Eng Grupp vu Fuerscher vun der Tel Aviv Universitéit an dem Interdisziplinärem Zentrum zu Herzliya (Israel) nei Attack Method (), wat Iech erlaabt all DNS Resolver als Traffic Verstärker ze benotzen, eng Verstäerkungsquote vu bis zu 1621 Mol ubitt wat d'Zuel vun de Pakete ugeet (fir all Ufro un de Resolver geschéckt, kënnt Dir erreechen 1621 Ufroe ginn op de Server vum Affer geschéckt) a bis zu 163 mol wat de Verkéier ugeet.
De Problem ass mat de Besonderheete vum Protokoll verbonnen an beaflosst all DNS-Server déi rekursiv Ufroveraarbechtung ënnerstëtzen, inklusiv (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), souwéi ëffentlech DNS Servicer vu Google, Cloudflare, Amazon, Quad9, ICANN an aner Firmen. De Fix gouf mat DNS Server Entwéckler koordinéiert, déi gläichzäiteg Updates verëffentlecht hunn fir d'Schwachheet an hire Produkter ze fixéieren. Attack Schutz a Verëffentlechungen ëmgesat
, , , .
D'Attack baséiert op den Ugräifer mat Ufroen, déi op eng grouss Zuel vu virdru onsiichtbar fiktiven NS-Records bezéien, op déi d'Nummbestëmmung delegéiert ass, awer ouni d'Spezifizéierung vu Kleberekorder mat Informatioun iwwer d'IP Adressen vun den NS-Server an der Äntwert. Zum Beispill schéckt en Ugräifer eng Ufro fir den Numm sd1.attacker.com ze léisen andeems den DNS Server verantwortlech ass fir den attacker.com Domain ze kontrolléieren. Als Äntwert op d'Ufro vum Resolver op den DNS-Server vum Ugräifer gëtt eng Äntwert erausginn, déi d'Bestëmmung vun der sd1.attacker.com Adress un den DNS-Server vum Affer delegéiert andeems NS-Records an der Äntwert uginn ouni d'IP NS-Server ze detailléiert. Well den ernimmten NS-Server net virdru begéint gouf a seng IP Adress net spezifizéiert ass, probéiert de Resolver d'IP Adress vum NS-Server ze bestëmmen andeems hien eng Ufro un den DNS-Server vum Affer schéckt deen den Zildomän servéiert (victim.com).
De Problem ass datt den Ugräifer mat enger riseger Lëscht vun net-widderhuelende NS-Servere mat net-existent fiktiven Affer-Subdomainnimm reagéiere kann (fake-1.victim.com, fake-2.victim.com, ... fake-1000. victim.com). De Resolver probéiert eng Ufro un den DNS-Server vum Affer ze schécken, awer kritt eng Äntwert datt d'Domain net fonnt gouf, duerno probéiert et den nächsten NS-Server an der Lëscht ze bestëmmen, a sou weider bis et all d'Domain probéiert huet. NS records opgezielt vum Ugräifer. Deementspriechend, fir eng Ufro vun engem Ugräifer, schéckt de Resolver eng riesech Unzuel vun Ufroe fir NS Hosten ze bestëmmen. Zënter datt NS Server Nimm zoufälleg generéiert ginn an op net existent Subdomains bezéien, ginn se net aus dem Cache zréckgezunn an all Ufro vum Ugräifer féiert zu enger Flurry vun Ufroen un den DNS-Server, deen d'Domain vum Affer servéiert.
D'Fuerscher hunn de Grad vun der Schwachstelle vun ëffentlechen DNS-Resolvere fir de Problem studéiert a festgestallt datt wann Dir Ufroen un de CloudFlare Resolver (1.1.1.1) schéckt, et méiglech ass d'Zuel vu Paketen (PAF, Packet Amplification Factor) ëm 48 Mol ze erhéijen, Google (8.8.8.8) - 30 Mol, FreeDNS (37.235.1.174) - 50 Mol, OpenDNS (208.67.222.222) - 32 Mol. Méi bemierkenswäert Indikatoren ginn observéiert fir
Level3 (209.244.0.3) - 273 Mol, Quad9 (9.9.9.9) - 415 Mol
SafeDNS (195.46.39.39) - 274 Mol, Verisign (64.6.64.6) - 202 Mol,
Ultra (156.154.71.1) - 405 Mol, Comodo Secure (8.26.56.26) - 435 Mol, DNS.Watch (84.200.69.80) - 486 Mol, an Norton ConnectSafe (199.85.126.10) - 569 Mol. Fir Server baséiert op BIND 9.12.3, wéinst Paralleliséierung vun Ufroen, kann de Gewënnniveau bis zu 1000 erreechen. Am Knot Resolver 5.1.0 ass de Gewënnniveau ongeféier e puer Zéngmol (24-48), zënter der Bestëmmung vun NS Nimm ginn sequenziell duerchgefouert a baséiert op der interner Limit op d'Zuel vun den Nummresolutiounsschrëtt erlaabt fir eng Ufro.
Et ginn zwou Haaptverteidegungsstrategien. Fir Systemer mat DNSSEC benotzen DNS Cache Contournement ze verhënneren, well Ufroe mat zoufälleg Nimm geschéckt ginn. D'Essenz vun der Method ass negativ Äntwerten ze generéieren ouni autoritär DNS-Server ze kontaktéieren, mat Rangekontroll iwwer DNSSEC. Eng méi einfach Approche ass d'Zuel vun den Nimm ze limitéieren déi definéiert kënne ginn wann Dir eng eenzeg delegéiert Ufro veraarbecht, awer dës Method kann Problemer mat e puer existente Konfiguratiounen verursaachen well d'Limiten net am Protokoll definéiert sinn.
Source: opennet.ru