Yon ekip chèchè nan University of California, Riverside te pibliye yon nouvo varyant nan atak la SAD DNS (CVE-2021-20322) ki travay malgre pwoteksyon yo te ajoute ane pase a bloke vilnerabilite CVE-2020-25705. Nouvo metòd la jeneralman sanble ak vilnerabilite ane pase a epi li diferan sèlman nan itilizasyon yon diferan kalite pake ICMP pou tcheke pò UDP aktif yo. Atak pwopoze a pèmèt pou ranplasman done fiktiv nan kachèt sèvè dns la, ki ka itilize pou ranplase adrès IP yon domèn abitrè nan kachèt la epi redireksyon demann nan domèn nan sou sèvè atakè a.
Metòd yo pwopoze a ap travay sèlman nan pile rezo Linux akòz koneksyon li ak sengularite yo nan mekanis pwosesis pake ICMP nan Linux, ki aji kòm yon sous flit done ki senplifye detèminasyon nimewo pò UDP sèvè a itilize pou voye yon demann ekstèn. Chanjman ki bloke enfòmasyon flit yo te adopte nan nwayo Linux la nan fen mwa Out (te ranje a enkli nan nwayo 5.15 ak mizajou septanm nan branch LTS nan nwayo a). Ranje a se pou chanje pou itilize algorithm hachaj SipHash nan kachèt rezo olye pou yo Jenkins Hash. Estati a nan fikse vilnerabilite nan distribisyon yo ka evalye sou paj sa yo: Debian, RHEL, Fedora, SUSE, Ubuntu.
Dapre chèchè yo ki te idantifye pwoblèm nan, apeprè 38% nan rezolisyon louvri sou rezo a yo vilnerab, ki gen ladan sèvis DNS popilè tankou OpenDNS ak Quad9 (9.9.9.9). Kòm pou lojisyèl sèvè, yon atak ka fèt lè l sèvi avèk pakè tankou BIND, Unbound ak dnsmasq sou yon sèvè Linux. Pwoblèm nan pa parèt sou sèvè dns ki kouri sou sistèm Windows ak BSD. Pou pote yon atak avèk siksè, li nesesè pou itilize IP spoofing, i.e. li nesesè pou ISP atakè a pa bloke pakè ak yon fo adrès IP sous.
Kòm yon rapèl, atak la SAD DNS kontoune pwoteksyon yo ajoute nan sèvè dns yo bloke metòd la klasik DNS anpwazònman kachèt te pwopoze an 2008 pa Dan Kaminsky. Metòd Kaminsky a manipile ti gwosè a nan jaden an ID rechèch DNS, ki se sèlman 16 Bits. Pou chwazi idantifyan tranzaksyon DNS kòrèk ki nesesè pou spoofing non lame, li ase pou voye apeprè 7000 demann ak simulation apeprè 140 mil repons fiktif. Atak la se voye yon gwo kantite pakè ak yon lyezon IP fiktif ak diferan idantifyan tranzaksyon DNS bay rezolisyon DNS la. Pou anpeche kachèt premye repons lan, chak repons enbesil gen yon non domèn yon ti kras modifye (1.example.com, 2.example.com, 3.example.com, elatriye).
Pou pwoteje kont kalite atak sa a, manifaktirè sèvè DNS aplike yon distribisyon o aza nan kantite pò rezo sous ki soti nan ki demann rezolisyon yo voye, ki konpanse pou gwosè a ensifizan gwo nan idantifyan an. Apre aplikasyon pwoteksyon pou voye yon repons fiktif, anplis chwazi yon idantifyan 16-bit, li te vin nesesè yo chwazi youn nan 64 mil pò, ki te ogmante kantite opsyon pou seleksyon a 2 ^ 32.
Metòd DNS SAD la pèmèt ou senplifye radikalman detèminasyon nimewo pò rezo a epi redwi atak la nan metòd klasik Kaminsky la. Yon atakè ka detekte aksè nan pò UDP ki pa itilize ak aktif lè li pwofite enfòmasyon ki koule sou aktivite pò rezo yo lè l ap trete pake repons ICMP yo. Metòd la pèmèt nou redwi kantite opsyon rechèch pa 4 lòd - 2^16+2^16 olye de 2^32 (131_072 olye de 4_294_967_296). Kout enfòmasyon ki pèmèt ou byen vit detèmine pò UDP aktif yo koze pa yon defo nan kòd pou trete pake ICMP ak demann fwagmantasyon (ICMP Fragmentation Needed flag) oswa redireksyon (ICMP Redirect flag). Voye pake sa yo chanje eta a nan kachèt la nan chemine rezo a, ki fè li posib detèmine, ki baze sou repons sèvè a, ki pò UDP ki aktif ak ki pa.
Senaryo atak: Lè yon rezolisyon DNS eseye rezoud yon non domèn, li voye yon demann UDP nan sèvè DNS k ap sèvi domèn nan. Pandan ke rezolisyon an ap tann yon repons, yon atakè ka byen vit detèmine nimewo pò sous ki te itilize pou voye demann lan epi voye yon fo repons ba li, pèsonalite sèvè DNS k ap sèvi domèn nan lè l sèvi avèk spoofing adrès IP. Rezolisyon dns la pral kache done yo voye nan fo repons la epi pandan kèk tan ap retounen adrès IP atakè a ranplase pou tout lòt demann DNS pou non domèn.
Sous: opennet.ru