Grŵp o ymchwilwyr o Brifysgol Tel Aviv a'r Ganolfan Ryngddisgyblaethol yn Herzliya (Israel) dull ymosod newydd (), sy'n eich galluogi i ddefnyddio unrhyw ddatryswyr DNS fel mwyhaduron traffig, gan ddarparu cyfradd ymhelaethu o hyd at 1621 o weithiau o ran nifer y pecynnau (ar gyfer pob cais a anfonir at y datryswr, gallwch gyflawni 1621 o geisiadau yn cael eu hanfon at weinydd y dioddefwr) a hyd at 163 o weithiau o ran traffig.
Mae'r broblem yn gysylltiedig â hynodion y protocol ac mae'n effeithio ar yr holl weinyddion DNS sy'n cefnogi prosesu ymholiad ailadroddus, gan gynnwys (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), yn ogystal â gwasanaethau DNS cyhoeddus Google, Cloudflare, Amazon, Quad9, ICANN a chwmnïau eraill. Cydlynwyd yr atgyweiriad gyda datblygwyr gweinydd DNS, a ryddhaodd ddiweddariadau ar yr un pryd i drwsio bregusrwydd eu cynhyrchion. Gweithredwyd amddiffyniad rhag ymosodiad mewn datganiadau
, , , .
Mae'r ymosodiad yn seiliedig ar yr ymosodwr gan ddefnyddio ceisiadau sy'n cyfeirio at nifer fawr o gofnodion NS ffug nas gwelwyd o'r blaen, y mae penderfyniad enw yn cael ei ddirprwyo iddynt, ond heb nodi cofnodion glud gyda gwybodaeth am gyfeiriadau IP gweinyddwyr NS yn yr ymateb. Er enghraifft, mae ymosodwr yn anfon ymholiad i ddatrys yr enw sd1.attacker.com trwy reoli'r gweinydd DNS sy'n gyfrifol am y parth attacker.com. Mewn ymateb i gais y datryswr i weinydd DNS yr ymosodwr, cyhoeddir ymateb sy'n dirprwyo penderfyniad y cyfeiriad sd1.attacker.com i weinydd DNS y dioddefwr trwy nodi cofnodion NS yn yr ymateb heb fanylu ar weinyddion NS IP. Gan na ddaethpwyd ar draws y gweinydd NS a grybwyllwyd o'r blaen ac nad yw ei gyfeiriad IP wedi'i nodi, mae'r datryswr yn ceisio pennu cyfeiriad IP y gweinydd NS trwy anfon ymholiad at weinydd DNS y dioddefwr sy'n gwasanaethu'r parth targed (victim.com).
Y broblem yw y gall yr ymosodwr ymateb gyda rhestr enfawr o weinyddion NS nad ydynt yn ailadrodd gydag enwau is-barth dioddefwyr ffug (fake-1.victim.com, fake-2.victim.com,... fake-1000. dioddefwr.com). Bydd y datryswr yn ceisio anfon cais at weinydd DNS y dioddefwr, ond bydd yn derbyn ymateb na ddaethpwyd o hyd i'r parth, ac ar ôl hynny bydd yn ceisio pennu'r gweinydd NS nesaf yn y rhestr, ac yn y blaen nes ei fod wedi rhoi cynnig ar yr holl Cofnodion NS wedi'u rhestru gan yr ymosodwr. Yn unol â hynny, ar gyfer cais un ymosodwr, bydd y datryswr yn anfon nifer enfawr o geisiadau i bennu gwesteiwyr NS. Gan fod enwau gweinydd NS yn cael eu cynhyrchu ar hap ac yn cyfeirio at is-barthau nad ydynt yn bodoli, nid ydynt yn cael eu hadalw o'r storfa ac mae pob cais gan yr ymosodwr yn arwain at lu o geisiadau i'r gweinydd DNS sy'n gwasanaethu parth y dioddefwr.
Astudiodd ymchwilwyr i ba raddau y mae datryswyr DNS cyhoeddus yn agored i niwed i'r broblem a phenderfynwyd, wrth anfon ymholiadau at y Datryswr CloudFlare (1.1.1.1), ei bod yn bosibl cynyddu nifer y pecynnau (PAF, Packet Helaethiad Ffactor) 48 gwaith, Google (8.8.8.8) - 30 gwaith, FreeDNS (37.235.1.174) - 50 gwaith, OpenDNS (208.67.222.222) - 32 gwaith. Gwelir dangosyddion mwy amlwg ar gyfer
Lefel3 (209.244.0.3) - 273 o weithiau, Quad9 (9.9.9.9) - 415 o weithiau
SafeDNS (195.46.39.39) - 274 o weithiau, Verisign (64.6.64.6) - 202 o weithiau,
Ultra (156.154.71.1) - 405 gwaith, Comodo Secure (8.26.56.26) - 435 gwaith, DNS.Watch (84.200.69.80) - 486 gwaith, a Norton ConnectSafe (199.85.126.10) - 569 gwaith. Ar gyfer gweinyddwyr yn seiliedig ar BIND 9.12.3, oherwydd ceisiadau cyfochrog, gall lefel y cynnydd gyrraedd hyd at 1000. Yn Knot Resolver 5.1.0, mae lefel y cynnydd oddeutu sawl degau o weithiau (24-48), ers penderfynu ar. Perfformir enwau NS yn ddilyniannol ac mae'n dibynnu ar y terfyn mewnol ar nifer y camau datrys enwau a ganiateir ar gyfer un cais.
Mae dwy brif strategaeth amddiffyn. Ar gyfer systemau gyda DNSSEC defnyddiwch i atal ffordd osgoi cache DNS oherwydd anfonir ceisiadau gydag enwau ar hap. Hanfod y dull yw cynhyrchu ymatebion negyddol heb gysylltu â gweinyddwyr DNS awdurdodol, gan ddefnyddio gwirio amrediad trwy DNSSEC. Ymagwedd symlach yw cyfyngu ar nifer yr enwau y gellir eu diffinio wrth brosesu un cais dirprwyedig, ond gall y dull hwn achosi problemau gyda rhai ffurfweddiadau presennol oherwydd nad yw'r terfynau wedi'u diffinio yn y protocol.
Ffynhonnell: opennet.ru