Sekelompok peneliti dari Universitas Tel Aviv dan Pusat Interdisipliner di Herzliya (Israel)
Masalahnya terkait dengan kekhasan protokol dan mempengaruhi semua server DNS yang mendukung pemrosesan kueri rekursif, termasuk
Serangan ini didasarkan pada penyerang yang menggunakan permintaan yang merujuk ke sejumlah besar catatan NS fiktif yang sebelumnya tidak terlihat, yang mana penentuan nama didelegasikan, tetapi tanpa menentukan catatan lem dengan informasi tentang alamat IP server NS dalam responsnya. Misalnya, penyerang mengirimkan kueri untuk menyelesaikan nama sd1.penyerang.com dengan mengendalikan server DNS yang bertanggung jawab atas domain penyerang.com. Menanggapi permintaan penyelesai ke server DNS penyerang, respons dikeluarkan yang mendelegasikan penentuan alamat sd1.reacher.com ke server DNS korban dengan menunjukkan catatan NS dalam respons tanpa merinci server IP NS. Karena server NS yang disebutkan belum pernah ditemukan sebelumnya dan alamat IP-nya tidak ditentukan, penyelesai mencoba menentukan alamat IP server NS dengan mengirimkan kueri ke server DNS korban yang melayani domain target (victim.com).
Masalahnya adalah penyerang dapat merespons dengan daftar besar server NS yang tidak berulang dengan nama subdomain korban fiktif yang tidak ada (fake-1.victim.com, fake-2.victim.com,... fake-1000. korban.com). Resolver akan mencoba mengirim permintaan ke server DNS korban, tetapi akan menerima respons bahwa domain tidak ditemukan, setelah itu akan mencoba menentukan server NS berikutnya dalam daftar, dan seterusnya hingga mencoba semua Catatan NS dicantumkan oleh penyerang. Oleh karena itu, untuk satu permintaan penyerang, penyelesai akan mengirimkan sejumlah besar permintaan untuk menentukan host NS. Karena nama server NS dibuat secara acak dan mengacu pada subdomain yang tidak ada, nama tersebut tidak diambil dari cache dan setiap permintaan dari penyerang menghasilkan banyak permintaan ke server DNS yang melayani domain korban.
Para peneliti mempelajari tingkat kerentanan pemecah masalah DNS publik terhadap masalah tersebut dan menentukan bahwa ketika mengirim kueri ke pemecah masalah CloudFlare (1.1.1.1), dimungkinkan untuk meningkatkan jumlah paket (PAF, Packet Amplification Factor) sebanyak 48 kali lipat, Google (8.8.8.8) - 30 kali, FreeDNS (37.235.1.174) - 50 kali, OpenDNS (208.67.222.222) - 32 kali. Indikator yang lebih nyata diamati
Level3 (209.244.0.3) - 273 kali, Quad9 (9.9.9.9) - 415 kali
SafeDNS (195.46.39.39) - 274 kali, Verisign (64.6.64.6) - 202 kali,
Ultra (156.154.71.1) - 405 kali, Comodo Secure (8.26.56.26) - 435 kali, DNS.Watch (84.200.69.80) - 486 kali, dan Norton ConnectSafe (199.85.126.10) - 569 kali. Untuk server berdasarkan BIND 9.12.3, karena paralelisasi permintaan, tingkat penguatan dapat mencapai hingga 1000. Dalam Knot Resolver 5.1.0, tingkat penguatan kira-kira beberapa puluh kali lipat (24-48), sejak penentuan Nama NS dilakukan secara berurutan dan bertumpu pada batas internal jumlah langkah penyelesaian nama yang diperbolehkan untuk satu permintaan.
Ada dua strategi pertahanan utama. Untuk sistem dengan DNSSEC
Sumber: opennet.ru