Coetus investigatorum ab Universitate Tel Aviv et Centro Interdisciplinaris in Herzliya (Israel) novum impetum modum () , permittens ut quasvis DNS resolventes ut amplificatores mercaturae utaris, amplificationis rate usque ad 1621 temporibus secundum numerum fasciculorum (pro unaquaque petitione ad resolventi missae, impetrare potes 1621 petitiones quae servo victimae mittuntur) et usque ad 163 tempora secundum negotiationis.
Problema refertur ad proprietates protocolli et afficit omnes DNS servientes qui processus interrogationis recursivae sustinent, inter quas. (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), necnon officia publica DNS Google, Cloudflare, Amazonum, Quad9, ICANN et aliis societatibus. Fixum erat cum DNS servientibus electricis ordinatum, qui eodem tempore renovationes dimisit ut vulnerabilitas in suis fructibus figere posset. Impetum praesidium implemented in solvo
, , , .
Impetum nititur impugnantis utens petitiones quae referunt ad magnum numerum monumentorum NS fictitium antea non visorum, cui nomen definitio delegatur, sed sine notatione glutinarum monumentorum cum informationibus de IP inscriptionibus NS ministrantium in responsione. Exempli gratia: percussor quaestionem mittit ad nomen sd1.attacker.com componendum moderando DNS servo responsalem ad oppugnatorem dominii. Respondens ad rogationem resolventis servo DNS oppugnatoris, responsum editur quod delegat determinationem sd1.attacker.com electronicam ad DNS servientis victimae indicando NS monumenta in responsione sine identitate IP NS ministrantium. Cum praedictus NS server antea non offendit et eius IP oratio non specificata est, resolutor conatus est statuere IP oratio de servo NS, mittendo quaesitum ad DNS servientis victimae scopo servientis (victim.com).
Problema est quod percussor respondere potest cum ingenti indice ministrorum NS non-repetentium cum ficticiis nominibus victimae subdomainae non existentibus (fake-1.victim.com, fictus-2.victim.com,.... fake-1000. victim.com). Resolvetor rogationem mittere conabitur servo DNS victimae, sed responsionem accipiet dominium non inventum esse, postquam id conabitur statuere proximum NS in indicem servo, et sic deinceps donec omnia temptaverit. NS monumenta ab oppugnatore recensita. Ideo, rogante oppugnatore, resolvor ingentem numerum petitionum mittet ut NS Exercituum determinetur. Cum nomina servientium NS passim generantur et ad subdomains non existentes referuntur, e cella non recepta sunt et quaelibet petitio ab oppugnatore proventuum tumultuatur petitionum DNS servientis dominii victimae.
Investigatores studuerunt gradum vulnerabilitatis publicae DNS resolventes ad problema et decreverunt ut cum interrogationes ad CloudFlare resolventis mittens (1.1.1.1), numerum fasciculorum augere posse (PAF, Packet amplificatio Factor) temporibus XLVIII, Google (48) - 8.8.8.8 times, FreeDNS (30) - 37.235.1.174 times, OpenDNS (50) - 208.67.222.222 times. Indicatores notabiles observantur
Level3 (209.244.0.3) - 273 times, Quad9 (9.9.9.9) - 415 times
SafeDNS (195.46.39.39)- 274 times, Verisign (64.6.64.6)— 202 tempore;
Ultra (156.154.71.1) - 405 times, Comodo Secure (8.26.56.26) - 435 times, DNS.Watch (84.200.69.80) - 486 times, and Norton ConnectSafe (199.85.126.10) - 569 times. Pro servientibus sub ligatis 9.12.3, ob parallelizationem petitionum, lucrum gradu usque ad 1000 pertingere potest. In Nodo Resolver 5.1.0, lucri campus circiter aliquotiens decies (24-48), ex quo determinatio. NS nomina continue profertur et nititur in termino interno in numero nominum solutionis gradus unius petitionis permissus.
Duae sunt rationes defensionis principales. Ad systemata cum DNSSEC ut ne DNS cache bypass quia petitiones passim nomina mittuntur. Essentia methodi est responsiones negativas generare sine servientibus DNS auctoritativas contingentes, utendo range reprimendo per DNSSEC. Simplicior accessio est circumscribere numerum nominum quae definiri possunt cum unica petitione delegata dispensando, sed haec methodus potest causare problemata cum quibusdam conformationibus existentibus quia termini in protocollo non definiuntur.
Source: opennet.ru