Hoʻopilikia ʻo NXNSAttack i nā mea hoʻonā DNS āpau

He pūʻulu o nā mea noiʻi mai ke Kulanui ʻo Tel Aviv a me ka Interdisciplinary Center ma Herzliya (Israel) ua hoʻomohala ʻano hoʻouka kaua hou NXNSAttack (PDF), e ʻae iā ʻoe e hoʻohana i nā mea hoʻonā DNS ma ke ʻano he mea hoʻonui i nā kaʻa, e hāʻawi ana i ka nui o ka amplification a hiki i 1621 mau manawa e pili ana i ka helu o nā ʻeke (no kēlā me kēia noi i hoʻouna ʻia i ka mea hoʻonā, hiki iā ʻoe ke hoʻokō i nā noi 1621 e hoʻouna ʻia i ke kikowaena o ka mea i pepehi ʻia) a hiki i ka 163 manawa e pili ana i ke kalaiwa.

Pili ka pilikia i nā ʻano o ka protocol a pili i nā kikowaena DNS āpau e kākoʻo ana i ka hoʻoili ʻana i ka huli ʻana, me ka ʻOi (CVE-2020-8616) ʻO Knot (CVE-2020-12667) ManaKaha (CVE-2020-10995) Windows DNS Server и MAKAHIKI MDCCCXVI NU (CVE-2020-12662), a me nā lawelawe DNS lehulehu o Google, Cloudflare, Amazon, Quad9, ICANN a me nā hui ʻē aʻe. Ua hui pū ʻia ka hoʻoponopono me nā mea hoʻomohala DNS, nāna i hoʻokuʻu i nā mea hou e hoʻoponopono i ka nāwaliwali o kā lākou huahana. Hoʻokō ʻia ka pale kaua ma nā hoʻokuʻu
Hoʻokuʻu ʻia 1.10.1, Knot Resolver 5.1.1, PowerDNS Recursor 4.3.1, 4.2.2, 4.1.16, HOOPII 9.11.19, 9.14.12, 9.16.3.

Hoʻokumu ʻia ka hoʻouka ʻana ma ka hoʻohana ʻana i nā noi e pili ana i ka nui o nā moʻolelo NS fictitious i ʻike ʻole ʻia ma mua, kahi i hāʻawi ʻia ai ka hoʻoholo inoa, akā me ka ʻole o ka wehewehe ʻana i nā moʻolelo glue me ka ʻike e pili ana i nā helu IP o nā kikowaena NS i ka pane. No ka laʻana, hoʻouna ka mea hoʻouka i kahi nīnau e hoʻoholo i ka inoa sd1.attacker.com ma ka hoʻomalu ʻana i ka server DNS kuleana no ka domain attacker.com. Ma ka pane ʻana i ka noi a ka mea hoʻonā i ka server DNS o ka mea hoʻouka, hoʻopuka ʻia kahi pane e hāʻawi ana i ka hoʻoholo ʻana o ka helu sd1.attacker.com i ka server DNS o ka mea i hōʻeha ʻia ma ka hōʻike ʻana i nā moʻolelo NS i ka pane me ka ʻole o ka wehewehe ʻana i nā kikowaena IP NS. No ka mea ʻaʻole i ʻike mua ʻia ka server NS i ʻōlelo ʻia a ʻaʻole i kuhikuhi ʻia kāna IP address, hoʻāʻo ka mea hoʻoholo e hoʻoholo i ka IP address o ka server NS ma o ka hoʻouna ʻana i kahi nīnau i ka server DNS o ka mea i pepehi ʻia e lawelawe ana i ka domain target (victim.com).

ʻO ka pilikia, hiki i ka mea hoʻouka ke pane aku me kahi papa inoa nui o nā kikowaena NS ʻaʻole i hana hou ʻia me nā inoa subdomain fictitious victim subdomain (fake-1.victim.com, fake-2.victim.com,... fake-1000. victim.com). E ho'āʻo ka mea hoʻoholo e hoʻouna i kahi noi i ke kikowaena DNS o ka mea i pepehi ʻia, akā e loaʻa iā ia kahi pane ʻaʻole i ʻike ʻia ka domain, a laila e hoʻāʻo ʻo ia e hoʻoholo i ka kikowaena NS aʻe ma ka papa inoa, a pēlā aku a hiki i ka hoʻāʻo ʻana i nā mea āpau. Nā moʻolelo NS i helu ʻia e ka mea hoʻouka. No laila, no ka noi a ka mea hoʻouka, e hoʻouna ka mea hoʻoholo i nā noi he nui e hoʻoholo i nā pūʻali NS. No ka mea, ua haku ʻia nā inoa kikowaena NS a pili i nā subdomains ʻole, ʻaʻole i kiʻi ʻia mai ka huna huna a ʻo kēlā me kēia noi mai ka mea hoʻouka e loaʻa i ka nui o nā noi i ke kikowaena DNS e lawelawe ana i ka domain o ka mea i pepehi ʻia.

Ua aʻo nā mea noiʻi i ke kiʻekiʻe o ka nāwaliwali o nā mea hoʻonā DNS lehulehu i ka pilikia a hoʻoholo i ka wā e hoʻouna ai i nā nīnau i ka mea hoʻonā CloudFlare (1.1.1.1), hiki ke hoʻonui i ka helu o nā packet (PAF, Packet Amplification Factor) e 48 mau manawa, Google (8.8.8.8) - 30 manawa, FreeDNS (37.235.1.174) - 50 manawa, OpenDNS (208.67.222.222) - 32 manawa. ʻIke ʻia nā hōʻailona ʻike hou aku no
Papa3 (209.244.0.3) - 273 manawa, Quad9 (9.9.9.9) - 415 manawa
SafeDNS (195.46.39.39) - 274 manawa, Verisign (64.6.64.6) - 202 manawa,
Ultra (156.154.71.1) - 405 manawa, Comodo Secure (8.26.56.26) - 435 manawa, DNS.Watch (84.200.69.80) - 486 manawa, a me Norton ConnectSafe (199.85.126.10) - 569 manawa. No nā kikowaena e pili ana i ka BIND 9.12.3, ma muli o ka hoʻohālikelike ʻana o nā noi, hiki ke kiʻekiʻe loaʻa ke piʻi i ka 1000. Ma Knot Resolver 5.1.0, ʻo ka pae loaʻa ma kahi o nā ʻumi mau manawa (24-48), mai ka hoʻoholo ʻana o Hana ʻia nā inoa NS a kau ʻia ma ka palena kūloko ma ka helu o nā ʻanuʻu hoʻonā inoa i ʻae ʻia no hoʻokahi noi.

ʻElua mau hoʻolālā pale nui. No nā ʻōnaehana me DNSSEC noi ʻia hoʻohana RFC-8198 no ka pale ʻana i ka cache DNS no ka mea ua hoʻouna ʻia nā noi me nā inoa maʻamau. ʻO ke kumu o ke ʻano ka hoʻopuka ʻana i nā pane maikaʻi ʻole me ka hoʻopili ʻole ʻana i nā kikowaena DNS mana, me ka hoʻohana ʻana i ka nānā ʻana ma o DNSSEC. ʻO kahi ala maʻalahi ka palena ʻana i ka helu o nā inoa i hiki ke wehewehe i ka wā e hoʻoponopono ai i kahi noi i hāʻawi ʻia, akā hiki i kēia ʻano ke hoʻopilikia i kekahi mau hoʻonohonoho i loaʻa no ka mea ʻaʻole i wehewehe ʻia nā palena i ka protocol.

Source: opennet.ru