Група истражувачи од Универзитетот во Тел Авив и Интердисциплинарниот центар во Херцлија (Израел) нов метод на напад (), што ви овозможува да користите какви било резолутори на DNS како засилувачи на сообраќајот, обезбедувајќи стапка на засилување до 1621 пати во однос на бројот на пакети (за секое барање испратено до резолуторот, може да постигнете 1621 барање што се испраќаат до серверот на жртвата) и до 163 пати во сообраќај.
Проблемот е поврзан со особеностите на протоколот и влијае на сите DNS сервери кои поддржуваат рекурзивна обработка на барања, вклучително и (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), како и јавните DNS услуги на Google, Cloudflare, Amazon, Quad9, ICANN и други компании. Поправката беше координирана со развивачите на DNS сервери, кои истовремено објавија ажурирања за да ја поправат ранливоста на нивните производи. Заштита од напад имплементирана во изданија
, , , .
Нападот се заснова на тоа што напаѓачот користи барања кои се однесуваат на голем број претходно невидени фиктивни NS записи, на кои се делегира одредувањето на името, но без да се специфицираат записи со лепак со информации за IP адресите на NS серверите во одговорот. На пример, напаѓачот испраќа барање за да го реши името sd1.attacker.com со контролирање на DNS-серверот одговорен за доменот attacker.com. Како одговор на барањето на решавачот до DNS серверот на напаѓачот, се издава одговор кој го делегира одредувањето на адресата sd1.attacker.com на DNS-серверот на жртвата со означување на NS записите во одговорот без детали за IP NS серверите. Бидејќи споменатиот NS сервер не бил сретнат претходно и неговата IP адреса не е наведена, решавачот се обидува да ја одреди IP адресата на NS серверот со испраќање барање до DNS серверот на жртвата што го опслужува целниот домен (victim.com).
Проблемот е што напаѓачот може да одговори со огромна листа на NS сервери кои не се повторуваат со непостоечки фиктивни имиња на поддомени на жртви (fake-1.victim.com, fake-2.victim.com,... fake-1000). жртва.com). Решавачот ќе се обиде да испрати барање до DNS серверот на жртвата, но ќе добие одговор дека доменот не е пронајден, по што ќе се обиде да го одреди следниот NS сервер во списокот и така натаму додека не ги проба сите НС записи наведени од напаѓачот. Според тоа, за барање на еден напаѓач, решавачот ќе испрати огромен број барања за одредување на NS-домаќини. Бидејќи имињата на серверите на NS се генерираат по случаен избор и се однесуваат на непостоечки поддомени, тие не се преземаат од кешот и секое барање од напаѓачот резултира со низа барања до серверот DNS што го опслужува доменот на жртвата.
Истражувачите го проучувале степенот на ранливост на јавните резолутори на DNS на проблемот и утврдиле дека при испраќање прашања до решавачот CloudFlare (1.1.1.1), можно е да се зголеми бројот на пакети (PAF, фактор за засилување на пакети) за 48 пати, Google (8.8.8.8) - 30 пати, FreeDNS (37.235.1.174) - 50 пати, OpenDNS (208.67.222.222) - 32 пати. Позабележителни показатели се забележани за
Ниво 3 (209.244.0.3) - 273 пати, Quad9 (9.9.9.9) - 415 пати
SafeDNS (195.46.39.39) - 274 пати, Verisign (64.6.64.6) - 202 пати,
Ultra (156.154.71.1) - 405 пати, Comodo Secure (8.26.56.26) - 435 пати, DNS.Watch (84.200.69.80) - 486 пати и Norton ConnectSafe (199.85.126.10 пати) За серверите базирани на BIND 569, поради паралелизација на барањата, нивото на добивка може да достигне и до 9.12.3. Во Knot Resolver 1000, нивото на добивка е приближно неколку десетици пати (5.1.0-24), бидејќи одредувањето на Имињата на NS се изведуваат последователно и се потпираат на внатрешната граница на бројот на чекори за решавање на имињата дозволени за едно барање.
Постојат две главни одбранбени стратегии. За системи со DNSSEC употреба за да се спречи бајпас на кешот на DNS бидејќи барањата се испраќаат со случајни имиња. Суштината на методот е да генерира негативни одговори без да контактирате со авторитетни DNS сервери, користејќи проверка на опсегот преку DNSSEC. Поедноставен пристап е да се ограничи бројот на имиња што може да се дефинираат при обработка на едно делегирано барање, но овој метод може да предизвика проблеми со некои постоечки конфигурации бидејќи ограничувањата не се дефинирани во протоколот.
Извор: opennet.ru