Hópur vísindamanna frá háskólanum í Tel Aviv og þverfaglegu miðstöðinni í Herzliya (Ísrael) ný árásaraðferð (), sem gerir þér kleift að nota hvaða DNS-leysara sem er sem umferðarmagnara, sem veitir allt að 1621 sinnum mögnunarhraða miðað við fjölda pakka (fyrir hverja beiðni sem send er til lausnarans geturðu fengið 1621 beiðni send á netþjón fórnarlambsins) og allt að 163 sinnum hvað varðar umferð.
Vandamálið tengist sérkennum samskiptareglunnar og hefur áhrif á alla DNS netþjóna sem styðja endurkvæma fyrirspurnavinnslu, þ.m.t. (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), sem og opinbera DNS þjónustu Google, Cloudflare, Amazon, Quad9, ICANN og fleiri fyrirtækja. Lagfæringin var samræmd með þróunaraðilum DNS netþjóna, sem gáfu samtímis út uppfærslur til að laga varnarleysi í vörum sínum. Árásarvörn innleidd í útgáfum
, , , .
Árásin byggist á því að árásarmaðurinn notar beiðnir sem vísa til fjölda áður óséðra uppdiktna NS-skráa, sem nafnákvörðun er framseld til, en án þess að tilgreina límskrár með upplýsingum um IP-tölur NS-þjóna í svarinu. Til dæmis sendir árásarmaður fyrirspurn til að leysa nafnið sd1.attacker.com með því að stjórna DNS-þjóninum sem ber ábyrgð á attacker.com léninu. Til að bregðast við beiðni lausnarans til DNS-þjóns árásarmannsins er svar gefið út sem felur ákvörðun sd1.attacker.com heimilisfangsins til DNS-þjóns fórnarlambsins með því að gefa til kynna NS-skrár í svarinu án þess að tilgreina IP NS-þjóna. Þar sem nefndur NS-þjónn hefur ekki komið fram áður og IP-tala hans er ekki tilgreint, reynir leysirinn að ákvarða IP-tölu NS-þjónsins með því að senda fyrirspurn til DNS-þjóns fórnarlambsins sem þjónar markléninu (victim.com).
Vandamálið er að árásarmaðurinn getur brugðist við með risastórum lista yfir NS netþjóna sem ekki eru endurteknir með tilbúnum undirlénum fórnarlambs sem ekki eru til (fake-1.victim.com, fake-2.victim.com,... fake-1000. victim.com). Leysarinn mun reyna að senda beiðni til DNS-þjóns fórnarlambsins, en mun fá svar um að lénið hafi ekki fundist, eftir það mun hann reyna að ákvarða næsta NS-þjón á listanum, og svo framvegis þar til hann hefur prófað allar NS skrár skráðar af árásarmanninum. Í samræmi við það, fyrir beiðni eins árásarmanns, mun leysarinn senda gríðarlegan fjölda beiðna til að ákvarða NS gestgjafa. Þar sem NS netþjónsnöfn eru mynduð af handahófi og vísa til undirléna sem ekki eru til, eru þau ekki sótt úr skyndiminni og hver beiðni frá árásarmanninum leiðir til flæðis beiðna til DNS netþjónsins sem þjónar léni fórnarlambsins.
Rannsakendur rannsökuðu hversu varnarleysi opinberra DNS-leysara var fyrir vandamálinu og ákváðu að þegar fyrirspurnir eru sendar til CloudFlare-leysirsins (1.1.1.1) er hægt að fjölga pakka (PAF, Packet Amplification Factor) um 48 sinnum, Google (8.8.8.8) - 30 sinnum, FreeDNS (37.235.1.174) - 50 sinnum, OpenDNS (208.67.222.222) - 32 sinnum. Fleiri áberandi vísbendingar eru skoðaðar fyrir
Level3 (209.244.0.3) - 273 sinnum, Quad9 (9.9.9.9) - 415 sinnum
SafeDNS (195.46.39.39) - 274 sinnum, Verisign (64.6.64.6) - 202 sinnum,
Ultra (156.154.71.1) - 405 sinnum, Comodo Secure (8.26.56.26) - 435 sinnum, DNS.Watch (84.200.69.80) - 486 sinnum og Norton ConnectSafe (199.85.126.10 sinnum) - 569 sinnum. Fyrir netþjóna sem byggjast á BIND 9.12.3, vegna samhliða beiðna, getur ávinningsstigið náð allt að 1000. Í Knot Resolver 5.1.0 er ávinningsstigið um það bil nokkrum tugum sinnum (24-48), þar sem ákvörðun um NS nöfn eru framkvæmd í röð og hvílir á innri takmörkunum á fjölda nafnlausnarþrepa sem leyfð er fyrir eina beiðni.
Það eru tvær megin varnaraðferðir. Fyrir kerfi með DNSSEC nota til að koma í veg fyrir DNS skyndiminni framhjá vegna þess að beiðnir eru sendar með handahófskenndum nöfnum. Kjarni aðferðarinnar er að búa til neikvæð svör án þess að hafa samband við opinbera DNS netþjóna, með því að nota sviðsskoðun í gegnum DNSSEC. Einfaldari aðferð er að takmarka fjölda nafna sem hægt er að skilgreina þegar unnið er með einni úthlutaðri beiðni, en þessi aðferð getur valdið vandræðum með sumar núverandi stillingar vegna þess að mörkin eru ekki skilgreind í samskiptareglunum.
Heimild: opennet.ru