Grúpa taighdeoirí ó Ollscoil Tel Aviv agus an Lárionad Idirdhisciplíneach i Herzliya (Iosrael)
Baineann an fhadhb le sainghnéithe an phrótacail agus bíonn tionchar aici ar gach freastalaí DNS a thacaíonn le próiseáil fiosrúchán athfhillteach, lena n-áirítear
Tá an t-ionsaí bunaithe ar an ionsaitheoir ag baint úsáide as iarratais a thagraíonn do líon mór de thaifid bhréige NS nach bhfacthas riamh roimhe, a bhfuil cinneadh ainmneacha tarmligthe chucu, ach gan taifid gliú a shonrú le faisnéis faoi sheoltaí IP freastalaithe NS sa fhreagra. Mar shampla, seolann ionsaitheoir ceist chun an t-ainm sd1.attacker.com a réiteach tríd an bhfreastalaí DNS atá freagrach as fearann attacker.com a rialú. Mar fhreagra ar iarratas an réitigh ar fhreastalaí DNS an ionsaitheora, eisítear freagra a tharmligean cinneadh an seoladh sd1.attacker.com chuig freastalaí DNS an íospartaigh trí thaifid NS a chur in iúl sa fhreagra gan sonraí a thabhairt ar na freastalaithe IP NS. Ós rud é nach bhfuiltear tar éis teacht ar an bhfreastalaí NS luaite roimhe seo agus nach bhfuil a sheoladh IP sonraithe, déanann an réititheoir iarracht seoladh IP an fhreastalaí NS a chinneadh trí cheist a sheoladh chuig freastalaí DNS an íospartaigh a fhreastalaíonn ar an spriocfhearann (victim.com).
Is í an fhadhb atá ann ná gur féidir leis an ionsaitheoir freagra a thabhairt le liosta ollmhór de fhreastalaithe NS nach bhfuil ag déanamh athuair le hainmneacha fofhearann íospartaigh bhréige nach bhfuil ann (fake-1.victim.com, fake-2.victim.com,... fake-1000. íospartach.com). Déanfaidh an réititheoir iarracht iarratas a sheoladh chuig freastalaí DNS an íospartaigh, ach gheobhaidh sé freagra nach bhfuarthas an fearann, agus ina dhiaidh sin déanfaidh sé iarracht an chéad fhreastalaí NS eile ar an liosta a chinneadh, agus mar sin de go dtí go mbeidh gach iarracht déanta aige Taifid NS liostaithe ag an ionsaitheoir. Dá réir sin, ar iarratas ó ionsaitheoir amháin, seolfaidh an réititheoir líon mór iarrataí chun óstaigh NS a chinneadh. Ós rud é go ngintear ainmneacha freastalaí NS go randamach agus go dtagraíonn siad d'fhofhearainn nach bhfuil ann, ní aisghabhtar ón taisce iad agus mar thoradh ar gach iarratas ón ionsaitheoir bíonn líon mór iarrataí ar an bhfreastalaí DNS a fhreastalaíonn ar fhearann an íospartaigh.
Rinne taighdeoirí staidéar ar an méid leochaileachta a bhaineann le réititheoirí poiblí DNS leis an bhfadhb agus chinn siad, agus fiosrúcháin á seoladh chuig an réititheoir CloudFlare (1.1.1.1), gur féidir líon na bpacáistí (PAF, Paicéad Amplification Factor) a mhéadú faoi 48 uair, Google (8.8.8.8) - 30 uair, FreeDNS (37.235.1.174) - 50 uair, OpenDNS (208.67.222.222) - 32 uair. Breathnaítear táscairí níos suntasaí le haghaidh
Leibhéal3 (209.244.0.3) - 273 uair, Quad9 (9.9.9.9) - 415 uair
SafeDNS (195.46.39.39) - 274 uair, Verisign (64.6.64.6) - 202 uair,
Ultra (156.154.71.1) - 405 uair, Comodo Secure (8.26.56.26) - 435 uair, DNS.Watch (84.200.69.80) - 486 uair, agus Norton ConnectSafe (199.85.126.10) - 569 uair. I gcás freastalaithe atá bunaithe ar BIND 9.12.3, mar gheall ar chomhthreomharú iarrataí, is féidir leis an leibhéal gnóthachain suas le 1000 a shroicheadh. Déantar ainmneacha NS go seicheamhach agus luíonn sé ar an teorainn inmheánach ar líon na gcéimeanna réitigh ainm a cheadaítear d’iarratas amháin.
Tá dhá phríomhstraitéis chosanta ann. Le haghaidh córais le DNSSEC
Foinse: oscailtenet.ru