Grŵp o ymchwilwyr o Brifysgol Tel Aviv a'r Ganolfan Ryngddisgyblaethol yn Herzliya (Israel)
Mae'r broblem yn gysylltiedig â hynodion y protocol ac mae'n effeithio ar yr holl weinyddion DNS sy'n cefnogi prosesu ymholiad ailadroddus, gan gynnwys
Mae'r ymosodiad yn seiliedig ar yr ymosodwr gan ddefnyddio ceisiadau sy'n cyfeirio at nifer fawr o gofnodion NS ffug nas gwelwyd o'r blaen, y mae penderfyniad enw yn cael ei ddirprwyo iddynt, ond heb nodi cofnodion glud gyda gwybodaeth am gyfeiriadau IP gweinyddwyr NS yn yr ymateb. Er enghraifft, mae ymosodwr yn anfon ymholiad i ddatrys yr enw sd1.attacker.com trwy reoli'r gweinydd DNS sy'n gyfrifol am y parth attacker.com. Mewn ymateb i gais y datryswr i weinydd DNS yr ymosodwr, cyhoeddir ymateb sy'n dirprwyo penderfyniad y cyfeiriad sd1.attacker.com i weinydd DNS y dioddefwr trwy nodi cofnodion NS yn yr ymateb heb fanylu ar weinyddion NS IP. Gan na ddaethpwyd ar draws y gweinydd NS a grybwyllwyd o'r blaen ac nad yw ei gyfeiriad IP wedi'i nodi, mae'r datryswr yn ceisio pennu cyfeiriad IP y gweinydd NS trwy anfon ymholiad at weinydd DNS y dioddefwr sy'n gwasanaethu'r parth targed (victim.com).
Y broblem yw y gall yr ymosodwr ymateb gyda rhestr enfawr o weinyddion NS nad ydynt yn ailadrodd gydag enwau is-barth dioddefwyr ffug (fake-1.victim.com, fake-2.victim.com,... fake-1000. dioddefwr.com). Bydd y datryswr yn ceisio anfon cais at weinydd DNS y dioddefwr, ond bydd yn derbyn ymateb na ddaethpwyd o hyd i'r parth, ac ar ôl hynny bydd yn ceisio pennu'r gweinydd NS nesaf yn y rhestr, ac yn y blaen nes ei fod wedi rhoi cynnig ar yr holl Cofnodion NS wedi'u rhestru gan yr ymosodwr. Yn unol â hynny, ar gyfer cais un ymosodwr, bydd y datryswr yn anfon nifer enfawr o geisiadau i bennu gwesteiwyr NS. Gan fod enwau gweinydd NS yn cael eu cynhyrchu ar hap ac yn cyfeirio at is-barthau nad ydynt yn bodoli, nid ydynt yn cael eu hadalw o'r storfa ac mae pob cais gan yr ymosodwr yn arwain at lu o geisiadau i'r gweinydd DNS sy'n gwasanaethu parth y dioddefwr.
Astudiodd ymchwilwyr i ba raddau y mae datryswyr DNS cyhoeddus yn agored i niwed i'r broblem a phenderfynwyd, wrth anfon ymholiadau at y Datryswr CloudFlare (1.1.1.1), ei bod yn bosibl cynyddu nifer y pecynnau (PAF, Packet Helaethiad Ffactor) 48 gwaith, Google (8.8.8.8) - 30 gwaith, FreeDNS (37.235.1.174) - 50 gwaith, OpenDNS (208.67.222.222) - 32 gwaith. Gwelir dangosyddion mwy amlwg ar gyfer
Lefel3 (209.244.0.3) - 273 o weithiau, Quad9 (9.9.9.9) - 415 o weithiau
SafeDNS (195.46.39.39) - 274 o weithiau, Verisign (64.6.64.6) - 202 o weithiau,
Ultra (156.154.71.1) - 405 gwaith, Comodo Secure (8.26.56.26) - 435 gwaith, DNS.Watch (84.200.69.80) - 486 gwaith, a Norton ConnectSafe (199.85.126.10) - 569 gwaith. Ar gyfer gweinyddwyr yn seiliedig ar BIND 9.12.3, oherwydd ceisiadau cyfochrog, gall lefel y cynnydd gyrraedd hyd at 1000. Yn Knot Resolver 5.1.0, mae lefel y cynnydd oddeutu sawl degau o weithiau (24-48), ers penderfynu ar. Perfformir enwau NS yn ddilyniannol ac mae'n dibynnu ar y terfyn mewnol ar nifer y camau datrys enwau a ganiateir ar gyfer un cais.
Mae dwy brif strategaeth amddiffyn. Ar gyfer systemau gyda DNSSEC
Ffynhonnell: opennet.ru