Ko te roopu o nga kairangahau mai i te Whare Wananga o California, Riverside kua whakaputahia he momo hou o te whakaeke SAD DNS (CVE-2021-20322) e mahi ana ahakoa nga whakamarumaru kua taapirihia i tera tau ki te aukati i te whakaraeraetanga CVE-2020-25705. Ko te tikanga hou he rite tonu ki te whakaraeraetanga o tera tau, he rereke noa i te whakamahi i tetahi momo momo paatete ICMP hei tirotiro i nga tauranga UDP hohe. Ko te whakaeke e whakaarohia ana ka taea te whakakapi i nga raraunga tito ki roto i te keteroki tūmau DNS, ka taea te whakamahi hei whakakapi i te wāhitau IP o te rohe noho noa i roto i te keteroki me te tuku i nga tono ki te rohe ki te tūmau o te kaiwhai.
Ko te tikanga e whakaarohia ana ka mahi anake i roto i te puranga whatunga Linux na tona hononga ki nga ahuatanga o te tikanga tukatuka paatete ICMP i Linux, e mahi ana hei puna mo te rerenga raraunga e whakaawari ana i te whakatau o te tau tauranga UDP e whakamahia ana e te tūmau ki te tuku tono o waho. Ko nga huringa e aukati ana i te rerenga korero i whakauruhia ki roto i te kakano Linux i te mutunga o Akuhata (i whakauruhia te whakatika ki roto i te kernel 5.15 me nga whakahoutanga o Mahuru ki nga peka LTS o te kernel). Ko te whakatikatika ka huri ki te huri ki te whakamahi i te SipHash hashing algorithm i roto i nga keteroki whatunga hei utu mo Jenkins Hash. Ko te mana o te whakatika i te whakaraerae i roto i nga tohatoha ka taea te aromatawai i enei wharangi: Debian, RHEL, Fedora, SUSE, Ubuntu.
E ai ki nga kairangahau i tautuhi i te raruraru, mo te 38% o nga kaiwhakatuwhera tuwhera i runga i te whatunga he whakaraerae, tae atu ki nga ratonga DNS rongonui penei i OpenDNS me Quad9 (9.9.9.9). Mo te rorohiko tūmau, ka taea te whakaeke ma te whakamahi i nga kohinga penei i te BIND, Unbound me te dnsmasq i runga i te tūmau Linux. Kaore te raru e puta mai i runga i nga tūmau DNS e rere ana i runga i nga punaha Windows me te BSD. Hei whakatutuki angitu i te whakaeke, he mea tika ki te whakamahi i te IP spoofing, i.e. e hiahiatia ana kia kaua te ISP o te kaipatu e aukati i nga paakete me tetahi wahitau IP puna rūpahu.
Hei whakamaumaharatanga, ka takahia e te whakaeke SAD DNS nga whakamarumaru kua taapiri atu ki nga tūmau DNS hei aukati i te tikanga paihana keteroki DNS matarohia i whakaarohia i te tau 2008 e Dan Kaminsky. Ko te tikanga a Kaminsky ka raweke i te rahi iti o te mara ID uira DNS, he 16 noa nga moka. Ki te kowhiri i te kaitautuhi tauwhitinga DNS tika e tika ana mo te whakapohehe i te ingoa o te kaihautu, he nui ki te tuku i te 7000 nga tono me te whakataurite mo te 140 mano nga whakautu tito noa. Ko te whakaekenga ka heke ki te tuku i te maha o nga paatete me te herenga IP tito me te rereke o nga tohu tauwhitinga DNS ki te kaiwhakatau DNS. Hei aukati i te keteroki o te whakautu tuatahi, kei roto i ia whakautu korero he ingoa rohe kua whakarereke paku (1.example.com, 2.example.com, 3.example.com, etc.).
Hei whakamarumaru mai i tenei momo whakaeke, ka whakatinanahia e nga kaihanga tūmau DNS he tohatoha matapōkere o te maha o nga tauranga whatunga puna ka tukuna mai nga tono whakatau, ka utua mo te iti rawa o te rahi o te tohu. I muri i te whakatinanatanga o te whakamarumaru mo te tuku urupare tito noa, i tua atu i te kowhiri i te tohu tohu 16-bit, ka tika te kowhiri i tetahi o nga tauranga 64 mano, i piki ake te maha o nga whiringa mo te kowhiri ki te 2^32.
Ko te tikanga SAD DNS ka taea e koe te whakaiti i te whakatau o te tau tauranga whatunga me te whakaheke i te whakaeke ki te tikanga Kaminsky matarohia. Ka taea e te kaiwhaiwhai te kite i te urunga ki nga tauranga UDP kaore i whakamahia me te kaha ma te whakamahi i nga korero patai mo te mahi o nga tauranga whatunga i te wa e tukatuka ana i nga putea urupare ICMP. Ko te tikanga ka taea e maatau te whakaiti i te maha o nga whiringa rapu ma te 4 ota o te rahi - 2^16+2^16 hei utu mo te 2^32 (131_072 hei utu mo te 4_294_967_296). Ko te pakaru o nga korero e taea ai e koe te whakatau tere i nga tauranga UDP hohe na te hapa o te waehere mo te tukatuka i nga paatete ICMP me nga tono wehewehenga (he haki e hiahiatia ana te wahanga ICMP) te hurihanga ranei (te haki ICMP Redirect). Ko te tuku i nga paatete penei ka whakarereke i te ahua o te keteroki i roto i te puranga whatunga, ka taea te whakatau, i runga i te whakautu a te tūmau, ko te tauranga UDP e kaha ana, ko wai kaore.
Tauari Whakaeke: Ina ngana te kaiwhakatau DNS ki te whakatau i tetahi ingoa rohe, ka tukuna he patai UDP ki te tūmau DNS e mahi ana i te rohe. I te wa e tatari ana te kaikorero mo te whakautu, ka taea e te kaiwhaiwhai te whakatau tere i te tau tauranga puna i whakamahia ki te tuku i te tono me te tuku whakautu rūpahu ki a ia, e tohu ana i te tūmau DNS e mahi ana i te rohe ma te whakamahi i te whakapohehe i te wahitau IP. Ka hunahia e te kaiwhakatau DNS nga raraunga i tukuna i roto i te whakautu rūpahu, a mo etahi wa ka whakahoki mai i te wahitau IP kua whakakapihia e te kaipatu mo etahi atu tono DNS mo te ingoa rohe.
Source: opennet.ru