) xidmət edən qurbanın DNS serverinə sorğu göndərməklə NS serverinin IP ünvanını müəyyən etməyə çalışır.
Problem ondadır ki, təcavüzkar mövcud olmayan uydurma qurban subdomen adları (fake-1.victim.com, fake-2.victim.com,... saxta-1000) ilə təkrarlanmayan NS serverlərinin böyük siyahısı ilə cavab verə bilər. qurban.com). Həlledici qurbanın DNS serverinə sorğu göndərməyə çalışacaq, lakin domenin tapılmadığına dair cavab alacaq, bundan sonra o, siyahıda növbəti NS serverini müəyyən etməyə çalışacaq və s. Təcavüzkar tərəfindən siyahıya alınan NS qeydləri. Müvafiq olaraq, bir təcavüzkarın sorğusu üçün həlledici NS hostlarını müəyyən etmək üçün çoxlu sayda sorğu göndərəcək. NS server adları təsadüfi yaradıldığından və mövcud olmayan subdomenlərə istinad etdiyindən, onlar keşdən çıxarılmır və təcavüzkarın hər sorğusu qurbanın domeninə xidmət edən DNS serverinə çoxlu sorğularla nəticələnir.
Tədqiqatçılar ictimai DNS həlledicilərinin problemə həssaslıq dərəcəsini öyrəniblər və müəyyən ediblər ki, CloudFlare həlledicisinə (1.1.1.1) sorğular göndərilərkən paketlərin sayını (PAF, Packet Amplification Factor) 48 dəfə artırmaq olar, Google (8.8.8.8) - 30 dəfə, FreeDNS (37.235.1.174) - 50 dəfə, OpenDNS (208.67.222.222) - 32 dəfə. üçün daha nəzərə çarpan göstəricilər müşahidə olunur
Səviyyə3 (209.244.0.3) - 273 dəfə, Quad9 (9.9.9.9) - 415 dəfə
SafeDNS (195.46.39.39) - 274 dəfə, Verisign (64.6.64.6) - 202 dəfə,
Ultra (156.154.71.1) - 405 dəfə, Comodo Secure (8.26.56.26) - 435 dəfə, DNS.Watch (84.200.69.80) - 486 dəfə, Norton ConnectSafe (199.85.126.10) - 569 dəfə. BIND 9.12.3-ə əsaslanan serverlər üçün sorğuların paralelləşdirilməsi səbəbindən qazanc səviyyəsi 1000-ə çata bilər. Knot Resolver 5.1.0-da qazanc səviyyəsi təxminən bir neçə onlarla dəfədir (24-48), NS adları ardıcıllıqla yerinə yetirilir və bir sorğu üçün icazə verilən ad həlli addımlarının sayının daxili limitinə əsaslanır.
İki əsas müdafiə strategiyası var. DNSSEC sistemləri üçün istifadə edin sorğular təsadüfi adlarla göndərildiyi üçün DNS keşinin yan keçməsinin qarşısını almaq üçün. Metodun mahiyyəti DNSSEC vasitəsilə diapazonun yoxlanılmasından istifadə edərək nüfuzlu DNS serverləri ilə əlaqə saxlamadan mənfi cavablar yaratmaqdır. Daha sadə yanaşma, bir həvalə edilmiş sorğunun işlənməsi zamanı müəyyən edilə bilən adların sayını məhdudlaşdırmaqdır, lakin bu metod bəzi mövcud konfiqurasiyalarda problemlər yarada bilər, çünki limitlər protokolda müəyyən edilməmişdir.
Mənbə: opennet.ru