Vondrona mpikaroka avy ao amin'ny Oniversiten'i Tel Aviv sy ny Foibe Interdisciplinary ao Herzliya (Israel) fomba fanafihana vaovao (), mamela anao hampiasa ny DNS solvers ho fanamafisan'ny fifamoivoizana, manome taham-panamafisana hatramin'ny in-1621 amin'ny lafin'ny isan'ny fonosana (ho an'ny fangatahana tsirairay alefa any amin'ny solver dia afaka mahazo fangatahana 1621 alefa any amin'ny mpizara ilay niharam-boina ianao) ary hatramin'ny in-163 amin'ny resaka fifamoivoizana.
Ny olana dia mifandraika amin'ny mampiavaka ny protocol ary misy fiantraikany amin'ny mpizara DNS rehetra izay manohana ny fanodinana fanontaniana miverimberina, ao anatin'izany (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) ΠΈ (CVE-2020-12662), ary koa ny serivisy DNS ampahibemaso an'ny Google, Cloudflare, Amazon, Quad9, ICANN ary orinasa hafa. Ny fanamboarana dia nifandrindra tamin'ireo mpamorona mpizara DNS, izay namoaka fanavaozam-baovao niaraka tamin'ny fanamboarana ny vulnerable amin'ny vokatra. Fiarovana fanafihana nampiharina tamin'ny famoahana
, , , .
Ny fanafihana dia mifototra amin'ny mpanafika amin'ny fampiasana fangatahana izay manondro ireo firaketana NS foronina maro tsy hita teo aloha, izay nomena ny famaritana anarana, saingy tsy misy firaketana an-tsoratra miaraka amin'ny fampahalalana momba ny adiresy IP an'ny mpizara NS ao amin'ny valiny. Ohatra, misy mpanafika mandefa fanontaniana hamahana ny anarana sd1.attacker.com amin'ny alΓ lan'ny fifehezana ny mpizara DNS tompon'andraikitra amin'ny sehatra attacker.com. Ho setrin'ny fangatahan'ny solver amin'ny mpizara DNS an'ny mpanafika, dia misy valinteny mivoaka izay manolotra ny famaritana ny adiresy sd1.attacker.com amin'ny mpizara DNS an'ilay niharam-boina amin'ny fanondroana ny firaketana NS ao amin'ny valinteny tsy misy antsipiriany momba ny mpizara IP NS. Koa satria tsy mbola nihaona teo aloha ilay mpizara NS voalaza ary tsy voafaritra ny adiresy IP-ny, dia manandrana mamaritra ny adiresy IP an'ny mpizara NS amin'ny alΓ lan'ny fandefasana fanontaniana any amin'ny mpizara DNS an'ilay niharam-boina ny mpanapa-kevitra (victim.com).
Ny olana dia ny mpanafika dia afaka mamaly amin'ny lisitry ny mpizara NS tsy miverimberina miaraka amin'ny anaran'ny zana-tohatra fikomiana sandoka tsy misy (fake-1.victim.com, fake-2.victim.com,... fake-1000. victime.com). Hiezaka ny handefa fangatahana amin'ny mpizara DNS an'ilay niharam-boina ilay solver, saingy hahazo valiny fa tsy hita ilay sehatra, ary avy eo dia hiezaka hamantatra ny mpizara NS manaraka ao anaty lisitra izy, ary toy izany hatrany mandra-panandramany ny rehetra. Firaketana NS voatanisa avy amin'ny mpanafika. Noho izany, ho an'ny fangatahan'ny mpanafika iray, handefa fangatahana maro be ny mpamadika mba hamaritana ireo mpampiantrano NS. Satria ny anaran'ny mpizara NS dia noforonina kisendrasendra ary manondro ireo zana-tohatra tsy misy, dia tsy alaina ao amin'ny cache izy ireo ary ny fangatahana tsirairay avy amin'ny mpanafika dia miteraka fangatahana amin'ny mpizara DNS manompo ny sahan'ilay niharam-boina.
Ny mpikaroka dia nandinika ny haavon'ny vulnerability ny DNS-bahoaka hamaha olana ary nanapa-kevitra fa rehefa mandefa fanontaniana any amin'ny CloudFlare solver (1.1.1.1), dia azo atao ny mampitombo ny isan'ny fonosana (PAF, Packet Amplification Factor) in-48, Google (8.8.8.8) - in-30, FreeDNS (37.235.1.174) - in-50, OpenDNS (208.67.222.222) - in-32. Misy tondro miharihary kokoa ho an'ny
Level3 (209.244.0.3) - in-273, Quad9 (9.9.9.9) - in-415
SafeDNS (195.46.39.39) - in-274, Verisign (64.6.64.6) - in-202,
Ultra (156.154.71.1) - in-405, Comodo Secure (8.26.56.26) - in-435, DNS.Watch (84.200.69.80) - in-486, ary Norton ConnectSafe (199.85.126.10) - in-569. Ho an'ny mpizara mifototra amin'ny BIND 9.12.3, noho ny fampitoviana ny fangatahana dia mety hahatratra hatramin'ny 1000 ny haavon'ny tombony. Ao amin'ny Knot Resolver 5.1.0, ny haavon'ny tombony dia im-polo eo ho eo (24-48), hatramin'ny famaritana ny Ny anarana NS dia atao misesy ary miankina amin'ny fetra anatiny amin'ny isan'ny dingana famahana anarana azo atao amin'ny fangatahana iray.
Misy paikady fiarovana roa lehibe. Ho an'ny rafitra misy DNSSEC mampiasa mba hisorohana ny DNS cache bypass satria ny fangatahana dia alefa amin'ny anarana kisendrasendra. Ny fototry ny fomba dia ny mamorona valiny ratsy tsy misy fifandraisana amin'ireo mpizara DNS manam-pahefana, amin'ny fampiasana ny fanaraha-maso amin'ny alΓ lan'ny DNSSEC. Ny fomba tsotra kokoa dia ny famerana ny isan'ny anarana azo faritana amin'ny fikarakarana fangatahana atolotra tokana, saingy io fomba io dia mety hiteraka olana amin'ny fanamboarana sasany efa misy satria tsy voafaritra ao amin'ny protocol ny fetra.
Source: opennet.ru