Թել Ավիվի համալսարանի և Հերցլիայի միջդիսցիպլինար կենտրոնի մի խումբ հետազոտողներ (Իսրայել) հարձակման նոր մեթոդ (), որը թույլ է տալիս օգտագործել ցանկացած DNS լուծիչներ որպես երթևեկության ուժեղացուցիչներ՝ ապահովելով փաթեթների քանակի առումով մինչև 1621 անգամ ուժեղացման արագություն (լուծողին ուղարկված յուրաքանչյուր հարցման համար կարող եք հասնել տուժողի սերվերին ուղարկվող 1621 հարցումների) իսկ երթեւեկության առումով՝ մինչեւ 163 անգամ։
Խնդիրը կապված է արձանագրության առանձնահատկությունների հետ և ազդում է բոլոր DNS սերվերների վրա, որոնք աջակցում են ռեկուրսիվ հարցումների մշակմանը, ներառյալ. (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), ինչպես նաև Google, Cloudflare, Amazon, Quad9, ICANN և այլ ընկերությունների հանրային DNS ծառայություններ: Ուղղումը համաձայնեցվել է DNS սերվերի մշակողների հետ, որոնք միաժամանակ թարմացումներ են թողարկել՝ իրենց արտադրանքի խոցելիությունը շտկելու համար: Հարձակման պաշտպանությունը իրականացվում է թողարկումներում
, , , .
Հարձակումը հիմնված է հարձակվողի վրա՝ օգտագործելով հարցումներ, որոնք վերաբերում են նախկինում չտեսնված ֆիկտիվ NS գրառումների մեծ թվով, որոնց անունների որոշումը պատվիրակված է, բայց առանց պատասխանում նշելու սոսինձ գրառումներ՝ NS սերվերների IP հասցեների մասին տեղեկություններով: Օրինակ՝ հարձակվողը հարցում է ուղարկում՝ լուծելու sd1.attacker.com անունը՝ վերահսկելով DNS սերվերը, որը պատասխանատու է attacker.com տիրույթի համար: Հարձակվողի DNS սերվերին լուծողի խնդրանքին ի պատասխան տրվում է պատասխան, որը փոխանցում է sd1.attacker.com հասցեի որոշումը զոհի DNS սերվերին՝ պատասխանում նշելով NS գրառումները՝ առանց մանրամասնելու IP NS սերվերները: Քանի որ նշված NS սերվերը նախկինում չի հանդիպել և նրա IP հասցեն նշված չէ, լուծիչը փորձում է որոշել NS սերվերի IP հասցեն՝ հարցում ուղարկելով զոհի DNS սերվերին, որը սպասարկում է թիրախային տիրույթը (victim.com):
Խնդիրն այն է, որ հարձակվողը կարող է պատասխանել չկրկնվող NS սերվերների հսկայական ցուցակով՝ գոյություն չունեցող ֆիկտիվ զոհերի ենթադոմեյն անուններով (fake-1.victim.com, fake-2.victim.com,... fake-1000): viktima.com): Լուծողը կփորձի հարցում ուղարկել տուժողի DNS սերվերին, բայց կստանա պատասխան, որ տիրույթը չի գտնվել, որից հետո կփորձի որոշել ցուցակի հաջորդ NS սերվերը և այդպես շարունակ, մինչև չփորձի բոլորը: Հարձակվողի կողմից թվարկված NS գրառումները: Համապատասխանաբար, մեկ հարձակվողի խնդրանքով լուծիչը կուղարկի հսկայական թվով հարցումներ՝ NS հյուրընկալողներին որոշելու համար: Քանի որ NS սերվերների անունները ստեղծվում են պատահականորեն և վերաբերում են գոյություն չունեցող ենթադոմեյններին, դրանք չեն վերցվում քեշից, և հարձակվողի յուրաքանչյուր հարցում հանգեցնում է տուժողի տիրույթը սպասարկող DNS սերվերին ուղղված հարցումների ալիքի:
Հետազոտողները ուսումնասիրել են խնդրի նկատմամբ հանրային DNS լուծիչների խոցելիության աստիճանը և պարզել, որ CloudFlare լուծիչին (1.1.1.1) հարցումներ ուղարկելիս հնարավոր է 48 անգամ ավելացնել փաթեթների քանակը (PAF, Packet Amplification Factor), Google-ը: (8.8.8.8) - 30 անգամ, FreeDNS (37.235.1.174) - 50 անգամ, OpenDNS (208.67.222.222) - 32 անգամ: Ավելի նկատելի ցուցանիշներ են նկատվում
Level3 (209.244.0.3) - 273 անգամ, Quad9 (9.9.9.9) - 415 անգամ
SafeDNS (195.46.39.39) - 274 անգամ, Verisign (64.6.64.6) - 202 անգամ,
Ultra (156.154.71.1) - 405 անգամ, Comodo Secure (8.26.56.26) - 435 անգամ, DNS.Watch (84.200.69.80) - 486 անգամ, և Norton ConnectSafe (199.85.126.10 անգամ) BIND 569-ի վրա հիմնված սերվերների համար, հարցումների զուգահեռացման շնորհիվ, շահույթի մակարդակը կարող է հասնել մինչև 9.12.3-ի: Knot Resolver 1000-ում շահույթի մակարդակը մոտավորապես մի քանի տասնյակ անգամ է (5.1.0-24), քանի որ որոշվել է. NS անունները կատարվում են հաջորդաբար և հիմնված են մեկ հարցման համար թույլատրված անունների լուծման քայլերի քանակի ներքին սահմանի վրա:
Պաշտպանության երկու հիմնական ռազմավարություն կա. DNSSEC ունեցող համակարգերի համար օգտագործումը կանխելու DNS քեշի շրջանցումը, քանի որ հարցումներն ուղարկվում են պատահական անուններով: Մեթոդի էությունը բացասական պատասխաններ առաջացնելն է՝ առանց հեղինակավոր DNS սերվերների հետ կապվելու՝ օգտագործելով միջակայքի ստուգում DNSSEC-ի միջոցով: Ավելի պարզ մոտեցում է սահմանափակել անունների քանակը, որոնք կարող են սահմանվել մեկ պատվիրակված հարցումը մշակելիս, սակայն այս մեթոդը կարող է խնդիրներ առաջացնել որոշ գոյություն ունեցող կազմաձևերի հետ, քանի որ սահմանները սահմանված չեն արձանագրության մեջ:
Source: opennet.ru