Yon gwoup chèchè nan Inivèsite Tel Aviv ak Sant Entèdisiplinè nan Herzliya (pèp Izrayèl la) nouvo metòd atak (), ki pèmèt ou sèvi ak nenpòt rezolisyon DNS kòm anplifikatè trafik, bay yon pousantaj anplifikasyon ki rive jiska 1621 fwa an tèm de kantite pake (pou chak demann voye bay rezolisyon an, ou ka reyalize 1621 demann yo voye sou sèvè viktim nan) ak jiska 163 fwa an tèm de trafik.
Pwoblèm nan gen rapò ak sengularite pwotokòl la epi li afekte tout sèvè dns ki sipòte pwosesis rechèch rekursif, tankou (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), osi byen ke sèvis DNS piblik Google, Cloudflare, Amazon, Quad9, ICANN ak lòt konpayi yo. Te ranje a kowòdone ak devlopè sèvè DNS, ki an menm tan lage mizajou pou ranje vilnerabilite nan pwodwi yo. Pwoteksyon atak aplike nan degaje yo
, , , .
Se atak la ki baze sou atakè a lè l sèvi avèk demann ki refere a yon gwo kantite dosye NS fiktif ki pa t wè deja, yo delege detèminasyon non, men san yo pa espesifye dosye lakòl ak enfòmasyon sou adrès IP yo nan sèvè NS nan repons lan. Pou egzanp, yon atakè voye yon rechèch pou rezoud non sd1.attacker.com lè li kontwole sèvè dns ki responsab domèn attacker.com. An repons a demann rezolisyon an nan sèvè DNS atakè a, yo bay yon repons ki delege detèminasyon adrès sd1.attacker.com nan sèvè DNS viktim nan lè li endike dosye NS nan repons lan san yo pa bay detay sou sèvè IP NS yo. Piske sèvè NS mansyone a pa te rankontre anvan epi adrès IP li pa espesifye, rezolisyon an eseye detèmine adrès IP sèvè NS la lè li voye yon rechèch bay sèvè DNS viktim nan k ap sèvi domèn sib la (victim.com).
Pwoblèm lan se ke atakè a ka reponn ak yon lis gwo non-repete NS sèvè ak non-inexistant viktim fiktif subdomain non (fake-1.victim.com, fake-2.victim.com,... fake-1000. viktim.com). Resolve a pral eseye voye yon demann bay sèvè DNS viktim nan, men li pral resevwa yon repons ke domèn nan pa te jwenn, apre sa li pral eseye detèmine pwochen sèvè NS la nan lis la, ak sou sa jiskaske li te eseye tout bagay sa yo. Dosye NS ki nan lis pa atakè a. An konsekans, pou demann yon atakè, rezolisyon an pral voye yon gwo kantite demann pou detèmine lame NS. Depi non sèvè NS yo pwodwi owaza epi yo refere a subdomains ki pa egziste, yo pa rekipere yo nan kachèt la epi chak demann atakè a lakòz yon gwo kantite demann nan sèvè DNS k ap sèvi domèn viktim nan.
Chèchè yo te etidye degre vilnerabilite rezolisyon DNS piblik yo nan pwoblèm nan epi yo detèmine ke lè yo voye demann nan rezolisyon CloudFlare (1.1.1.1), li posib ogmante kantite pake (PAF, Packet Anplifikasyon Faktè) pa 48 fwa, Google. (8.8.8.8) - 30 fwa, FreeDNS (37.235.1.174) - 50 fwa, OpenDNS (208.67.222.222) - 32 fwa. Endikatè plis aparan yo obsève pou
Level3 (209.244.0.3) - 273 fwa, Quad9 (9.9.9.9) - 415 fwa
SafeDNS (195.46.39.39) - 274 fwa, Verisign (64.6.64.6) - 202 fwa,
Ultra (156.154.71.1) - 405 fwa, Comodo Secure (8.26.56.26) - 435 fwa, DNS.Watch (84.200.69.80) - 486 fwa, ak Norton ConnectSafe (199.85.126.10) - 569 fwa. Pou serveurs ki baze sou BIND 9.12.3, akòz paralelizasyon demann, nivo benefis la ka rive jiska 1000. Nan Knot Resolver 5.1.0, nivo benefis la se apeprè plizyè dizèn fwa (24-48), depi detèminasyon an nan Non NS yo fèt an sekans epi yo chita sou limit entèn yo sou kantite etap rezolisyon non yo pèmèt pou yon sèl demann.
Gen de estrateji prensipal defans. Pou sistèm ki gen DNSSEC itilize pou anpeche DNS kachèt kontoune paske demann yo voye ak non o aza. Sans nan metòd la se jenere repons negatif san yo pa kontakte serveurs DNS autorité, lè l sèvi avèk tcheke ranje atravè DNSSEC. Yon apwòch ki pi senp se limite kantite non ki ka defini lè w ap trete yon sèl demann delege, men metòd sa a ka lakòz pwoblèm ak kèk konfigirasyon ki egziste deja paske limit yo pa defini nan pwotokòl la.
Sous: opennet.ru