Buidheann de luchd-rannsachaidh bho Oilthigh Tel Aviv agus an Ionad Eadar-chuspaireil ann an Herzliya (Israel) dòigh ionnsaigh ùr (). agus suas ri 1621 tursan a thaobh trafaig.
Tha an duilgheadas co-cheangailte ri feartan sònraichte a’ phròtacal agus a’ toirt buaidh air a h-uile seirbheisiche DNS a bheir taic do ghiollachd cheistean ath-chuairteach, a’ gabhail a-steach (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), a bharrachd air seirbheisean poblach DNS de Google, Cloudflare, Amazon, Quad9, ICANN agus companaidhean eile. Chaidh an rèiteachadh a cho-òrdanachadh le luchd-leasachaidh frithealaiche DNS, a leig a-mach ùrachaidhean aig an aon àm gus so-leòntachd anns na toraidhean aca a chàradh. Dìon ionnsaigh air a chuir an gnìomh ann am fiosan
, , , .
Tha an ionnsaigh stèidhichte air an neach-ionnsaigh a’ cleachdadh iarrtasan a tha a’ toirt iomradh air àireamh mhòr de chlàran meallta NS nach fhacas roimhe, ris a bheil dearbhadh ainm air a thiomnadh, ach gun a bhith a’ sònrachadh chlàran glaodh le fiosrachadh mu sheòlaidhean IP luchd-frithealaidh NS san fhreagairt. Mar eisimpleir, bidh neach-ionnsaigh a ’cur ceist gus an t-ainm sd1.attacker.com fhuasgladh le bhith a’ cumail smachd air an fhrithealaiche DNS le uallach airson an àrainn attacker.com. Mar fhreagairt air iarrtas an rèitiche gu frithealaiche DNS an neach-ionnsaigh, thèid freagairt a thoirt seachad a bhios a’ tiomnadh an t-seòladh sd1.attacker.com gu frithealaiche DNS an neach-fulaing le bhith a’ comharrachadh clàran NS san fhreagairt gun a bhith a’ toirt mion-fhiosrachadh air na frithealaichean IP NS. Leis nach deach coinneachadh ris an t-seirbheisiche NS a chaidh ainmeachadh roimhe agus nach eil an seòladh IP aige air a shònrachadh, bidh an rèitiche a ’feuchainn ri seòladh IP an fhrithealaiche NS a dhearbhadh le bhith a’ cur ceist gu frithealaiche DNS an neach-fulaing a tha a ’frithealadh an raon targaid (victim.com).
Is e an duilgheadas a th ’ann gum faod an neach-ionnsaigh freagairt le liosta mhòr de luchd-frithealaidh NS nach eil ag ath-aithris le ainmean fo-roinn luchd-fulang meallta nach eil ann (fake-1.victim.com, fake-2.victim.com, ... fake-1000. fulang.com). Feuchaidh an rèitiche ri iarrtas a chuir gu frithealaiche DNS an neach-fulaing, ach gheibh e freagairt nach deach an àrainn a lorg, às deidh sin feuchaidh e ris an ath fhrithealaiche NS air an liosta a dhearbhadh, agus mar sin air adhart gus am bi e air a h-uile gin fheuchainn. Clàran NS air an liostadh leis an neach-ionnsaigh. A rèir sin, airson iarrtas aon neach-ionnsaigh, cuiridh am fuasgladh àireamh mhòr de dh’ iarrtasan gus luchd-aoigheachd NS a dhearbhadh. Leis gu bheil ainmean frithealaiche NS air an gineadh air thuaiream agus a’ toirt iomradh air fo-roinnean nach eil ann, chan fhaighear iad air ais bhon tasgadan agus bidh gach iarrtas bhon neach-ionnsaigh a’ leantainn gu grunn iarrtasan chun t-seirbheisiche DNS a tha a’ frithealadh àrainn an neach-fulaing.
Rinn luchd-rannsachaidh sgrùdadh air an ìre de chugallachd luchd-fuasglaidh DNS poblach don duilgheadas agus cho-dhùin iad nuair a chuireas iad fios gu CloudFlare resolver (1.1.1.1), gu bheil e comasach an àireamh de phasganan (PAF, Packet Amplification Factor) àrdachadh le 48 tursan, Google (8.8.8.8) - 30 tursan, FreeDNS (37.235.1.174) - 50 tursan, OpenDNS (208.67.222.222) - 32 tursan. Thathas a’ cumail sùil air comharran nas follaisiche airson
Ìre 3 (209.244.0.3) - 273 tursan, Quad9 (9.9.9.9) - 415 tursan
SafeDNS (195.46.39.39) - 274 tursan, Verisign (64.6.64.6) - 202 uair,
Ultra (156.154.71.1) - 405 tursan, Comodo Thèarainte (8.26.56.26) - 435 tursan, DNS.Watch (84.200.69.80) - 486 tursan, agus Norton ConnectSafe (199.85.126.10) - 569 tursan. Airson luchd-frithealaidh stèidhichte air BIND 9.12.3, mar thoradh air co-shìnteadh iarrtasan, faodaidh an ìre buannachd ruighinn suas gu 1000. Ann an Knot Resolver 5.1.0, tha an ìre buannachd timcheall air grunn deichean thursan (24-48), bho chaidh a dhearbhadh Bithear a’ coileanadh ainmean NS ann an òrdugh agus an urra ris a’ chrìoch a-staigh air an àireamh de cheumannan fuasglaidh ainm a tha ceadaichte airson aon iarrtas.
Tha dà phrìomh ro-innleachd dìon ann. Airson siostaman le DNSSEC cleachdadh gus casg a chuir air seach-rathad tasgadan DNS oir thèid iarrtasan a chuir le ainmean air thuaiream. Is e brìgh an dòigh freagairtean àicheil a ghineadh gun a bhith a’ cur fios gu frithealaichean DNS ùghdarrasach, a’ cleachdadh sgrùdadh raon tro DNSSEC. Is e dòigh-obrach nas sìmplidh a bhith a’ cuingealachadh na h-àireamh de dh’ainmean a dh’fhaodar a mhìneachadh nuair a thathar a’ giullachd aon iarrtas tiomnaichte, ach dh’ fhaodadh an dòigh seo duilgheadasan adhbhrachadh le cuid de na rèiteachaidhean a th’ ann mar-thà leis nach eil na crìochan air am mìneachadh sa phròtacal.
Source: fosgailtenet.ru