Usa ka grupo sa mga tigdukiduki gikan sa Tel Aviv University ug sa Interdisciplinary Center sa Herzliya (Israel) bag-ong pamaagi sa pag-atake (), nga nagtugot kanimo sa paggamit sa bisan unsang DNS resolver isip traffic amplifiers, nga naghatag ug amplification rate nga hangtod sa 1621 ka beses sa termino sa gidaghanon sa mga pakete (alang sa matag hangyo nga gipadala ngadto sa solver, mahimo nimong makab-ot ang 1621 ka hangyo nga ipadala ngadto sa server sa biktima) ug hangtod sa 163 ka beses sa termino sa trapiko.
Ang problema adunay kalabutan sa mga peculiarities sa protocol ug nakaapekto sa tanan nga mga DNS server nga nagsuporta sa recursive nga pagproseso sa pangutana, lakip ang (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), ingon man ang mga serbisyo sa publiko nga DNS sa Google, Cloudflare, Amazon, Quad9, ICANN ug uban pang mga kompanya. Ang pag-ayo gi-coordinate sa mga developer sa DNS server, nga dungan nga nagpagawas sa mga update aron ayohon ang pagkahuyang sa ilang mga produkto. Ang pagpanalipod sa pag-atake gipatuman sa mga pagpagawas
, , , .
Ang pag-atake gibase sa tig-atake gamit ang mga hangyo nga nagtumong sa usa ka dako nga gidaghanon sa kaniadto dili makita nga tinumotumo nga mga rekord sa NS, diin ang determinasyon sa ngalan gitugyan, apan walay pagtino sa mga rekord sa glue nga adunay impormasyon mahitungod sa mga IP address sa NS server sa tubag. Pananglitan, ang tig-atake nagpadala usa ka pangutana aron masulbad ang ngalan nga sd1.attacker.com pinaagi sa pagkontrol sa DNS server nga responsable sa domain sa attacker.com. Agig tubag sa hangyo sa solver ngadto sa DNS server sa tig-atake, usa ka tubag ang gi-isyu nga nagdelegar sa determinasyon sa sd1.attacker.com nga adres ngadto sa DNS server sa biktima pinaagi sa pagpakita sa mga rekord sa NS sa tubag nga walay pagdetalye sa mga IP NS server. Tungod kay ang gihisgutan nga NS server wala pa makit-an kaniadto ug ang IP address niini wala matino, ang solver misulay sa pagtino sa IP address sa NS server pinaagi sa pagpadala og pangutana sa DNS server sa biktima nga nagsilbi sa target nga domain (victim.com).
Ang problema mao nga ang tig-atake makatubag sa usa ka dako nga lista sa dili nagbalikbalik nga mga server sa NS nga adunay wala’y tinumotumo nga mga ngalan sa subdomain sa biktima (fake-1.victim.com, fake-2.victim.com,... fake-1000. biktima.com). Ang solver mosulay sa pagpadala sa usa ka hangyo ngadto sa DNS server sa biktima, apan makadawat og tubag nga ang domain wala makit-an, pagkahuman niini sulayan ang pagtino sa sunod nga NS server sa lista, ug uban pa hangtud nga masulayan ang tanan Mga rekord sa NS nga gilista sa tig-atake. Tungod niini, alang sa hangyo sa usa ka tig-atake, ang solver magpadala og daghang mga hangyo aron mahibal-an ang mga host sa NS. Tungod kay ang mga ngalan sa server sa NS random nga gihimo ug nagtumong sa wala’y mga subdomain, wala kini makuha gikan sa cache ug ang matag hangyo gikan sa tig-atake nagresulta sa usa ka pagsamok sa mga hangyo sa DNS server nga nagserbisyo sa domain sa biktima.
Gitun-an sa mga tigdukiduki ang lebel sa pagkahuyang sa publiko nga mga DNS nga nagsulbad sa problema ug gitino nga kung magpadala mga pangutana sa CloudFlare solver (1.1.1.1), posible nga madugangan ang gidaghanon sa mga pakete (PAF, Packet Amplification Factor) sa 48 ka beses, ang Google (8.8.8.8) - 30 ka beses, FreeDNS (37.235.1.174) - 50 ka beses, OpenDNS (208.67.222.222) - 32 ka beses. Mas mamatikdan nga mga indikasyon ang naobserbahan alang sa
Level3 (209.244.0.3) - 273 ka beses, Quad9 (9.9.9.9) - 415 ka beses
SafeDNS (195.46.39.39) - 274 ka beses, Verisign (64.6.64.6) - 202 ka beses,
Ultra (156.154.71.1) - 405 ka beses, Comodo Secure (8.26.56.26) - 435 ka beses, DNS.Watch (84.200.69.80) - 486 ka beses, ug Norton ConnectSafe (199.85.126.10) - 569 ka beses Alang sa mga server nga gibase sa BIND 9.12.3, tungod sa parallelization sa mga hangyo, ang lebel sa ganansya mahimong moabot hangtod sa 1000. Sa Knot Resolver 5.1.0, ang lebel sa ganansya gibana-bana nga daghang napulo ka beses (24-48), tungod kay ang determinasyon sa Ang mga ngalan sa NS gihimo nga sunud-sunod ug nagdepende sa internal nga limitasyon sa gidaghanon sa mga lakang sa resolusyon sa ngalan nga gitugotan alang sa usa ka hangyo.
Adunay duha ka nag-unang estratehiya sa depensa. Alang sa mga sistema nga adunay DNSSEC paggamit aron mapugngan ang DNS cache bypass tungod kay ang mga hangyo gipadala nga adunay random nga mga ngalan. Ang esensya sa pamaagi mao ang paghimo og negatibo nga mga tubag nga wala’y pagkontak sa mga awtoritatibo nga DNS server, gamit ang pagsusi sa range pinaagi sa DNSSEC. Ang usa ka mas simple nga pamaagi mao ang paglimite sa gidaghanon sa mga ngalan nga mahimong ipasabut sa pagproseso sa usa ka gitugyan nga hangyo, apan kini nga pamaagi mahimong hinungdan sa mga problema sa pipila ka mga kasamtangan nga mga pag-configure tungod kay ang mga limitasyon wala gihubit sa protocol.
Source: opennet.ru