Vondrona mpikaroka avy ao amin'ny Oniversiten'i Tel Aviv sy ny Foibe Interdisciplinary ao Herzliya (Israel)
Ny olana dia mifandraika amin'ny mampiavaka ny protocol ary misy fiantraikany amin'ny mpizara DNS rehetra izay manohana ny fanodinana fanontaniana miverimberina, ao anatin'izany
Ny fanafihana dia mifototra amin'ny mpanafika amin'ny fampiasana fangatahana izay manondro ireo firaketana NS foronina maro tsy hita teo aloha, izay nomena ny famaritana anarana, saingy tsy misy firaketana an-tsoratra miaraka amin'ny fampahalalana momba ny adiresy IP an'ny mpizara NS ao amin'ny valiny. Ohatra, misy mpanafika mandefa fanontaniana hamahana ny anarana sd1.attacker.com amin'ny alΓ lan'ny fifehezana ny mpizara DNS tompon'andraikitra amin'ny sehatra attacker.com. Ho setrin'ny fangatahan'ny solver amin'ny mpizara DNS an'ny mpanafika, dia misy valinteny mivoaka izay manolotra ny famaritana ny adiresy sd1.attacker.com amin'ny mpizara DNS an'ilay niharam-boina amin'ny fanondroana ny firaketana NS ao amin'ny valinteny tsy misy antsipiriany momba ny mpizara IP NS. Koa satria tsy mbola nihaona teo aloha ilay mpizara NS voalaza ary tsy voafaritra ny adiresy IP-ny, dia manandrana mamaritra ny adiresy IP an'ny mpizara NS amin'ny alΓ lan'ny fandefasana fanontaniana any amin'ny mpizara DNS an'ilay niharam-boina ny mpanapa-kevitra (victim.com).
Ny olana dia ny mpanafika dia afaka mamaly amin'ny lisitry ny mpizara NS tsy miverimberina miaraka amin'ny anaran'ny zana-tohatra fikomiana sandoka tsy misy (fake-1.victim.com, fake-2.victim.com,... fake-1000. victime.com). Hiezaka ny handefa fangatahana amin'ny mpizara DNS an'ilay niharam-boina ilay solver, saingy hahazo valiny fa tsy hita ilay sehatra, ary avy eo dia hiezaka hamantatra ny mpizara NS manaraka ao anaty lisitra izy, ary toy izany hatrany mandra-panandramany ny rehetra. Firaketana NS voatanisa avy amin'ny mpanafika. Noho izany, ho an'ny fangatahan'ny mpanafika iray, handefa fangatahana maro be ny mpamadika mba hamaritana ireo mpampiantrano NS. Satria ny anaran'ny mpizara NS dia noforonina kisendrasendra ary manondro ireo zana-tohatra tsy misy, dia tsy alaina ao amin'ny cache izy ireo ary ny fangatahana tsirairay avy amin'ny mpanafika dia miteraka fangatahana amin'ny mpizara DNS manompo ny sahan'ilay niharam-boina.
Ny mpikaroka dia nandinika ny haavon'ny vulnerability ny DNS-bahoaka hamaha olana ary nanapa-kevitra fa rehefa mandefa fanontaniana any amin'ny CloudFlare solver (1.1.1.1), dia azo atao ny mampitombo ny isan'ny fonosana (PAF, Packet Amplification Factor) in-48, Google (8.8.8.8) - in-30, FreeDNS (37.235.1.174) - in-50, OpenDNS (208.67.222.222) - in-32. Misy tondro miharihary kokoa ho an'ny
Level3 (209.244.0.3) - in-273, Quad9 (9.9.9.9) - in-415
SafeDNS (195.46.39.39) - in-274, Verisign (64.6.64.6) - in-202,
Ultra (156.154.71.1) - in-405, Comodo Secure (8.26.56.26) - in-435, DNS.Watch (84.200.69.80) - in-486, ary Norton ConnectSafe (199.85.126.10) - in-569. Ho an'ny mpizara mifototra amin'ny BIND 9.12.3, noho ny fampitoviana ny fangatahana dia mety hahatratra hatramin'ny 1000 ny haavon'ny tombony. Ao amin'ny Knot Resolver 5.1.0, ny haavon'ny tombony dia im-polo eo ho eo (24-48), hatramin'ny famaritana ny Ny anarana NS dia atao misesy ary miankina amin'ny fetra anatiny amin'ny isan'ny dingana famahana anarana azo atao amin'ny fangatahana iray.
Misy paikady fiarovana roa lehibe. Ho an'ny rafitra misy DNSSEC
Source: opennet.ru