Rühm teadlasi Tel Avivi ülikoolist ja Herzliya (Iisrael) interdistsiplinaarsest keskusest uus rünnakumeetod (), mis võimaldab teil kasutada liiklusvõimenditena mis tahes DNS-i lahendajaid, pakkudes pakettide arvu osas kuni 1621-kordset võimendussagedust (iga lahendajale saadetud päringu kohta saate saavutada 1621 päringu saatmise ohvri serverisse) ja liikluse poolest kuni 163 korda.
Probleem on seotud protokolli iseärasustega ja puudutab kõiki rekursiivset päringutöötlust toetavaid DNS-servereid, sh. (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), samuti Google'i, Cloudflare'i, Amazoni, Quad9, ICANNi ja teiste ettevõtete avalikud DNS-teenused. Parandus kooskõlastati DNS-serveri arendajatega, kes andsid samal ajal välja värskendusi, et parandada nende toodete haavatavust. Väljalasetes rakendatud rünnakukaitse
, , , .
Rünnak põhineb sellel, et ründaja kasutab päringuid, mis viitavad suurele hulgale seninägematutele fiktiivsetele NS-kirjetele, millele on delegeeritud nime määramine, kuid ei täpsusta vastuses NS-serverite IP-aadresside teabega liimikirjeid. Näiteks saadab ründaja päringu nime sd1.attacker.com lahendamiseks, kontrollides domeeni attacker.com eest vastutavat DNS-serverit. Vastuseks lahendaja päringule ründaja DNS-serverile väljastatakse vastus, mis delegeerib sd1.attacker.com aadressi määramise ohvri DNS-serverile, näidates vastuses NS-kirjed ilma IP NS-servereid täpsustamata. Kuna mainitud NS-serveriga pole varem kokku puututud ja selle IP-aadressi pole täpsustatud, püüab lahendaja määrata NS-serveri IP-aadressi, saates päringu ohvri sihtdomeeni teenindavale DNS-serverile (victim.com).
Probleem on selles, et ründaja saab vastata tohutu hulga mittekorduvate NS-serverite loendiga, millel on olematu fiktiivsed ohvri alamdomeeninimed (fake-1.victim.com, fake-2.victim.com,... fake-1000. ohver.com). Lahendaja proovib saata päringu ohvri DNS-serverisse, kuid saab vastuse, et domeeni ei leitud, misjärel proovib määrata loendis järgmist NS-serverit ja nii edasi, kuni on proovinud kõiki Ründaja loetletud NS-kirjed. Sellest lähtuvalt saadab lahendaja ühe ründaja päringu korral tohutu hulga taotlusi NS-i hostide määramiseks. Kuna NS-serveri nimed genereeritakse juhuslikult ja viitavad olematutele alamdomeenidele, siis neid vahemälust välja ei võeta ja iga ründaja päring toob kaasa taotluste hulga ohvri domeeni teenindavale DNS-serverile.
Teadlased uurisid avalike DNS-i lahendajate haavatavust probleemi suhtes ja leidsid, et CloudFlare'i lahendajale (1.1.1.1) päringute saatmisel on võimalik pakettide arvu (PAF, Packet Amplification Factor) 48 korda suurendada, Google (8.8.8.8) – 30 korda, FreeDNS (37.235.1.174) – 50 korda, OpenDNS (208.67.222.222) – 32 korda. Märgatavamaid näitajaid täheldatakse
Tase 3 (209.244.0.3) – 273 korda, Quad9 (9.9.9.9) – 415 korda
SafeDNS (195.46.39.39) – 274 korda, Verisign (64.6.64.6) – 202 korda,
Ultra (156.154.71.1) – 405 korda, Comodo Secure (8.26.56.26) – 435 korda, DNS.Watch (84.200.69.80) – 486 korda ja Norton ConnectSafe (199.85.126.10) – 569 korda. BIND 9.12.3-l põhinevate serverite puhul võib võimenduse tase päringute paralleelsuse tõttu ulatuda kuni 1000-ni. Knot Resolver 5.1.0 puhul on võimenduse tase ligikaudu mitukümmend korda (24-48), kuna NS-nimed tehakse järjestikku ja see põhineb ühe päringu jaoks lubatud nimede lahendamise sammude arvu sisemisel piirangul.
On kaks peamist kaitsestrateegiat. DNSSEC-iga süsteemide jaoks kasutage DNS-i vahemälust möödaviigu vältimiseks, kuna päringud saadetakse juhuslike nimedega. Meetodi põhiolemus on negatiivsete vastuste genereerimine ilma autoriteetsete DNS-serveritega ühendust võtmata, kasutades DNSSEC-i kaudu vahemiku kontrollimist. Lihtsam lähenemine on piirata ühe delegeeritud päringu töötlemisel määratletavate nimede arvu, kuid see meetod võib põhjustada probleeme mõne olemasoleva konfiguratsiooniga, kuna protokollis pole piiranguid määratletud.
Allikas: opennet.ru