Μια ομάδα ερευνητών από το Πανεπιστήμιο του Τελ Αβίβ και το Διεπιστημονικό Κέντρο στην Herzliya (Ισραήλ) νέα μέθοδος επίθεσης (), επιτρέποντάς σας να χρησιμοποιείτε οποιουσδήποτε αναλυτές DNS ως ενισχυτές κυκλοφορίας, παρέχοντας ρυθμό ενίσχυσης έως και 1621 φορές ως προς τον αριθμό των πακέτων (για κάθε αίτημα που αποστέλλεται στον επιλύτη, μπορείτε να επιτύχετε την αποστολή 1621 αιτημάτων στον διακομιστή του θύματος) και έως και 163 φορές όσον αφορά την κίνηση.
Το πρόβλημα σχετίζεται με τις ιδιαιτερότητες του πρωτοκόλλου και επηρεάζει όλους τους διακομιστές DNS που υποστηρίζουν την αναδρομική επεξεργασία ερωτημάτων, συμπεριλαμβανομένων (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), καθώς και δημόσιες υπηρεσίες DNS της Google, Cloudflare, Amazon, Quad9, ICANN και άλλων εταιρειών. Η επιδιόρθωση συντονίστηκε με τους προγραμματιστές διακομιστών DNS, οι οποίοι κυκλοφόρησαν ταυτόχρονα ενημερώσεις για να διορθώσουν την ευπάθεια στα προϊόντα τους. Προστασία από επίθεση που εφαρμόζεται στις εκδόσεις
, , , .
Η επίθεση βασίζεται στον εισβολέα που χρησιμοποιεί αιτήματα που αναφέρονται σε μεγάλο αριθμό πλασματικών εγγραφών NS που δεν είχαν εμφανιστεί προηγουμένως, στις οποίες εκχωρείται ο προσδιορισμός του ονόματος, αλλά χωρίς να καθορίζονται εγγραφές κόλλας με πληροφορίες σχετικά με τις διευθύνσεις IP των διακομιστών NS στην απάντηση. Για παράδειγμα, ένας εισβολέας στέλνει ένα ερώτημα για να επιλύσει το όνομα sd1.attacker.com ελέγχοντας τον διακομιστή DNS που είναι υπεύθυνος για τον τομέα attacker.com. Σε απόκριση στο αίτημα του επιλύτη προς τον διακομιστή DNS του εισβολέα, εκδίδεται μια απάντηση που αναθέτει τον προσδιορισμό της διεύθυνσης sd1.attacker.com στον διακομιστή DNS του θύματος, υποδεικνύοντας εγγραφές NS στην απόκριση χωρίς λεπτομερή περιγραφή των διακομιστών NS IP. Δεδομένου ότι ο αναφερόμενος διακομιστής NS δεν έχει συναντηθεί στο παρελθόν και η διεύθυνση IP του δεν έχει καθοριστεί, το πρόγραμμα επίλυσης επιχειρεί να προσδιορίσει τη διεύθυνση IP του διακομιστή NS στέλνοντας ένα ερώτημα στον διακομιστή DNS του θύματος που εξυπηρετεί τον τομέα προορισμού (victim.com).
Το πρόβλημα είναι ότι ο εισβολέας μπορεί να απαντήσει με μια τεράστια λίστα μη επαναλαμβανόμενων διακομιστών NS με ανύπαρκτα εικονικά ονόματα υποτομέων θυμάτων (fake-1.victim.com, fake-2.victim.com,... fake-1000. viktima.com). Το πρόγραμμα επίλυσης θα προσπαθήσει να στείλει ένα αίτημα στον διακομιστή DNS του θύματος, αλλά θα λάβει μια απάντηση ότι ο τομέας δεν βρέθηκε, μετά την οποία θα προσπαθήσει να προσδιορίσει τον επόμενο διακομιστή NS στη λίστα και ούτω καθεξής μέχρι να δοκιμάσει όλα τα Τα αρχεία NS που αναφέρονται από τον εισβολέα. Αντίστοιχα, για το αίτημα ενός εισβολέα, ο επιλύτης θα στείλει έναν τεράστιο αριθμό αιτημάτων για τον προσδιορισμό κεντρικών υπολογιστών NS. Δεδομένου ότι τα ονόματα διακομιστών NS δημιουργούνται τυχαία και αναφέρονται σε ανύπαρκτους υποτομείς, δεν ανακτώνται από τη μνήμη cache και κάθε αίτημα από τον εισβολέα έχει ως αποτέλεσμα μια καταιγίδα αιτημάτων προς τον διακομιστή DNS που εξυπηρετεί τον τομέα του θύματος.
Οι ερευνητές μελέτησαν τον βαθμό ευπάθειας των δημόσιων συσκευών επίλυσης DNS στο πρόβλημα και διαπίστωσαν ότι κατά την αποστολή ερωτημάτων στο πρόγραμμα επίλυσης CloudFlare (1.1.1.1), είναι δυνατό να αυξηθεί ο αριθμός των πακέτων (PAF, Packet Amplification Factor) κατά 48 φορές, σύμφωνα με την Google (8.8.8.8) - 30 φορές, FreeDNS (37.235.1.174) - 50 φορές, OpenDNS (208.67.222.222) - 32 φορές. Παρατηρούνται πιο αξιοσημείωτοι δείκτες για
Επίπεδο 3 (209.244.0.3) - 273 φορές, Quad9 (9.9.9.9) - 415 φορές
SafeDNS (195.46.39.39) - 274 φορές, Verisign (64.6.64.6) - 202 φορές,
Ultra (156.154.71.1) - 405 φορές, Comodo Secure (8.26.56.26) - 435 φορές, DNS.Watch (84.200.69.80) - 486 φορές και Norton ConnectSafe (199.85.126.10 φορές) Για διακομιστές που βασίζονται στο BIND 569, λόγω παραλληλισμού των αιτημάτων, το επίπεδο κέρδους μπορεί να φτάσει έως και το 9.12.3. Στο Knot Resolver 1000, το επίπεδο κέρδους είναι περίπου αρκετές δεκάδες φορές (5.1.0-24), αφού ο προσδιορισμός του Τα ονόματα NS εκτελούνται διαδοχικά και στηρίζονται στο εσωτερικό όριο του αριθμού των βημάτων επίλυσης ονομάτων που επιτρέπονται για ένα αίτημα.
Υπάρχουν δύο κύριες αμυντικές στρατηγικές. Για συστήματα με DNSSEC χρήση για να αποτρέψετε την παράκαμψη της προσωρινής μνήμης DNS επειδή τα αιτήματα αποστέλλονται με τυχαία ονόματα. Η ουσία της μεθόδου είναι να δημιουργεί αρνητικές απαντήσεις χωρίς να έρχεται σε επαφή με έγκυρους διακομιστές DNS, χρησιμοποιώντας έλεγχο εύρους μέσω DNSSEC. Μια απλούστερη προσέγγιση είναι ο περιορισμός του αριθμού των ονομάτων που μπορούν να οριστούν κατά την επεξεργασία μιας μεμονωμένης ανάθεσης αίτησης, αλλά αυτή η μέθοδος μπορεί να προκαλέσει προβλήματα με ορισμένες υπάρχουσες διαμορφώσεις επειδή τα όρια δεν ορίζονται στο πρωτόκολλο.
Πηγή: opennet.ru