D'fhoilsigh foireann taighdeoirí ó Ollscoil California, Riverside leagan nua den ionsaí SAD DNS (CVE-2021-20322) a oibríonn in ainneoin cosaintí a cuireadh leis anuraidh chun leochaileacht CVE-2020-25705 a bhac. Tá an modh nua cosúil go ginearálta le leochaileacht na bliana seo caite agus níl sé difriúil ach maidir le húsáid cineál difriúil paicéid ICMP chun calafoirt gníomhacha UDP a sheiceáil. Ceadaíonn an t-ionsaí atá beartaithe sonraí bréige a chur in ionad taisce an fhreastalaí DNS, ar féidir iad a úsáid chun seoladh IP fearainn treallach sa taisce a athsholáthar agus iarratais chuig an bhfearann a atreorú chuig freastalaí an ionsaitheora.
Ní oibríonn an modh molta ach amháin i gcruach líonra Linux mar gheall ar a nasc le sainghnéithe an mheicníocht phróiseála paicéid ICMP i Linux, a fheidhmíonn mar fhoinse sceite sonraí a shimplíonn cinneadh uimhir phoirt an UDP a úsáideann an freastalaí chun seoladh iarratas seachtrach. Glacadh le hathruithe a chuireann bac ar sceitheadh faisnéise isteach san eithne Linux ag deireadh mhí Lúnasa (cuimsíodh an socrú in eithne 5.15 agus nuashonruithe Meán Fómhair ar bhrainsí LTS an eithne). Baineann an socrú le hathrú chuig algartam hashing SipHash a úsáid i dtaisce líonra in ionad Jenkins Hash. Is féidir stádas shocrú na leochaileachta i ndáiltí a mheasúnú ar na leathanaigh seo: Debian, RHEL, Fedora, SUSE, Ubuntu.
De réir na dtaighdeoirí a d'aithin an fhadhb, tá thart ar 38% de na réititheoirí oscailte ar an líonra leochaileach, lena n-áirítear seirbhísí DNS coitianta mar OpenDNS agus Quad9 (9.9.9.9). Maidir le bogearraí freastalaí, is féidir ionsaí a dhéanamh trí úsáid a bhaint as pacáistí mar BIND, Unbound agus dnsmasq ar fhreastalaí Linux. Ní fheictear an fhadhb ar fhreastalaithe DNS a ritheann ar chórais Windows agus BSD. Chun ionsaí a dhéanamh go rathúil, is gá spoofing IP a úsáid, i.e. ceanglaítear nach gcuireann ISP an ionsaitheora bac ar phaicéid le seoladh IP foinse falsa.
Mar mheabhrúchán, seachnaíonn an t-ionsaí SAD DNS na cosaintí a chuirtear le freastalaithe DNS chun an modh nimhithe taisce DNS clasaiceach a mhol Dan Kaminsky in 2008 a bhac. Déanann modh Kaminsky ionramháil ar mhéid beag bídeach an réimse aitheantais ceiste DNS, nach bhfuil ann ach 16 giotán. Chun an t-aitheantóir idirbhirt DNS ceart a roghnú atá riachtanach le haghaidh spoofing óstach, is leor thart ar 7000 iarratas a sheoladh agus thart ar 140 míle freagra bréige a insamhail. Baineann an t-ionsaí le líon mór paicéid le ceangal IP bréige agus aitheantóirí idirbheart DNS éagsúla a sheoladh chuig an réititheoir DNS. Chun an chéad fhreagra a thaisceadh a chosc, tá ainm fearainn beagán modhnaithe i ngach freagra caocha (1.example.com, 2.example.com, 3.example.com, etc.).
Chun cosaint a dhéanamh ar ionsaí den chineál seo, chuir monaróirí freastalaí DNS dáileadh randamach i bhfeidhm ar líon na gcalafort foinse gréasáin óna seoltar iarratais réitigh, rud a rinne cúiteamh as méid an aitheantóra nach raibh sách mór. Tar éis cosaint a chur i bhfeidhm maidir le freagairt bhréige a sheoladh, chomh maith le haitheantóir 16-giotán a roghnú, b'éigean ceann de 64 míle calafort a roghnú, rud a mhéadaigh líon na roghanna roghnúcháin go 2^32.
Ceadaíonn an modh SAD DNS duit cinneadh uimhir an chalafoirt líonra a shimpliú go radacach agus an t-ionsaí a laghdú go dtí an modh clasaiceach Kaminsky. Is féidir le hionsaitheoir rochtain ar chalafoirt UDP neamhúsáidte agus gníomhacha a bhrath trí leas a bhaint as faisnéis sceite faoi ghníomhaíocht na gcalafort líonra agus iad ag próiseáil paicéid freagartha ICMP. Ligeann an modh dúinn líon na roghanna cuardaigh a laghdú faoi 4 ordú méide - 2^16+2^16 in ionad 2^32 (131_072 in ionad 4_294_967_296). Is é is cúis leis an sceitheadh faisnéise a ligeann duit calafoirt ghníomhacha UDP a chinneadh go tapa ná locht sa chód chun paicéid ICMP a phróiseáil le hiarratais ilroinnte (bratach Ilroinnt ag Teastáil ICMP) nó atreorú (bratach Atreorú ICMP). Nuair a sheoltar paicéid den sórt sin athraíonn staid an taisce sa chairn líonra, rud a fhágann gur féidir a chinneadh, bunaithe ar fhreagra an fhreastalaí, cé acu calafort UDP atá gníomhach agus nach bhfuil.
Cás Ionsaí: Nuair a dhéanann réititheoir DNS iarracht ainm fearainn a réiteach, cuireann sé ceist UDP chuig an bhfreastalaí DNS a fhreastalaíonn ar an bhfearann. Cé go bhfuil an réititheoir ag fanacht le freagra, is féidir le hionsaitheoir an uimhir phoirt foinse a úsáideadh chun an t-iarratas a sheoladh a chinneadh go tapa agus freagra falsa a sheoladh chuige, ag aithris ar an bhfreastalaí DNS a fhreastalaíonn ar an bhfearann ag baint úsáide as spoofing seoltaí IP. Déanfaidh an réititheoir DNS na sonraí a seoladh sa fhreagra bréige a thaisceadh agus ar feadh tamaill tabharfaidh sé ar ais an seoladh IP a chuir an t-ionsaitheoir in ionad gach iarratas DNS eile ar an ainm fearainn.
Foinse: oscailtenet.ru