Komek lêkolîner ji Zanîngeha Tel Aviv û Navenda Navdîsîplîn li Herzliya (Îsraîl) rêbaza êrîşa nû (), dihêle hûn her çareserkerên DNS-ê wekî amplifikatorên seyrûseferê bikar bînin, di warê hejmara pakêtan de 1621 carî rêjeyek mezinbûnê peyda dike (ji bo her daxwazek ku ji çareserker re hatî şandin, hûn dikarin bigihîjin 1621 daxwazên ku ji servera mexdûr re têne şandin) û heta 163 caran di warê trafîkê de.
Pirsgirêk bi taybetmendiyên protokolê ve girêdayî ye û bandorê li ser hemî pêşkêşkerên DNS-ê yên ku piştgirî didin pêvajoya lêpirsînê ya paşverû, di nav de (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), û her weha karûbarên DNS yên giştî yên Google, Cloudflare, Amazon, Quad9, ICANN û pargîdaniyên din. Serastkirin bi pêşdebirên servera DNS re hate hevrêz kirin, yên ku di heman demê de nûvekirin berdan da ku qelsiya hilberên xwe rast bikin. Parastina êrîşê di belavokan de pêk tê
, , , .
Êrîş li ser bingehê êrîşker bi karanîna daxwazên ku behsa hejmareke mezin ji tomarên NS yên xeyalî yên ku berê nehatine dîtin, ku destnîşankirina navan jê re tê veguheztin, pêk tê, lê bêyî ku di bersivê de tomarên zeliqandî bi agahdariya li ser navnîşanên IP-ya serverên NS-ê di bersivê de diyar bike. Mînakî, êrîşkar pirsek dişîne da ku navê sd1.attacker.com çareser bike bi kontrolkirina servera DNS ya ku berpirsiyarê domaina sulmer.com e. Di bersivê de li ser daxwaza çareserker ji servera DNS ya êrîşkar re, bersivek tê derxistin ku destnîşankirina navnîşana sd1.attacker.com ji servera DNS ya mexdûr re bi nîşankirina tomarên NS-ê di bersivê de bêyî hûrgulkirina serverên IP-NS-ê vedihewîne. Ji ber ku servera NS ya navborî berê nehatiye dîtin û navnîşana IP-ya wê nehatiye diyar kirin, çareserker hewl dide ku navnîşana IP-ya servera NS-ê destnîşan bike bi şandina pirsekê ji servera DNS ya mexdûr re ku ji qada armancê re xizmet dike (victim.com).
Pirsgirêk ev e ku êrîşkar dikare bi navnîşek mezin a pêşkêşkerên NS-yê yên ku nayên dûbarekirin bi navên jêrdomîna qurbaniyên xeyalî yên neheyî bersiv bide (fake-1.victim.com, fake-2.victim.com,... fake-1000. qurban.com). Çareser dê hewl bide ku daxwazek ji servera DNS ya mexdûr re bişîne, lê dê bersivek werbigire ku domain nehate dîtin, piştî wê ew ê hewl bide ku servera NS-ya din a di navnîşê de diyar bike, û hwd. NS qeydên ku ji hêla êrîşkar ve hatî navnîş kirin. Li gorî vê yekê, ji bo daxwazek yek êrîşkar, çareserker dê hejmareke mezin ji daxwazan bişîne da ku mêvandarên NS-ê diyar bike. Ji ber ku navên pêşkêşkerên NS-ê bi rengek bêserûber têne çêkirin û vedigerin jêrdomayên ku tune ne, ew ji cache nayên girtin û her daxwazek ji êrîşkar dibe sedema pirbûna daxwazan ji servera DNS re ku ji domaina qurbanê re xizmet dike.
Lekolînwanan asta xirapbûna çareserkerên DNS yên giştî li ser pirsgirêkê lêkolîn kirin û diyar kirin ku dema ku pirsan ji çareserkerê CloudFlare (1.1.1.1) re dişînin, mimkun e ku hejmara pakêtan (PAF, Faktora Amplification Packet) 48 carî zêde bikin, Google. (8.8.8.8) - 30 car, FreeDNS (37.235.1.174) - 50 car, OpenDNS (208.67.222.222) - 32 car. Nîşaneyên bêtir berbiçav ji bo têne dîtin
Asta 3 (209.244.0.3) - 273 car, Quad9 (9.9.9.9) - 415 car
SafeDNS (195.46.39.39) - 274 car, Verisign (64.6.64.6) - 202 car,
Ultra (156.154.71.1) - 405 car, Comodo Secure (8.26.56.26) - 435 car, DNS.Watch (84.200.69.80) - 486 car, û Norton ConnectSafe (199.85.126.10 car) Ji bo pêşkêşkerên li ser bingeha BIND 569, ji ber paralelkirina daxwazan, asta qezencê dikare bigihîje 9.12.3. Di Knot Resolver 1000 de, asta qezencê bi qasî dehan carî (5.1.0-24) ye, ji ber ku destnîşankirina Navên NS-ê bi rêzî têne çêkirin û li ser sînorê hundurîn li ser hejmara gavên çareserkirina navan ên ku ji bo yek daxwazê têne destûr kirin, radiweste.
Du stratejiyên parastinê yên sereke hene. Ji bo pergalên bi DNSSEC bikar bînin ji bo pêşîgirtina li paşguhkirina cache ya DNS ji ber ku daxwaz bi navên rasthatî têne şandin. Esasê rêbazê ev e ku meriv bersivên neyînî biafirîne bêyî ku bi serverên DNS-ê yên rayedar re têkilî daynin, bi karanîna kontrolkirina rêzê bi riya DNSSEC. Nêzîkatiyek hêsantir ev e ku meriv hejmara navên ku dema ku daxwazek yek delegeyî tête diyar kirin sînordar bike, lê dibe ku ev rêbaz bi hin veavakirinên heyî re bibe sedema pirsgirêkan ji ber ku sînor di protokolê de ne diyar in.
Source: opennet.ru