Un gruppu di circadori di l'Università di Tel Aviv è u Centru Interdisciplinariu in Herzliya (Israele) novu mètudu di attaccu (), chì vi permettenu di utilizà qualsiasi resolutori DNS cum'è amplificatori di trafficu, chì furnisce una rata di amplificazione finu à 1621 volte in quantu à u numeru di pacchetti (per ogni dumanda mandata à u resolutore, pudete ottene 1621 richieste chì sò mandate à u servitore di a vittima) è sin'à 163 volte in termini di trafficu.
U prublema hè ligata à e peculiarità di u protokollu è affetta tutti i servitori DNS chì supportanu l'elaborazione recursiva di e dumande, cumprese (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), è ancu i servizii publichi DNS di Google, Cloudflare, Amazon, Quad9, ICANN è altre cumpagnie. A correzione hè stata coordinata cù i sviluppatori di u servitore DNS, chì anu liberatu simultaneamente l'aghjurnamenti per riparà a vulnerabilità in i so prudutti. Prutezzione di l'attaccu implementata in e versioni
, , , .
L'attaccu hè basatu annantu à l'attaccante cù e dumande chì si riferenu à un gran numaru di registri NS fittiziali invisibili in precedenza, à quale a determinazione di u nome hè delegata, ma senza specificà i registri di cola cù l'infurmazioni nantu à l'indirizzi IP di i servitori NS in a risposta. Per esempiu, un attaccu manda una dumanda per risolve u nome sd1.attacker.com cuntrullendu u servitore DNS rispunsevuli di u duminiu attaccante.com. In risposta à a dumanda di u resolutore à u servitore DNS di l'attaccante, una risposta hè emessa chì delegate a determinazione di l'indirizzu sd1.attacker.com à u servitore DNS di a vittima indichendu i registri NS in a risposta senza detallà i servitori IP NS. Siccomu u servitore NS menzionatu ùn hè statu scuntatu prima è u so indirizzu IP ùn hè micca specificatu, u resolutore prova di determinà l'indirizzu IP di u servitore NS mandendu una dumanda à u servitore DNS di a vittima chì serve u duminiu di destinazione (victim.com).
U prublema hè chì l'attaccante pò risponde cù una lista enormosa di servitori NS non ripetitivi cù nomi di subdominii di vittime fittizie inesistenti (fake-1.victim.com, fake-2.victim.com,... fake-1000. victim.com). U resolutore pruvarà à mandà una dumanda à u servitore DNS di a vittima, ma riceverà una risposta chì u duminiu ùn hè statu trovu, dopu à pruvà à determinà u prossimu servitore NS in a lista, è cusì finu à chì hà pruvatu tutte e NS records elencati da l'attaccante. Dunque, per a dumanda di un attaccante, u resolutore mandarà un gran numaru di richieste per determinà l'ospiti NS. Siccomu i nomi di u servitore NS sò generati in modu aleatoriu è riferenu à sottodomini inesistenti, ùn sò micca recuperati da a cache è ogni dumanda da l'attaccante risulta in una furia di richieste à u servitore DNS chì serve u duminiu di a vittima.
I ricercatori anu studiatu u gradu di vulnerabilità di i resolutori di DNS publicu à u prublema è anu determinatu chì quandu si mandanu e dumande à u resolutore CloudFlare (1.1.1.1), hè pussibule aumentà u numeru di pacchetti (PAF, Packet Amplification Factor) per 48 volte, Google. (8.8.8.8) - 30 volte, FreeDNS (37.235.1.174) - 50 volte, OpenDNS (208.67.222.222) - 32 volte. Indicatori più notevuli sò osservati per
Livellu 3 (209.244.0.3) - 273 volte, Quad9 (9.9.9.9) - 415 volte
SafeDNS (195.46.39.39) - 274 volte, Verisign (64.6.64.6) - 202 volte,
Ultra (156.154.71.1) - 405 volte, Comodo Secure (8.26.56.26) - 435 volte, DNS.Watch (84.200.69.80) - 486 volte, è Norton ConnectSafe (199.85.126.10) - 569. Per i servitori basati nantu à BIND 9.12.3, per via di a parallelizazione di e dumande, u livellu di guadagnu pò ghjunghje sin'à 1000. In Knot Resolver 5.1.0, u livellu di guadagnu hè apprussimatamente parechji decine di volte (24-48), postu chì a determinazione di I nomi NS sò realizati in sequenza è si basanu nantu à u limitu internu nantu à u numeru di passi di risoluzione di nomi permessi per una dumanda.
Ci sò dui strategie di difesa principali. Per i sistemi cù DNSSEC usu per impediscenu a cache DNS bypass perchè e richieste sò mandate cù nomi aleatorii. L'essenza di u metudu hè di generà risposti negativi senza cuntattà i servitori DNS autoritarii, utilizendu a verificazione di intervalli via DNSSEC. Un approcciu più simplice hè di limità u numeru di nomi chì ponu esse definiti quandu si tratta di una sola dumanda delegata, ma stu metudu pò causà prublemi cù alcune cunfigurazioni esistenti perchè i limiti ùn sò micca definiti in u protocolu.
Source: opennet.ru