Тель-Авив университетінің және Герцлиядағы (Израиль) пәнаралық орталығының зерттеушілер тобы жаңа шабуыл әдісі (), пакеттер саны бойынша 1621 есеге дейін күшейту жылдамдығын қамтамасыз ететін кез келген DNS резолюторларын трафик күшейткіштері ретінде пайдалануға мүмкіндік береді (резолюторға жіберілген әрбір сұрау үшін сіз құрбанның серверіне жіберілген 1621 сұрауға қол жеткізе аласыз) және трафик бойынша 163 есеге дейін.
Мәселе хаттаманың ерекшеліктерімен байланысты және рекурсивті сұрауларды өңдеуді қолдайтын барлық DNS серверлеріне әсер етеді, соның ішінде (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), сондай-ақ Google, Cloudflare, Amazon, Quad9, ICANN және басқа компаниялардың жалпыға қолжетімді DNS қызметтері. Түзету DNS серверін әзірлеушілермен келісілді, олар бір уақытта өз өнімдеріндегі осалдықты түзету үшін жаңартуларды шығарды. Шығарылымдарда шабуылдан қорғау жүзеге асырылады
, , , .
Шабуыл шабуылдаушыға атын анықтау берілген, бірақ жауапта NS серверлерінің IP мекенжайлары туралы ақпараты бар желімдік жазбаларды көрсетпей, бұрын көрмеген жалған NS жазбаларының үлкен санына сілтеме жасайтын сұрауларды қолдануына негізделген. Мысалы, шабуылдаушы attacker.com доменіне жауапты DNS серверін басқару арқылы sd1.attacker.com атауын шешу үшін сұрау жібереді. Шабуылшының DNS серверіне шешуші сұрауына жауап ретінде IP NS серверлерін егжей-тегжейлі көрсетпей жауапта NS жазбаларын көрсету арқылы sd1.attacker.com мекенжайын анықтауды жәбірленушінің DNS серверіне тапсыратын жауап беріледі. Аталған NS сервері бұрын кездеспегендіктен және оның IP мекенжайы көрсетілмегендіктен, шешуші мақсатты доменге (victim.com) қызмет көрсететін құрбанның DNS серверіне сұрау жіберу арқылы NS серверінің IP мекенжайын анықтауға әрекет жасайды.
Мәселе мынада, шабуылдаушы жалған құрбандық субдомен атаулары (fake-1.victim.com, fake-2.victim.com,... fake-1000) бар қайталанбайтын NS серверлерінің үлкен тізімімен жауап бере алады. Qurban.com). Шешуші жәбірленушінің DNS серверіне сұрау жіберуге тырысады, бірақ домен табылмады деген жауап алады, содан кейін ол тізімдегі келесі NS серверін анықтауға тырысады және т.б. Шабуылдаушы тізімдеген NS жазбалары. Тиісінше, бір шабуылдаушының сұрауы үшін шешуші NS хосттарын анықтау үшін көптеген сұрауларды жібереді. NS сервер атаулары кездейсоқ түрде жасалғандықтан және жоқ ішкі домендерге сілтеме жасайды, олар кэштен шығарылмайды және шабуылдаушының әрбір сұрауы құрбанның доменіне қызмет көрсететін DNS серверіне сұраныстардың ағынына әкеледі.
Зерттеушілер жалпыға бірдей DNS шешушілердің мәселеге осалдық дәрежесін зерттеп, CloudFlare шешушіге (1.1.1.1) сұрауларды жіберу кезінде пакеттер санын (PAF, Пакет күшейту коэффициенті) 48 есеге арттыруға болатынын анықтады, Google (8.8.8.8) - 30 рет, FreeDNS (37.235.1.174) - 50 рет, OpenDNS (208.67.222.222) - 32 рет. үшін анағұрлым елеулі көрсеткіштер байқалады
3-деңгей (209.244.0.3) - 273 рет, Quad9 (9.9.9.9) - 415 рет
SafeDNS (195.46.39.39) - 274 рет, Verisign (64.6.64.6) - 202 рет,
Ultra (156.154.71.1) - 405 рет, Comodo Secure (8.26.56.26) - 435 рет, DNS.Watch (84.200.69.80) - 486 рет және Norton ConnectSafe (199.85.126.10) -569 рет. BIND 9.12.3 негізіндегі серверлер үшін сұраулардың параллельизациясына байланысты пайда деңгейі 1000-ға дейін жетуі мүмкін. Knot Resolver 5.1.0-де күшейту деңгейі шамамен бірнеше ондаған рет (24-48) анықталғаннан бері болады. NS атаулары дәйекті түрде орындалады және бір сұрау үшін рұқсат етілген атауды шешу қадамдарының санының ішкі шегіне сүйенеді.
Екі негізгі қорғаныс стратегиясы бар. DNSSEC жүйесі бар жүйелер үшін пайдалану DNS кэш айналып өтуіне жол бермеу үшін, себебі сұраулар кездейсоқ атаулармен жіберіледі. Әдістің мәні DNSSEC арқылы ауқымды тексеруді қолдана отырып, беделді DNS серверлеріне хабарласпай теріс жауаптарды жасау болып табылады. Қарапайым тәсіл – бір өкілдік сұрауды өңдеу кезінде анықтауға болатын атаулардың санын шектеу, бірақ бұл әдіс кейбір бар конфигурацияларда ақаулық тудыруы мүмкін, себебі шектеулер хаттамада анықталмаған.
Ақпарат көзі: opennet.ru