Rühm teadlasi Tel Avivi ülikoolist ja Herzliya (Iisrael) interdistsiplinaarsest keskusest
Probleem on seotud protokolli iseärasustega ja puudutab kõiki rekursiivset päringutöötlust toetavaid DNS-servereid, sh.
Rünnak põhineb sellel, et ründaja kasutab päringuid, mis viitavad suurele hulgale seninägematutele fiktiivsetele NS-kirjetele, millele on delegeeritud nime määramine, kuid ei täpsusta vastuses NS-serverite IP-aadresside teabega liimikirjeid. Näiteks saadab ründaja päringu nime sd1.attacker.com lahendamiseks, kontrollides domeeni attacker.com eest vastutavat DNS-serverit. Vastuseks lahendaja päringule ründaja DNS-serverile väljastatakse vastus, mis delegeerib sd1.attacker.com aadressi määramise ohvri DNS-serverile, näidates vastuses NS-kirjed ilma IP NS-servereid täpsustamata. Kuna mainitud NS-serveriga pole varem kokku puututud ja selle IP-aadressi pole täpsustatud, püüab lahendaja määrata NS-serveri IP-aadressi, saates päringu ohvri sihtdomeeni teenindavale DNS-serverile (victim.com).
Probleem on selles, et ründaja saab vastata tohutu hulga mittekorduvate NS-serverite loendiga, millel on olematu fiktiivsed ohvri alamdomeeninimed (fake-1.victim.com, fake-2.victim.com,... fake-1000. ohver.com). Lahendaja proovib saata päringu ohvri DNS-serverisse, kuid saab vastuse, et domeeni ei leitud, misjärel proovib määrata loendis järgmist NS-serverit ja nii edasi, kuni on proovinud kõiki Ründaja loetletud NS-kirjed. Sellest lähtuvalt saadab lahendaja ühe ründaja päringu korral tohutu hulga taotlusi NS-i hostide määramiseks. Kuna NS-serveri nimed genereeritakse juhuslikult ja viitavad olematutele alamdomeenidele, siis neid vahemälust välja ei võeta ja iga ründaja päring toob kaasa taotluste hulga ohvri domeeni teenindavale DNS-serverile.
Teadlased uurisid avalike DNS-i lahendajate haavatavust probleemi suhtes ja leidsid, et CloudFlare'i lahendajale (1.1.1.1) päringute saatmisel on võimalik pakettide arvu (PAF, Packet Amplification Factor) 48 korda suurendada, Google (8.8.8.8) – 30 korda, FreeDNS (37.235.1.174) – 50 korda, OpenDNS (208.67.222.222) – 32 korda. Märgatavamaid näitajaid täheldatakse
Tase 3 (209.244.0.3) – 273 korda, Quad9 (9.9.9.9) – 415 korda
SafeDNS (195.46.39.39) – 274 korda, Verisign (64.6.64.6) – 202 korda,
Ultra (156.154.71.1) – 405 korda, Comodo Secure (8.26.56.26) – 435 korda, DNS.Watch (84.200.69.80) – 486 korda ja Norton ConnectSafe (199.85.126.10) – 569 korda. BIND 9.12.3-l põhinevate serverite puhul võib võimenduse tase päringute paralleelsuse tõttu ulatuda kuni 1000-ni. Knot Resolver 5.1.0 puhul on võimenduse tase ligikaudu mitukümmend korda (24-48), kuna NS-nimed tehakse järjestikku ja see põhineb ühe päringu jaoks lubatud nimede lahendamise sammude arvu sisemisel piirangul.
On kaks peamist kaitsestrateegiat. DNSSEC-iga süsteemide jaoks
Allikas: opennet.ru