Usa ka grupo sa mga tigdukiduki gikan sa Tel Aviv University ug sa Interdisciplinary Center sa Herzliya (Israel)
Ang problema adunay kalabutan sa mga peculiarities sa protocol ug nakaapekto sa tanan nga mga DNS server nga nagsuporta sa recursive nga pagproseso sa pangutana, lakip ang
Ang pag-atake gibase sa tig-atake gamit ang mga hangyo nga nagtumong sa usa ka dako nga gidaghanon sa kaniadto dili makita nga tinumotumo nga mga rekord sa NS, diin ang determinasyon sa ngalan gitugyan, apan walay pagtino sa mga rekord sa glue nga adunay impormasyon mahitungod sa mga IP address sa NS server sa tubag. Pananglitan, ang tig-atake nagpadala usa ka pangutana aron masulbad ang ngalan nga sd1.attacker.com pinaagi sa pagkontrol sa DNS server nga responsable sa domain sa attacker.com. Agig tubag sa hangyo sa solver ngadto sa DNS server sa tig-atake, usa ka tubag ang gi-isyu nga nagdelegar sa determinasyon sa sd1.attacker.com nga adres ngadto sa DNS server sa biktima pinaagi sa pagpakita sa mga rekord sa NS sa tubag nga walay pagdetalye sa mga IP NS server. Tungod kay ang gihisgutan nga NS server wala pa makit-an kaniadto ug ang IP address niini wala matino, ang solver misulay sa pagtino sa IP address sa NS server pinaagi sa pagpadala og pangutana sa DNS server sa biktima nga nagsilbi sa target nga domain (victim.com).
Ang problema mao nga ang tig-atake makatubag sa usa ka dako nga lista sa dili nagbalikbalik nga mga server sa NS nga adunay wala’y tinumotumo nga mga ngalan sa subdomain sa biktima (fake-1.victim.com, fake-2.victim.com,... fake-1000. biktima.com). Ang solver mosulay sa pagpadala sa usa ka hangyo ngadto sa DNS server sa biktima, apan makadawat og tubag nga ang domain wala makit-an, pagkahuman niini sulayan ang pagtino sa sunod nga NS server sa lista, ug uban pa hangtud nga masulayan ang tanan Mga rekord sa NS nga gilista sa tig-atake. Tungod niini, alang sa hangyo sa usa ka tig-atake, ang solver magpadala og daghang mga hangyo aron mahibal-an ang mga host sa NS. Tungod kay ang mga ngalan sa server sa NS random nga gihimo ug nagtumong sa wala’y mga subdomain, wala kini makuha gikan sa cache ug ang matag hangyo gikan sa tig-atake nagresulta sa usa ka pagsamok sa mga hangyo sa DNS server nga nagserbisyo sa domain sa biktima.
Gitun-an sa mga tigdukiduki ang lebel sa pagkahuyang sa publiko nga mga DNS nga nagsulbad sa problema ug gitino nga kung magpadala mga pangutana sa CloudFlare solver (1.1.1.1), posible nga madugangan ang gidaghanon sa mga pakete (PAF, Packet Amplification Factor) sa 48 ka beses, ang Google (8.8.8.8) - 30 ka beses, FreeDNS (37.235.1.174) - 50 ka beses, OpenDNS (208.67.222.222) - 32 ka beses. Mas mamatikdan nga mga indikasyon ang naobserbahan alang sa
Level3 (209.244.0.3) - 273 ka beses, Quad9 (9.9.9.9) - 415 ka beses
SafeDNS (195.46.39.39) - 274 ka beses, Verisign (64.6.64.6) - 202 ka beses,
Ultra (156.154.71.1) - 405 ka beses, Comodo Secure (8.26.56.26) - 435 ka beses, DNS.Watch (84.200.69.80) - 486 ka beses, ug Norton ConnectSafe (199.85.126.10) - 569 ka beses Alang sa mga server nga gibase sa BIND 9.12.3, tungod sa parallelization sa mga hangyo, ang lebel sa ganansya mahimong moabot hangtod sa 1000. Sa Knot Resolver 5.1.0, ang lebel sa ganansya gibana-bana nga daghang napulo ka beses (24-48), tungod kay ang determinasyon sa Ang mga ngalan sa NS gihimo nga sunud-sunod ug nagdepende sa internal nga limitasyon sa gidaghanon sa mga lakang sa resolusyon sa ngalan nga gitugotan alang sa usa ka hangyo.
Adunay duha ka nag-unang estratehiya sa depensa. Alang sa mga sistema nga adunay DNSSEC
Source: opennet.ru