Grúpa taighdeoirí ó Ollscoil Tel Aviv agus an Lárionad Idirdhisciplíneach i Herzliya (Iosrael) modh ionsaí nua (), rud a ligeann duit aon réititheoirí DNS a úsáid mar aimplitheoirí tráchta, ag soláthar ráta aimplithe suas le 1621 uair i dtéarmaí líon na bpacáistí (do gach iarratas a sheoltar chuig an réititheoir, is féidir leat 1621 iarratas a sheoladh chuig freastalaí an íospartaigh a bhaint amach) agus suas le 163 uair i dtéarmaí tráchta.
Baineann an fhadhb le sainghnéithe an phrótacail agus bíonn tionchar aici ar gach freastalaí DNS a thacaíonn le próiseáil fiosrúchán athfhillteach, lena n-áirítear (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), chomh maith le seirbhísí DNS poiblí Google, Cloudflare, Amazon, Quad9, ICANN agus cuideachtaí eile. Comhordaíodh an socrú le forbróirí freastalaí DNS, a d'eisigh nuashonruithe ag an am céanna chun an leochaileacht ina gcuid táirgí a shocrú. Cosaint ionsaithe curtha i bhfeidhm sna heisiúintí
, , , .
Tá an t-ionsaí bunaithe ar an ionsaitheoir ag baint úsáide as iarratais a thagraíonn do líon mór de thaifid bhréige NS nach bhfacthas riamh roimhe, a bhfuil cinneadh ainmneacha tarmligthe chucu, ach gan taifid gliú a shonrú le faisnéis faoi sheoltaí IP freastalaithe NS sa fhreagra. Mar shampla, seolann ionsaitheoir ceist chun an t-ainm sd1.attacker.com a réiteach tríd an bhfreastalaí DNS atá freagrach as fearann attacker.com a rialú. Mar fhreagra ar iarratas an réitigh ar fhreastalaí DNS an ionsaitheora, eisítear freagra a tharmligean cinneadh an seoladh sd1.attacker.com chuig freastalaí DNS an íospartaigh trí thaifid NS a chur in iúl sa fhreagra gan sonraí a thabhairt ar na freastalaithe IP NS. Ós rud é nach bhfuiltear tar éis teacht ar an bhfreastalaí NS luaite roimhe seo agus nach bhfuil a sheoladh IP sonraithe, déanann an réititheoir iarracht seoladh IP an fhreastalaí NS a chinneadh trí cheist a sheoladh chuig freastalaí DNS an íospartaigh a fhreastalaíonn ar an spriocfhearann (victim.com).
Is í an fhadhb atá ann ná gur féidir leis an ionsaitheoir freagra a thabhairt le liosta ollmhór de fhreastalaithe NS nach bhfuil ag déanamh athuair le hainmneacha fofhearann íospartaigh bhréige nach bhfuil ann (fake-1.victim.com, fake-2.victim.com,... fake-1000. íospartach.com). Déanfaidh an réititheoir iarracht iarratas a sheoladh chuig freastalaí DNS an íospartaigh, ach gheobhaidh sé freagra nach bhfuarthas an fearann, agus ina dhiaidh sin déanfaidh sé iarracht an chéad fhreastalaí NS eile ar an liosta a chinneadh, agus mar sin de go dtí go mbeidh gach iarracht déanta aige Taifid NS liostaithe ag an ionsaitheoir. Dá réir sin, ar iarratas ó ionsaitheoir amháin, seolfaidh an réititheoir líon mór iarrataí chun óstaigh NS a chinneadh. Ós rud é go ngintear ainmneacha freastalaí NS go randamach agus go dtagraíonn siad d'fhofhearainn nach bhfuil ann, ní aisghabhtar ón taisce iad agus mar thoradh ar gach iarratas ón ionsaitheoir bíonn líon mór iarrataí ar an bhfreastalaí DNS a fhreastalaíonn ar fhearann an íospartaigh.
Rinne taighdeoirí staidéar ar an méid leochaileachta a bhaineann le réititheoirí poiblí DNS leis an bhfadhb agus chinn siad, agus fiosrúcháin á seoladh chuig an réititheoir CloudFlare (1.1.1.1), gur féidir líon na bpacáistí (PAF, Paicéad Amplification Factor) a mhéadú faoi 48 uair, Google (8.8.8.8) - 30 uair, FreeDNS (37.235.1.174) - 50 uair, OpenDNS (208.67.222.222) - 32 uair. Breathnaítear táscairí níos suntasaí le haghaidh
Leibhéal3 (209.244.0.3) - 273 uair, Quad9 (9.9.9.9) - 415 uair
SafeDNS (195.46.39.39) - 274 uair, Verisign (64.6.64.6) - 202 uair,
Ultra (156.154.71.1) - 405 uair, Comodo Secure (8.26.56.26) - 435 uair, DNS.Watch (84.200.69.80) - 486 uair, agus Norton ConnectSafe (199.85.126.10) - 569 uair. I gcás freastalaithe atá bunaithe ar BIND 9.12.3, mar gheall ar chomhthreomharú iarrataí, is féidir leis an leibhéal gnóthachain suas le 1000 a shroicheadh. Déantar ainmneacha NS go seicheamhach agus luíonn sé ar an teorainn inmheánach ar líon na gcéimeanna réitigh ainm a cheadaítear d’iarratas amháin.
Tá dhá phríomhstraitéis chosanta ann. Le haghaidh córais le DNSSEC bain úsáid as chun seachbhóthar taisce DNS a chosc toisc go seoltar iarratais le hainmneacha randamacha. Is é croílár an mhodha ná freagraí diúltacha a ghiniúint gan dul i dteagmháil le freastalaithe DNS údarásacha, ag baint úsáide as seiceáil raoin trí DNSSEC. Cur chuige níos simplí is ea teorainn a chur le líon na n-ainmneacha is féidir a shainiú agus iarratas tarmligthe amháin á phróiseáil, ach d’fhéadfadh fadhbanna a bheith ag baint leis an modh seo le roinnt cumraíochtaí atá ann cheana toisc nach bhfuil na teorainneacha sainithe sa phrótacal.
Foinse: oscailtenet.ru