He roopu kairangahau mai i te Whare Wananga o Tel Aviv me te Interdisciplinary Center i Herzliya (Israel) tikanga whakaeke hou (), ka taea e koe te whakamahi i nga kaiwhakatau DNS hei whakakaha i nga waka, e whakarato ana i te reeti whakanui ake ki te 1621 nga wa mo te maha o nga paatete (mo ia tono ka tukuna ki te kaiwhakatau, ka taea e koe te whakatutuki i nga tono 1621 ka tukuna ki te tūmau o te patunga) tae atu ki te 163 nga wa e pa ana ki nga waka.
Ko te raruraru e pa ana ki nga ahuatanga o te kawa me te pa ki nga tūmau DNS katoa e tautoko ana i te tukatuka patai recursive, tae atu ki (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), me nga ratonga DNS a Google, Cloudflare, Amazon, Quad9, ICANN me etahi atu kamupene. I rurukuhia te whakatika me nga kaiwhakawhanake DNS, nana i tuku nga whakahoutanga ki te whakatika i te whakaraeraetanga o a raatau hua. Ko te whakamarumaru whakaeke i whakatinanahia i roto i nga tukunga
, , , .
Ko te whakaekenga i runga i te kaikorero ma te whakamahi i nga tono e pa ana ki te maha o nga rekoata NS tito kore i kitea i mua, ka tukuna te whakatau ingoa, engari me te kore e tohu i nga rekoata kapia me nga korero mo nga wahitau IP o nga tūmau NS i roto i te whakautu. Hei tauira, ka tukuna he patai e te kaitukino ki te whakatau i te ingoa sd1.attacker.com ma te whakahaere i te tūmau DNS te kawenga mo te rohe attacker.com. Hei whakautu ki te tono a te kaiwhakatau ki te tūmau DNS a te kaipatu, ka tukuna he whakautu e tuku ana i te whakatau o te sd1.attacker.com wāhitau ki te tūmau DNS o te patunga ma te tohu i nga rekoata NS i roto i te whakautu me te kore e whakaatu i nga tohu IP NS. I te mea kaore ano kia tutakina te tūmau NS kua whakahuahia i mua atu, kaore ano i tohua tana wahitau IP, ka ngana te kaiwhakatau ki te whakatau i te wahitau IP o te tūmau NS ma te tuku patai ki te tūmau DNS o te tangata kua pa ki a ia e mahi ana i te rohe whaainga (victim.com).
Ko te raruraru ka taea e te kaitawhai te whakautu me te rarangi nui o nga kaitoro NS kore-tuurua me nga ingoa subdomain pärurenga tito kore (fake-1.victim.com, fake-2.victim.com,... fake-1000. patunga.com). Ka ngana te kaiwhakatau ki te tuku tono ki te tūmau DNS o te patunga, engari ka tae mai he whakautu kaore i kitea te rohe, ka mutu ka ngana ki te whakatau i te tūmau NS e whai ake nei i roto i te rarangi, me era atu tae noa ki te whakamatau i nga mea katoa. Ko nga rekoata NS kua whakarārangihia e te kaiwhaiwhai. No reira, mo te tono a te kaitukino, ka tukuna e te kaikorero he maha nga tono hei whakatau i nga kaihautu NS. I te mea ko nga ingoa tūmau NS he mea hanga matapōkeretia me te tohu ki nga subdomains kore-kore, kaore i te tikina mai i te keteroki me ia tono mai i te kaitukino ka puta nga tono ki te tūmau DNS e mahi ana i te rohe o te patunga.
I rangahauhia e nga Kairangahau te tohu whakaraeraetanga o nga kaiwhakatikatika DNS a te iwi whanui ki te raru me te whakatau ka tukuna nga patai ki te kaiwhakatau CloudFlare (1.1.1.1), ka taea te whakanui ake i te maha o nga paatete (PAF, Packet Amplification Factor) ma te 48 wa, Google (8.8.8.8) - 30 wa, FreeDNS (37.235.1.174) - 50 wa, OpenDNS (208.67.222.222) - 32 wa. Ka kitea etahi atu tohu tohu mo
Taumata3 (209.244.0.3) - 273 nga wa, Quad9 (9.9.9.9) - 415 nga wa
SafeDNS (195.46.39.39) - 274 wa, Verisign (64.6.64.6) - 202 wa,
Ultra (156.154.71.1) - 405 wa, Comodo Secure (8.26.56.26) - 435 wa, DNS.Watch (84.200.69.80) - 486 wa, me Norton ConnectSafe (199.85.126.10) - 569 wa. Mo nga kaitoro e pa ana ki te BIND 9.12.3, na te whakarara o nga tono, ka eke te taumata whiwhi ki te 1000. I roto i te Knot Resolver 5.1.0, ko te taumata whiwhi he tata ki nga tekau nga wa (24-48), mai i te whakatau o te Ko nga ingoa NS ka mahia a-raupapa ka noho ki runga i te tepe o roto i runga i te maha o nga waahanga whakatau ingoa e whakaaetia ana mo te tono kotahi.
E rua nga rautaki tiaki matua. Mo nga punaha me DNSSEC whakamahi hei aukati i te keteroki DNS na te mea ka tukuna nga tono me nga ingoa matapōkere. Ko te ngako o te tikanga ko te whakaputa i nga urupare kino me te kore e pa atu ki nga kaiwhakarato DNS mana, ma te whakamahi i te tirotiro awhe ma te DNSSEC. Ko te huarahi ngawari ake ko te whakawhāiti i te maha o nga ingoa ka taea te tautuhi i te wa e tukatuka ana i te tono kotahi, engari ka raru pea tenei tikanga ki etahi whirihoranga o naianei na te mea karekau nga rohe i tautuhia i roto i te kawa.
Source: opennet.ru