ការវាយប្រហារ SAD DNS ថ្មីដើម្បីបញ្ចូលទិន្នន័យក្លែងក្លាយទៅក្នុងឃ្លាំងសម្ងាត់ DNS

ក្រុមអ្នកស្រាវជ្រាវមកពីសាកលវិទ្យាល័យកាលីហ្វ័រញ៉ា Riverside បានចេញផ្សាយវ៉ារ្យ៉ង់ថ្មីនៃការវាយប្រហារ SAD DNS (CVE-2021-20322) ដែលដំណើរការទោះបីជាការការពារត្រូវបានបន្ថែមកាលពីឆ្នាំមុនដើម្បីទប់ស្កាត់ភាពងាយរងគ្រោះ CVE-2020-25705 ក៏ដោយ។ វិធីសាស្រ្តថ្មីជាទូទៅគឺស្រដៀងគ្នាទៅនឹងភាពងាយរងគ្រោះកាលពីឆ្នាំមុន ហើយខុសគ្នាតែក្នុងការប្រើប្រាស់ប្រភេទផ្សេងគ្នានៃកញ្ចប់ព័ត៌មាន ICMP ដើម្បីពិនិត្យមើលច្រក UDP សកម្ម។ ការវាយប្រហារដែលបានស្នើឡើងអនុញ្ញាតឱ្យមានការជំនួសទិន្នន័យប្រឌិតទៅក្នុងឃ្លាំងសម្ងាត់ម៉ាស៊ីនមេ DNS ដែលអាចត្រូវបានប្រើដើម្បីជំនួសអាសយដ្ឋាន IP នៃដែនបំពាននៅក្នុងឃ្លាំងសម្ងាត់ និងបញ្ជូនសំណើទៅកាន់ដែនទៅកាន់ម៉ាស៊ីនមេរបស់អ្នកវាយប្រហារ។

វិធីសាស្រ្តដែលបានស្នើឡើងដំណើរការតែនៅក្នុងជង់បណ្តាញលីនុចប៉ុណ្ណោះ ដោយសារតែការតភ្ជាប់របស់វាទៅនឹងភាពប្លែកនៃយន្តការដំណើរការកញ្ចប់ព័ត៌មាន ICMP នៅក្នុងលីនុច ដែលដើរតួជាប្រភពនៃការលេចធ្លាយទិន្នន័យ ដែលជួយសម្រួលដល់ការកំណត់លេខច្រក UDP ដែលប្រើដោយម៉ាស៊ីនមេដើម្បីផ្ញើ ការស្នើសុំខាងក្រៅ។ ការផ្លាស់ប្តូរដែលរារាំងការលេចធ្លាយព័ត៌មានត្រូវបានអនុម័តទៅក្នុងខឺណែលលីនុចនៅចុងខែសីហា (ការជួសជុលត្រូវបានរួមបញ្ចូលនៅក្នុងខឺណែល 5.15 និងការធ្វើបច្ចុប្បន្នភាពខែកញ្ញាចំពោះសាខា LTS នៃខឺណែល) ។ ការ​ជួសជុល​ធ្លាក់​ចុះ​ដល់​ការ​ប្ដូរ​ទៅ​ប្រើ​ក្បួន​ដោះស្រាយ SipHash hashing ក្នុង​ឃ្លាំង​សម្ងាត់​បណ្ដាញ​ជំនួស​ឲ្យ Jenkins Hash។ ស្ថានភាពនៃការជួសជុលភាពងាយរងគ្រោះក្នុងការចែកចាយអាចត្រូវបានវាយតម្លៃនៅលើទំព័រទាំងនេះ៖ Debian, RHEL, Fedora, SUSE, Ubuntu ។

យោងតាមអ្នកស្រាវជ្រាវដែលបានកំណត់បញ្ហានោះ ប្រហែល 38% នៃអ្នកដោះស្រាយបញ្ហាបើកចំហនៅលើបណ្តាញគឺងាយរងគ្រោះ រួមទាំងសេវាកម្ម DNS ពេញនិយមដូចជា OpenDNS និង Quad9 (9.9.9.9) ។ សម្រាប់កម្មវិធីម៉ាស៊ីនមេ ការវាយប្រហារអាចត្រូវបានអនុវត្តដោយប្រើកញ្ចប់ដូចជា BIND, Unbound និង dnsmasq នៅលើម៉ាស៊ីនមេលីនុច។ បញ្ហាមិនលេចឡើងនៅលើម៉ាស៊ីនមេ DNS ដែលដំណើរការលើប្រព័ន្ធ Windows និង BSD ទេ។ ដើម្បីអនុវត្តការវាយប្រហារដោយជោគជ័យ ចាំបាច់ត្រូវប្រើ IP spoofing ពោលគឺឧ។ វាត្រូវបានទាមទារថា ISP របស់អ្នកវាយប្រហារមិនរារាំងកញ្ចប់ព័ត៌មានដែលមានអាសយដ្ឋាន IP ប្រភពក្លែងក្លាយនោះទេ។

ជាការរំលឹក ការវាយប្រហារ SAD DNS រំលងការការពារដែលបានបន្ថែមទៅម៉ាស៊ីនមេ DNS ដើម្បីទប់ស្កាត់វិធីសាស្ត្របំពុលឃ្លាំងសម្ងាត់ DNS បុរាណដែលបានស្នើឡើងក្នុងឆ្នាំ 2008 ដោយ Dan Kaminsky ។ វិធីសាស្រ្តរបស់ Kaminsky រៀបចំទំហំតូចនៃវាលលេខសម្គាល់សំណួរ DNS ដែលមានត្រឹមតែ 16 ប៊ីតប៉ុណ្ណោះ។ ដើម្បីជ្រើសរើសអត្តសញ្ញាណប្រតិបត្តិការ DNS ត្រឹមត្រូវដែលចាំបាច់សម្រាប់ការក្លែងបន្លំឈ្មោះម៉ាស៊ីន វាគ្រប់គ្រាន់ក្នុងការផ្ញើសំណើប្រហែល 7000 និងក្លែងធ្វើការឆ្លើយតបប្រហែល 140 ពាន់។ ការ​វាយ​ប្រហារ​ធ្លាក់​ចុះ​ទៅ​នឹង​ការ​ផ្ញើ​កញ្ចប់​ព័ត៌មាន​មួយ​ចំនួន​ធំ​ជាមួយ​នឹង​ការ​ចង IP ប្រឌិត និង​ជាមួយ​នឹង​ឧបករណ៍​សម្គាល់​ប្រតិបត្តិការ DNS ផ្សេង​គ្នា​ទៅ​អ្នក​ដោះស្រាយ DNS។ ដើម្បីទប់ស្កាត់ការទុកក្នុងឃ្លាំងសម្ងាត់នៃការឆ្លើយតបដំបូង ការឆ្លើយតបអត់ចេះសោះនីមួយៗមានឈ្មោះដែនដែលបានកែប្រែបន្តិចបន្តួច (1.example.com, 2.example.com, 3.example.com ។ល។)។

ដើម្បីការពារប្រឆាំងនឹងប្រភេទនៃការវាយប្រហារនេះ ក្រុមហ៊ុនផលិតម៉ាស៊ីនមេ DNS បានអនុវត្តការចែកចាយចៃដន្យនៃចំនួនច្រកបណ្តាញប្រភពដែលសំណើដំណោះស្រាយត្រូវបានផ្ញើ ដែលផ្តល់សំណងសម្រាប់ទំហំធំមិនគ្រប់គ្រាន់នៃការកំណត់អត្តសញ្ញាណ។ បន្ទាប់ពីអនុវត្តការការពារសម្រាប់ការផ្ញើការឆ្លើយតបប្រឌិត បន្ថែមពីលើការជ្រើសរើសឧបករណ៍កំណត់អត្តសញ្ញាណ 16 ប៊ីត វាចាំបាច់ត្រូវជ្រើសរើសច្រកមួយក្នុងចំណោមច្រកចំនួន 64 ពាន់ ដែលបង្កើនចំនួនជម្រើសសម្រាប់ការជ្រើសរើសដល់ 2^32 ។

វិធីសាស្ត្រ SAD DNS អនុញ្ញាតឱ្យអ្នកសម្រួលការកំណត់លេខច្រកបណ្តាញ និងកាត់បន្ថយការវាយប្រហារទៅជាវិធីសាស្ត្រ Kaminsky បុរាណ។ អ្នកវាយប្រហារអាចរកឃើញការចូលទៅកាន់ច្រក UDP ដែលមិនបានប្រើ និងសកម្មដោយទាញយកអត្ថប្រយោជន៍ពីព័ត៌មានលេចធ្លាយអំពីសកម្មភាពនៃច្រកបណ្តាញ នៅពេលដំណើរការកញ្ចប់ព័ត៌មានឆ្លើយតប ICMP ។ វិធីសាស្រ្តអនុញ្ញាតឱ្យយើងកាត់បន្ថយចំនួនជម្រើសស្វែងរកដោយ 4 លំដាប់នៃរ៉ិចទ័រ - 2^16+2^16 ជំនួសឱ្យ 2^32 (131_072 ជំនួសឱ្យ 4_294_967_296) ។ ការលេចធ្លាយព័ត៌មានដែលអនុញ្ញាតឱ្យអ្នកកំណត់យ៉ាងរហ័សនូវច្រក UDP សកម្មគឺបណ្តាលមកពីកំហុសនៅក្នុងកូដសម្រាប់ដំណើរការកញ្ចប់ព័ត៌មាន ICMP ជាមួយនឹងសំណើបំបែក (ICMP Fragmentation Needed flag) ឬការបញ្ជូនបន្ត (ទង់ ICMP ប្តូរទិស) ។ ការផ្ញើកញ្ចប់ព័ត៌មានបែបនេះផ្លាស់ប្តូរស្ថានភាពនៃឃ្លាំងសម្ងាត់នៅក្នុងជង់បណ្តាញ ដែលធ្វើឱ្យវាអាចធ្វើទៅបានដើម្បីកំណត់ដោយផ្អែកលើការឆ្លើយតបរបស់ម៉ាស៊ីនមេ ដែលច្រក UDP សកម្ម និងមួយណាមិនមែន។

សេណារីយ៉ូនៃការវាយប្រហារ៖ នៅពេលដែលអ្នកដោះស្រាយ DNS ព្យាយាមដោះស្រាយឈ្មោះដែន វាផ្ញើសំណួរ UDP ទៅម៉ាស៊ីនមេ DNS ដែលបម្រើដែន។ ខណៈពេលដែលអ្នកដោះស្រាយកំពុងរង់ចាំការឆ្លើយតប អ្នកវាយប្រហារអាចកំណត់បានយ៉ាងលឿននូវលេខច្រកប្រភពដែលត្រូវបានប្រើដើម្បីផ្ញើសំណើ និងផ្ញើការឆ្លើយតបក្លែងក្លាយទៅវា ដោយក្លែងបន្លំម៉ាស៊ីនមេ DNS ដែលបម្រើដែនដោយប្រើការក្លែងបន្លំអាសយដ្ឋាន IP ។ អ្នកដោះស្រាយ DNS នឹងរក្សាទុកទិន្នន័យដែលបានផ្ញើក្នុងការឆ្លើយតបក្លែងក្លាយ ហើយសម្រាប់ពេលខ្លះនឹងត្រឡប់អាសយដ្ឋាន IP ដែលជំនួសដោយអ្នកវាយប្រហារសម្រាប់សំណើ DNS ផ្សេងទៀតទាំងអស់សម្រាប់ឈ្មោះដែន។

ប្រភព: opennet.ru