Komek lêkolîner ji Zanîngeha Tel Aviv û Navenda Navdîsîplîn li Herzliya (Îsraîl)
Pirsgirêk bi taybetmendiyên protokolê ve girêdayî ye û bandorê li ser hemî pêşkêşkerên DNS-ê yên ku piştgirî didin pêvajoya lêpirsînê ya paşverû, di nav de
Êrîş li ser bingehê êrîşker bi karanîna daxwazên ku behsa hejmareke mezin ji tomarên NS yên xeyalî yên ku berê nehatine dîtin, ku destnîşankirina navan jê re tê veguheztin, pêk tê, lê bêyî ku di bersivê de tomarên zeliqandî bi agahdariya li ser navnîşanên IP-ya serverên NS-ê di bersivê de diyar bike. Mînakî, êrîşkar pirsek dişîne da ku navê sd1.attacker.com çareser bike bi kontrolkirina servera DNS ya ku berpirsiyarê domaina sulmer.com e. Di bersivê de li ser daxwaza çareserker ji servera DNS ya êrîşkar re, bersivek tê derxistin ku destnîşankirina navnîşana sd1.attacker.com ji servera DNS ya mexdûr re bi nîşankirina tomarên NS-ê di bersivê de bêyî hûrgulkirina serverên IP-NS-ê vedihewîne. Ji ber ku servera NS ya navborî berê nehatiye dîtin û navnîşana IP-ya wê nehatiye diyar kirin, çareserker hewl dide ku navnîşana IP-ya servera NS-ê destnîşan bike bi şandina pirsekê ji servera DNS ya mexdûr re ku ji qada armancê re xizmet dike (victim.com).
Pirsgirêk ev e ku êrîşkar dikare bi navnîşek mezin a pêşkêşkerên NS-yê yên ku nayên dûbarekirin bi navên jêrdomîna qurbaniyên xeyalî yên neheyî bersiv bide (fake-1.victim.com, fake-2.victim.com,... fake-1000. qurban.com). Çareser dê hewl bide ku daxwazek ji servera DNS ya mexdûr re bişîne, lê dê bersivek werbigire ku domain nehate dîtin, piştî wê ew ê hewl bide ku servera NS-ya din a di navnîşê de diyar bike, û hwd. NS qeydên ku ji hêla êrîşkar ve hatî navnîş kirin. Li gorî vê yekê, ji bo daxwazek yek êrîşkar, çareserker dê hejmareke mezin ji daxwazan bişîne da ku mêvandarên NS-ê diyar bike. Ji ber ku navên pêşkêşkerên NS-ê bi rengek bêserûber têne çêkirin û vedigerin jêrdomayên ku tune ne, ew ji cache nayên girtin û her daxwazek ji êrîşkar dibe sedema pirbûna daxwazan ji servera DNS re ku ji domaina qurbanê re xizmet dike.
Lekolînwanan asta xirapbûna çareserkerên DNS yên giştî li ser pirsgirêkê lêkolîn kirin û diyar kirin ku dema ku pirsan ji çareserkerê CloudFlare (1.1.1.1) re dişînin, mimkun e ku hejmara pakêtan (PAF, Faktora Amplification Packet) 48 carî zêde bikin, Google. (8.8.8.8) - 30 car, FreeDNS (37.235.1.174) - 50 car, OpenDNS (208.67.222.222) - 32 car. Nîşaneyên bêtir berbiçav ji bo têne dîtin
Asta 3 (209.244.0.3) - 273 car, Quad9 (9.9.9.9) - 415 car
SafeDNS (195.46.39.39) - 274 car, Verisign (64.6.64.6) - 202 car,
Ultra (156.154.71.1) - 405 car, Comodo Secure (8.26.56.26) - 435 car, DNS.Watch (84.200.69.80) - 486 car, û Norton ConnectSafe (199.85.126.10 car) Ji bo pêşkêşkerên li ser bingeha BIND 569, ji ber paralelkirina daxwazan, asta qezencê dikare bigihîje 9.12.3. Di Knot Resolver 1000 de, asta qezencê bi qasî dehan carî (5.1.0-24) ye, ji ber ku destnîşankirina Navên NS-ê bi rêzî têne çêkirin û li ser sînorê hundurîn li ser hejmara gavên çareserkirina navan ên ku ji bo yek daxwazê têne destûr kirin, radiweste.
Du stratejiyên parastinê yên sereke hene. Ji bo pergalên bi DNSSEC
Source: opennet.ru