Тель-Авив университетінің және Герцлиядағы (Израиль) пәнаралық орталығының зерттеушілер тобы
Мәселе хаттаманың ерекшеліктерімен байланысты және рекурсивті сұрауларды өңдеуді қолдайтын барлық DNS серверлеріне әсер етеді, соның ішінде
Шабуыл шабуылдаушыға атын анықтау берілген, бірақ жауапта NS серверлерінің IP мекенжайлары туралы ақпараты бар желімдік жазбаларды көрсетпей, бұрын көрмеген жалған NS жазбаларының үлкен санына сілтеме жасайтын сұрауларды қолдануына негізделген. Мысалы, шабуылдаушы attacker.com доменіне жауапты DNS серверін басқару арқылы sd1.attacker.com атауын шешу үшін сұрау жібереді. Шабуылшының DNS серверіне шешуші сұрауына жауап ретінде IP NS серверлерін егжей-тегжейлі көрсетпей жауапта NS жазбаларын көрсету арқылы sd1.attacker.com мекенжайын анықтауды жәбірленушінің DNS серверіне тапсыратын жауап беріледі. Аталған NS сервері бұрын кездеспегендіктен және оның IP мекенжайы көрсетілмегендіктен, шешуші мақсатты доменге (victim.com) қызмет көрсететін құрбанның DNS серверіне сұрау жіберу арқылы NS серверінің IP мекенжайын анықтауға әрекет жасайды.
Мәселе мынада, шабуылдаушы жалған құрбандық субдомен атаулары (fake-1.victim.com, fake-2.victim.com,... fake-1000) бар қайталанбайтын NS серверлерінің үлкен тізімімен жауап бере алады. Qurban.com). Шешуші жәбірленушінің DNS серверіне сұрау жіберуге тырысады, бірақ домен табылмады деген жауап алады, содан кейін ол тізімдегі келесі NS серверін анықтауға тырысады және т.б. Шабуылдаушы тізімдеген NS жазбалары. Тиісінше, бір шабуылдаушының сұрауы үшін шешуші NS хосттарын анықтау үшін көптеген сұрауларды жібереді. NS сервер атаулары кездейсоқ түрде жасалғандықтан және жоқ ішкі домендерге сілтеме жасайды, олар кэштен шығарылмайды және шабуылдаушының әрбір сұрауы құрбанның доменіне қызмет көрсететін DNS серверіне сұраныстардың ағынына әкеледі.
Зерттеушілер жалпыға бірдей DNS шешушілердің мәселеге осалдық дәрежесін зерттеп, CloudFlare шешушіге (1.1.1.1) сұрауларды жіберу кезінде пакеттер санын (PAF, Пакет күшейту коэффициенті) 48 есеге арттыруға болатынын анықтады, Google (8.8.8.8) - 30 рет, FreeDNS (37.235.1.174) - 50 рет, OpenDNS (208.67.222.222) - 32 рет. үшін анағұрлым елеулі көрсеткіштер байқалады
3-деңгей (209.244.0.3) - 273 рет, Quad9 (9.9.9.9) - 415 рет
SafeDNS (195.46.39.39) - 274 рет, Verisign (64.6.64.6) - 202 рет,
Ultra (156.154.71.1) - 405 рет, Comodo Secure (8.26.56.26) - 435 рет, DNS.Watch (84.200.69.80) - 486 рет және Norton ConnectSafe (199.85.126.10) -569 рет. BIND 9.12.3 негізіндегі серверлер үшін сұраулардың параллельизациясына байланысты пайда деңгейі 1000-ға дейін жетуі мүмкін. Knot Resolver 5.1.0-де күшейту деңгейі шамамен бірнеше ондаған рет (24-48) анықталғаннан бері болады. NS атаулары дәйекті түрде орындалады және бір сұрау үшін рұқсат етілген атауды шешу қадамдарының санының ішкі шегіне сүйенеді.
Екі негізгі қорғаныс стратегиясы бар. DNSSEC жүйесі бар жүйелер үшін
Ақпарат көзі: opennet.ru