Ib pab neeg tshawb fawb los ntawm University of California, Riverside tau tshaj tawm qhov hloov pauv tshiab ntawm SAD DNS nres (CVE-2021-20322) uas ua haujlwm txawm tias muaj kev tiv thaiv ntxiv rau xyoo tas los los thaiv CVE-2020-25705 qhov tsis zoo. Txoj kev tshiab no feem ntau zoo ib yam li xyoo tas los qhov tsis zoo thiab sib txawv tsuas yog siv ntau hom ICMP pob ntawv los xyuas cov chaw nres nkoj UDP. Qhov kev tawm tsam tawm tsam tso cai rau kev hloov pauv ntawm cov ntaub ntawv tsis tseeb rau hauv DNS server cache, uas tuaj yeem siv los hloov IP chaw nyob ntawm tus neeg txiav txim siab sau npe hauv cache thiab hloov pauv cov lus thov mus rau qhov chaw rau tus neeg tawm tsam lub server.
Txoj kev npaj ua haujlwm tsuas yog hauv Linux network pawg vim nws qhov kev sib txuas rau qhov tshwj xeeb ntawm ICMP pob ntawv ua cov txheej txheem hauv Linux, uas ua raws li cov ntaub ntawv xau uas yooj yim rau kev txiav txim siab ntawm UDP chaw nres nkoj siv los ntawm tus neeg rau zaub mov xa tuaj. thov sab nraud. Cov kev hloov pauv uas thaiv cov ntaub ntawv xa tawm tau raug coj mus rau hauv Linux ntsiav thaum kawg lub Yim Hli (qhov kev txhim kho tau suav nrog hauv ntsiav 5.15 thiab lub Cuaj Hli hloov tshiab rau LTS ceg ntawm cov ntsiav). Qhov kev txhim kho boils mus rau kev hloov mus rau kev siv SipHash hashing algorithm hauv network caches es tsis txhob Jenkins Hash. Cov xwm txheej ntawm kev kho qhov tsis zoo hauv kev faib khoom tuaj yeem soj ntsuam ntawm cov nplooj ntawv no: Debian, RHEL, Fedora, SUSE, Ubuntu.
Raws li cov kws tshawb fawb uas tau txheeb xyuas qhov teeb meem, kwv yees li 38% ntawm cov neeg qhib kev daws teeb meem hauv lub network yog qhov tsis zoo, suav nrog cov kev pabcuam DNS nrov xws li OpenDNS thiab Quad9 (9.9.9.9). Raws li rau server software, kev tawm tsam tuaj yeem ua tiav los ntawm kev siv pob khoom xws li BIND, Unbound thiab dnsmasq ntawm Linux server. Qhov teeb meem tsis tshwm sim ntawm DNS servers khiav ntawm Windows thiab BSD systems. Txhawm rau ua tiav qhov kev tawm tsam, nws yog qhov yuav tsum tau siv IP spoofing, i.e. Nws yuav tsum tau hais tias tus attacker's ISP tsis thaiv cov pob ntawv nrog qhov chaw nyob IP cuav.
Raws li kev ceeb toom, SAD DNS nres hla dhau qhov kev tiv thaiv ntxiv rau DNS servers los thaiv cov txheej txheem DNS cache lom tshuaj lom neeg hauv xyoo 2008 los ntawm Dan Kaminsky. Kaminsky txoj kev tswj xyuas qhov me me ntawm DNS query ID teb, uas tsuas yog 16 khoom. Txhawm rau xaiv qhov tseeb DNS pauv tus cim tsim nyog rau tus tswv lub npe spoofing, nws txaus los xa kwv yees li 7000 qhov kev thov thiab simulate txog 140 txhiab cov lus teb tsis tseeb. Qhov kev tawm tsam kub hnyiab mus rau xa ntau cov pob ntawv nrog qhov tseeb IP khi thiab nrog sib txawv DNS pauv tus cim rau DNS daws. Txhawm rau tiv thaiv caching ntawm thawj cov lus teb, txhua qhov lus teb dummy muaj lub npe hloov kho me ntsis (1.example.com, 2.example.com, 3.example.com, thiab lwm yam).
Txhawm rau tiv thaiv hom kev tawm tsam no, DNS server cov tuam txhab tau siv qhov sib faib ntawm cov lej ntawm cov chaw nres nkoj hauv lub network los ntawm qhov kev thov daws teeb meem raug xa mus, uas tau them nyiaj rau qhov tsis txaus loj ntawm tus cim. Tom qab siv kev tiv thaiv xa cov lus teb tsis tseeb, ntxiv rau kev xaiv tus cim 16-ntsis, nws tau los ua qhov tsim nyog xaiv ib qho ntawm 64 txhiab chaw nres nkoj, uas nce tus naj npawb ntawm kev xaiv rau 2^32.
Txoj kev SAD DNS tso cai rau koj kom yooj yim rau kev txiav txim siab ntawm lub network chaw nres nkoj thiab txo qhov kev tawm tsam mus rau txoj kev Kaminsky classic. Tus neeg tawm tsam tuaj yeem tshawb pom kev nkag mus rau cov chaw nres nkoj tsis siv thiab nquag siv UDP los ntawm kev ua kom zoo dua ntawm cov ntaub ntawv xau txog kev ua haujlwm ntawm cov chaw nres nkoj hauv network thaum ua cov ntawv ICMP cov lus teb. Txoj kev tso cai rau peb txo tus naj npawb ntawm kev tshawb nrhiav los ntawm 4 qhov kev txiav txim siab - 2^16 + 2^16 hloov 2^32 (131_072 hloov 4_294_967_296). Kev xau ntawm cov ntaub ntawv uas tso cai rau koj los txiav txim siab ceev UDP cov chaw nres nkoj yog tshwm sim los ntawm qhov tsis txaus ntseeg hauv cov cai rau kev ua ICMP cov pob ntawv nrog kev thov kom tawg (ICMP Fragmentation Xav tau chij) lossis kev xa rov qab (ICMP Redirect chij). Kev xa cov pob ntawv no hloov lub xeev ntawm cov cache hauv pawg network, uas ua rau nws muaj peev xwm txiav txim siab, raws li tus neeg rau zaub mov cov lus teb, uas UDP chaw nres nkoj ua haujlwm thiab qhov twg tsis yog.
Attack Scenario: Thaum tus DNS daws teeb meem sim daws lub npe sau npe, nws xa cov lus nug UDP rau DNS server ua haujlwm rau lub npe. Thaum tus neeg daws tab tom tos cov lus teb, tus neeg tawm tsam tuaj yeem txiav txim siab sai sai ntawm qhov chaw nres nkoj tus lej uas tau siv los xa cov lus thov thiab xa cov lus teb tsis raug rau nws, ua tus neeg siv DNS server ua haujlwm rau tus sau siv IP chaw nyob spoofing. Tus neeg daws teeb meem DNS yuav cache cov ntaub ntawv xa hauv cov lus teb tsis raug thiab qee lub sijhawm yuav rov qab qhov chaw nyob IP hloov los ntawm tus neeg tawm tsam rau tag nrho lwm qhov kev thov DNS rau lub npe sau npe.
Tau qhov twg los: opennet.ru