🥇NXNSattack আক্রমণ সমস্ত DNS সমাধানকারীকে প্রভাবিত করে

তেল আবিব ইউনিভার্সিটি এবং হার্জলিয়ার ইন্টারডিসিপ্লিনারি সেন্টারের একদল গবেষক (ইসরায়েল) উন্নত হয়েছে নতুন আক্রমণ পদ্ধতি NXNSAttack (পিডিএফ), আপনাকে ট্র্যাফিক পরিবর্ধক হিসাবে যেকোনো DNS সমাধানকারীকে ব্যবহার করার অনুমতি দেয়, প্যাকেটের সংখ্যার পরিপ্রেক্ষিতে 1621 বার পর্যন্ত পরিবর্ধনের হার প্রদান করে (প্রতিটি সমাধানকারীকে পাঠানো অনুরোধের জন্য, আপনি শিকারের সার্ভারে পাঠানো 1621টি অনুরোধগুলি অর্জন করতে পারেন) এবং ট্রাফিকের পরিপ্রেক্ষিতে 163 বার পর্যন্ত।

সমস্যাটি প্রোটোকলের বিশেষত্বের সাথে সম্পর্কিত এবং সমস্ত DNS সার্ভারকে প্রভাবিত করে যা পুনরাবৃত্ত ক্যোয়ারী প্রক্রিয়াকরণ সমর্থন করে, সহ বাঁধাই করা (সিভিই -2020-8616), গিঁট (সিভিই -2020-12667), PowerDNS (সিভিই -2020-10995), উইন্ডোজ ডিএনএস সার্ভার и শিথিল (CVE-2020-12662), সেইসাথে Google, Cloudflare, Amazon, Quad9, ICANN এবং অন্যান্য কোম্পানির পাবলিক DNS পরিষেবা। ফিক্সটি ডিএনএস সার্ভার ডেভেলপারদের সাথে সমন্বিত হয়েছিল, যারা একই সাথে তাদের পণ্যের দুর্বলতা ঠিক করতে আপডেট প্রকাশ করেছিল। আক্রমণ সুরক্ষা রিলিজে প্রয়োগ করা হয়েছে
আনবাউন্ড 1.10.1, নট রিজলভার 5.1.1, পাওয়ারডিএনএস রিকারসার 4.3.1, 4.2.2, 4.1.16, BIND 9.11.19, 9.14.12, 9.16.3.

আক্রমণটি আক্রমণকারীর উপর ভিত্তি করে এমন অনুরোধগুলি ব্যবহার করে যা পূর্বে দেখা না যাওয়া কাল্পনিক এনএস রেকর্ডগুলির একটি বড় সংখ্যা উল্লেখ করে, যার কাছে নাম নির্ধারণ অর্পণ করা হয়, কিন্তু প্রতিক্রিয়াতে এনএস সার্ভারের আইপি ঠিকানাগুলির তথ্য সহ আঠালো রেকর্ড উল্লেখ না করে। উদাহরণস্বরূপ, একজন আক্রমণকারী sd1.attacker.com নামটির সমাধান করার জন্য একটি প্রশ্ন পাঠায় Attacker.com ডোমেনের জন্য দায়ী DNS সার্ভারকে নিয়ন্ত্রণ করে। আক্রমণকারীর ডিএনএস সার্ভারে সমাধানকারীর অনুরোধের জবাবে, একটি প্রতিক্রিয়া জারি করা হয় যা sd1.attacker.com ঠিকানা নির্ণয় করে আইপি এনএস সার্ভারের বিস্তারিত বিবরণ না দিয়ে প্রতিক্রিয়াতে NS রেকর্ডগুলি নির্দেশ করে শিকারের DNS সার্ভারে। যেহেতু উল্লিখিত এনএস সার্ভারটি আগে সম্মুখীন হয়নি এবং এর আইপি ঠিকানা নির্দিষ্ট করা হয়নি, তাই সমাধানকারী এনএস সার্ভারের আইপি ঠিকানা নির্ধারণ করার চেষ্টা করে যা লক্ষ্য ডোমেন (victim.com) পরিবেশনকারী শিকারের DNS সার্ভারে একটি প্রশ্ন প্রেরণ করে।

সমস্যা হল যে আক্রমণকারী অনুপস্থিত কাল্পনিক ভিকটিম সাবডোমেন নামগুলির (fake-1.victim.com, fake-2.victim.com,... fake-1000) সহ পুনরাবৃত্তি না করা NS সার্ভারগুলির একটি বিশাল তালিকার সাথে প্রতিক্রিয়া জানাতে পারে। শিকার.com)। সমাধানকারী শিকারের ডিএনএস সার্ভারে একটি অনুরোধ পাঠানোর চেষ্টা করবে, কিন্তু একটি প্রতিক্রিয়া পাবে যে ডোমেনটি পাওয়া যায়নি, তারপরে এটি তালিকার পরবর্তী এনএস সার্ভারটি নির্ধারণ করার চেষ্টা করবে এবং যতক্ষণ না এটি সমস্ত চেষ্টা করে। হামলাকারীর তালিকাভুক্ত NS রেকর্ড। তদনুসারে, একজন আক্রমণকারীর অনুরোধের জন্য, সমাধানকারী NS হোস্ট নির্ধারণের জন্য বিপুল সংখ্যক অনুরোধ পাঠাবে। যেহেতু NS সার্ভারের নামগুলি এলোমেলোভাবে তৈরি করা হয় এবং অস্তিত্বহীন সাবডোমেনগুলিকে উল্লেখ করে, সেগুলি ক্যাশে থেকে পুনরুদ্ধার করা হয় না এবং আক্রমণকারীর প্রতিটি অনুরোধের ফলে শিকারের ডোমেন পরিবেশনকারী DNS সার্ভারের কাছে অনুরোধের ঝড় ওঠে৷

গবেষকরা সমস্যাটির জন্য সর্বজনীন ডিএনএস সমাধানকারীদের দুর্বলতার মাত্রা অধ্যয়ন করেছেন এবং নির্ধারণ করেছেন যে ক্লাউডফ্লেয়ার সমাধানকারীকে (1.1.1.1) প্রশ্ন পাঠানোর সময়, প্যাকেটের সংখ্যা (PAF, প্যাকেট অ্যামপ্লিফিকেশন ফ্যাক্টর) 48 গুণ বৃদ্ধি করা সম্ভব, Google (8.8.8.8) - 30 বার, FreeDNS (37.235.1.174) - 50 বার, OpenDNS (208.67.222.222) - 32 বার। আরো লক্ষণীয় সূচক জন্য পালন করা হয়
Level3 (209.244.0.3) - 273 বার, Quad9 (9.9.9.9) - 415 বার
SafeDNS (195.46.39.39) - 274 বার, Verisign (64.6.64.6) - 202 বার,
আল্ট্রা (156.154.71.1) - 405 বার, কমোডো সিকিউর (8.26.56.26) - 435 বার, DNS.Watch (84.200.69.80) - 486 বার, এবং Norton ConnectSafe (199.85.126.10 বার)। BIND 569 ভিত্তিক সার্ভারগুলির জন্য, অনুরোধের সমান্তরালকরণের কারণে, লাভের স্তরটি 9.12.3 পর্যন্ত পৌঁছাতে পারে। নট রিজলভার 1000-এ, লাভের স্তরটি প্রায় কয়েক দশগুণ (5.1.0-24), নির্ধারণের পর থেকে NS নামগুলি ক্রমানুসারে সঞ্চালিত হয় এবং একটি অনুরোধের জন্য অনুমোদিত নামের রেজোলিউশন পদক্ষেপের সংখ্যার অভ্যন্তরীণ সীমার উপর নির্ভর করে।

দুটি প্রধান প্রতিরক্ষা কৌশল আছে। DNSSEC সহ সিস্টেমের জন্য প্রস্তাবিত ব্যবহার করতে আরএফসি -8198 ডিএনএস ক্যাশে বাইপাস প্রতিরোধ করতে কারণ অনুরোধগুলি এলোমেলো নামের সাথে পাঠানো হয়। পদ্ধতির সারমর্ম হল DNSSEC-এর মাধ্যমে পরিসর চেকিং ব্যবহার করে প্রামাণিক DNS সার্ভারের সাথে যোগাযোগ না করে নেতিবাচক প্রতিক্রিয়া তৈরি করা। একটি সহজ পদ্ধতি হল একটি একক অর্পিত অনুরোধ প্রক্রিয়া করার সময় সংজ্ঞায়িত করা যেতে পারে এমন নামের সংখ্যা সীমিত করা, কিন্তু এই পদ্ধতিটি কিছু বিদ্যমান কনফিগারেশনের সাথে সমস্যা সৃষ্টি করতে পারে কারণ সীমাগুলি প্রোটোকলে সংজ্ঞায়িত করা হয়নি।

উত্স: opennet.ru

NXNSAtack আক্রমণ সমস্ত DNS সমাধানকারীকে প্রভাবিত করে

একটি মন্তব্য জুড়ুন উত্তর বাতিল