αααα»αα’αααααααΆαααααΆαααααΈααΆαααα·ααααΆαααααΆααΈα αααααααΆ Riverside ααΆαα ααααααΆααααΆααααααααααΈααααΆαααΆααααα αΆα SAD DNS (CVE-2021-20322) αααααααΎαααΆααααααΈααΆααΆαααΆαααΆαααααΌαααΆαααααααααΆαααΈααααΆααα»αααΎααααΈαααααααΆααααΆαααΆαααααααα CVE-2020-25705 αααααα αα·ααΈααΆαααααααααΈααΆααΌαα ααΊααααααααααΆαα ααΉαααΆαααΆααααααααααΆαααΈααααΆααα»α α αΎααα»αααααΆαααααα»αααΆαααααΎααααΆαααααααααααααααααΆαααααα ααααααααΆα ICMP ααΎααααΈαα·αα·αααααΎαα ααα UDP αααααα ααΆαααΆααααα αΆααααααΆαααααΎα‘αΎαα’αα»ααααΆαα±ααααΆαααΆααααα½ααα·ααααααααααα·ααα αααα»αααααΆαααααααΆαααααΆαααΈααα DNS αααα’αΆα ααααΌαααΆαααααΎααΎααααΈαααα½αα’αΆααααααΆα IP αααααααααΆααα αααα»αααααΆαααααααΆαα αα·ααααααΌαααααΎαα ααΆααααααα ααΆαααααΆαααΈαααααααα’αααααΆααααα αΆαα
αα·ααΈααΆααααααααααΆαααααΎα‘αΎαααααΎαααΆααααα αααα»αααααααααΆαααΈαα»α ααα»ααααα αααααΆαααααΆααααααΆααααααααΆαα ααΉαααΆααααααααααααααΆαααααΎαααΆααααα ααααααααΆα ICMP αα αααα»αααΈαα»α αααααΎααα½ααΆαααααααααΆαααα ααααΆααα·αααααα ααααα½αααααα½ααααααΆαααααααααα ααα UDP αααααααΎααααααΆαααΈαααααΎααααΈααααΎ ααΆαααααΎαα»αααΆααααα α ααΆαααααΆααααααΌααααααΆααΆααααΆαααα ααααΆαααααααΆαααααΌαααΆαα’αα»ααααα αααα»αααΊαααααΈαα»α αα α α»αααααΈα αΆ (ααΆααα½ααα»αααααΌαααΆααα½ααααα αΌααα αααα»αααΊααα 5.15 αα·αααΆαααααΎαα αα α»ααααααααΆααααααααΆα ααααααΆααΆ LTS ααααΊααα) α ααΆαβαα½ααα»αβααααΆααβα α»αβαααβααΆαβααααΌαβαα βααααΎβαααα½αβαααααααΆα SipHash hashing αααα»αβααααΆααβαααααΆααβαααααΆαβαααα½αβα²αα Jenkins Hashα ααααΆαααΆαααααΆααα½ααα»αααΆαααΆαααααααααααα»αααΆαα ααα αΆαα’αΆα ααααΌαααΆαααΆαααααααα ααΎαααααααΆαααααα Debian, RHEL, Fedora, SUSE, Ubuntu α
αααααΆαα’αααααααΆαααααΆααααααΆαααααααααα αΆααα αααα αα 38% ααα’ααααααααααΆααααα αΆααΎαα αα αα ααΎαααααΆαααΊααΆαααααααα αα½αααΆααααααΆαααα DNS ααααα·ααααΌα ααΆ OpenDNS αα·α Quad9 (9.9.9.9) α αααααΆαααααααα·ααΈαααΆαααΈααα ααΆαααΆααααα αΆαα’αΆα ααααΌαααΆαα’αα»αααααααααααΎαααα ααααΌα ααΆ BIND, Unbound αα·α dnsmasq αα ααΎαααΆαααΈαααααΈαα»α α αααα αΆαα·αααα α‘αΎααα ααΎαααΆαααΈααα DNS αααααααΎαααΆαααΎαααααααα Windows αα·α BSD ααα ααΎααααΈα’αα»ααααααΆαααΆααααα αΆαααααααααα α αΆαααΆα αααααΌαααααΎ IP spoofing αααααΊα§α ααΆααααΌαααΆαααΆαααΆαααΆ ISP ααααα’αααααΆααααα αΆααα·αααΆααΆαααααα ααααααααΆααααααΆαα’αΆααααααΆα IP ααααααααααααααΆααααααα
ααΆααΆαααααΉα ααΆαααΆααααα αΆα SAD DNS ααααααΆαααΆαααΆααααααΆααααααααα αααΆαααΈααα DNS ααΎααααΈαααααααΆαααα·ααΈααΆααααααααα»αααααΆαααααααΆαα DNS αα»ααΆααααααΆαααααΎα‘αΎααααα»αααααΆα 2008 ααα Dan Kaminsky α αα·ααΈααΆααααααααα Kaminsky αααα αααα αααΌα ααααΆαααααααααΆαααααα½α DNS αααααΆαααααΉααα 16 αααΈαααα»αααααα ααΎααααΈααααΎαααΎαα’ααααααααΆαααααα·ααααα·ααΆα DNS ααααΉαααααΌααααα αΆαααΆα ααααααΆααααΆαααααααααααααααααααΆαααΈα ααΆαααααααααΆαααααα»αααΆαααααΎααααΎαααα αα 7000 αα·ααααααααααΎααΆαααααΎααααααα αα 140 ααΆααα ααΆαβααΆαβαααα αΆαβααααΆααβα α»αβαα βααΉαβααΆαβααααΎβαααα ααβααααααΆαβαα½αβα ααα½αβααβααΆαα½αβααΉαβααΆαβα α IP ααααα·α αα·αβααΆαα½αβααΉαβα§αααααβαααααΆααβααααα·ααααα·ααΆα DNS αααααβααααΆβαα βα’αααβαααααααΆα DNSα ααΎααααΈαααααααΆααααΆααα»ααααα»αααααΆαααααααΆααααααΆαααααΎαααααααΌα ααΆαααααΎαααα’ααα αααααααΈαα½ααααΆααααααααααααααΆαααααααααααα·α ααααα½α (1.example.com, 2.example.com, 3.example.com ααα)α
ααΎααααΈααΆαααΆααααααΆααααΉαααααααααααΆαααΆααααα αΆαααα αααα»αα αα»αααα·ααααΆαααΈααα DNS ααΆαα’αα»ααααααΆαα ααα αΆαα αααααααα ααα½αα ααααααααΆαααααααααααααΎαααααααααΆαααααΌαααΆαααααΎ αααααααααααααααααΆααααα ααααα·ααααααααααΆααααααΆααααααα’ααααααααΆαα αααααΆααααΈα’αα»ααααααΆαααΆαααΆααααααΆααααΆαααααΎααΆαααααΎαααααααα·α ααααααααΈααΎααΆαααααΎαααΎαα§ααααααααααα’ααααααααΆα 16 αααΈα ααΆα αΆαααΆα αααααΌαααααΎαααΎαα ααααα½ααααα»αα ααααα αααα ααα½α 64 ααΆαα ααααααααΎαα ααα½ααααααΎααααααΆααααΆαααααΎαααΎαααα 2^32 α
αα·ααΈααΆααααα SAD DNS α’αα»ααααΆαα±ααα’αααααααα½αααΆαααααααααα ααααααααΆα αα·αααΆαααααααααΆαααΆααααα αΆααα ααΆαα·ααΈααΆααααα Kaminsky αα»ααΆαα α’αααααΆααααα αΆαα’αΆα ααααΎαααΆαα αΌααα ααΆααα ααα UDP ααααα·αααΆαααααΎ αα·αααααααααααΆαααα’αααααααααααααΈααααααΆαααα ααααΆαα’αααΈαααααααΆαααα ααααααααΆα αα αααααααΎαααΆααααα ααααααααΆαααααΎααα ICMP α αα·ααΈααΆαααααα’αα»ααααΆαα±ααααΎαααΆαααααααα ααα½ααααααΎααααααααααα 4 ααααΆααααααα·α ααα - 2^16+2^16 αααα½αα±αα 2^32 (131_072 αααα½αα±αα 4_294_967_296) α ααΆαααα ααααΆαααααααΆααααα’αα»ααααΆαα±ααα’αααααααααααΆααα ααααΌαα ααα UDP αααααααΊαααααΆαααααΈααα α»ααα αααα»αααΌααααααΆααααααΎαααΆααααα ααααααααΆα ICMP ααΆαα½αααΉαααααΎααααα (ICMP Fragmentation Needed flag) α¬ααΆααααααΌααααα (ααα ICMP ααααΌααα·α) α ααΆαααααΎαααα ααααααααΆαααααααααααΆααααααΌαααααΆαααΆαααααααΆαααααααΆαααα αααα»αααααααααΆα αααααααΎα±ααααΆα’αΆα ααααΎαα ααΆαααΎααααΈααααααααααα’ααααΎααΆαααααΎααααααααααΆαααΈααα αααα ααα UDP ααααα αα·ααα½αααΆαα·ααααα
ααααΆααΈαααΌααααΆαααΆααααα αΆαα αα
ααααααα’ααααααααααΆα DNS ααααΆααΆααααααααΆααααααααα ααΆααααΎαααα½α UDP αα
αααΆαααΈααα DNS ααααααααΎαααα αααααααααα’ααααααααααΆααααα»ααααα
αΆαααΆαααααΎααα α’αααααΆααααα αΆαα’αΆα
αααααααΆααααΆαααΏαααΌααααα
αααααααααααααααΌαααΆαααααΎααΎααααΈααααΎααααΎ αα·αααααΎααΆαααααΎααααααααααααΆααα
ααΆ ααααααααααααααααΆαααΈααα DNS ααααααααΎααααααααααΎααΆαααααααααααα’αΆααααααΆα IP α α’ααααααααααΆα DNS ααΉααααααΆαα»ααα·αααααααααααΆαααααΎαααα»αααΆαααααΎααααααααααααΆα α αΎααααααΆαααααααααααΉααααα‘ααα’αΆααααααΆα IP ααααααα½ααααα’αααααΆααααα αΆααααααΆααααααΎ DNS ααααααααααΆααα’αααααααΆααααααααααα
ααααα: opennet.ru