Grupp ta’ riċerkaturi mill-Università ta’ Tel Aviv u ċ-Ċentru Interdixxiplinarju f’Herzliya (Iżrael) metodu ġdid ta 'attakk (), li jippermettilek tuża kwalunkwe risolver tad-DNS bħala amplifikaturi tat-traffiku, li tipprovdi rata ta' amplifikazzjoni sa 1621 darba f'termini tan-numru ta' pakketti (għal kull talba mibgħuta lis-solvent, tista' tikseb 1621 talba li tintbagħat lis-server tal-vittma) u sa 163 darba f’termini ta’ traffiku.
Il-problema hija relatata mal-partikolaritajiet tal-protokoll u taffettwa s-servers DNS kollha li jappoġġaw l-ipproċessar tal-mistoqsijiet rikorsiv, inkluż (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), kif ukoll servizzi pubbliċi DNS ta' Google, Cloudflare, Amazon, Quad9, ICANN u kumpaniji oħra. It-tiswija kienet ikkoordinata mal-iżviluppaturi tas-server DNS, li fl-istess ħin ħarġu aġġornamenti biex jiffissaw il-vulnerabbiltà fil-prodotti tagħhom. Protezzjoni mill-attakki implimentata fir-rilaxxi
, , , .
L-attakk huwa bbażat fuq l-attakkant li juża talbiet li jirreferu għal numru kbir ta 'rekords NS fittizji li ma kinux jidhru qabel, li għalihom hija ddelegata d-determinazzjoni tal-isem, iżda mingħajr ma tispeċifika rekords tal-kolla b'informazzjoni dwar l-indirizzi IP tas-servers NS fir-rispons. Pereżempju, attakkant jibgħat mistoqsija biex isolvi l-isem sd1.attacker.com billi jikkontrolla s-server DNS responsabbli għad-dominju attacker.com. Bi tweġiba għat-talba tar-risolvent lis-server DNS tal-attakkant, tinħareġ tweġiba li tiddelega d-determinazzjoni tal-indirizz sd1.attacker.com lis-server DNS tal-vittma billi tindika rekords NS fir-rispons mingħajr ma tagħti dettalji dwar is-servers tal-NS tal-IP. Peress li s-server NS imsemmi ma ntaqax qabel u l-indirizz IP tiegħu mhuwiex speċifikat, is-solvent jipprova jiddetermina l-indirizz IP tas-server NS billi jibgħat mistoqsija lis-server DNS tal-vittma li jservi d-dominju fil-mira (victim.com).
Il-problema hija li l-attakkant jista 'jirrispondi b'lista enormi ta' servers NS li ma jirrepetux b'ismijiet ta 'subdomain tal-vittmi fittizji ineżistenti (fake-1.victim.com, fake-2.victim.com,... fake-1000. victim.com). Ir-resolvent jipprova jibgħat talba lis-server DNS tal-vittma, iżda jirċievi tweġiba li d-dominju ma nstabx, u wara jipprova jiddetermina s-server NS li jmiss fil-lista, u hekk sakemm ikun ipprova l- Rekords NS elenkati mill-attakkant. Għaldaqstant, għal talba ta 'attakkant wieħed, is-solvent se jibgħat numru kbir ta' talbiet biex jiddetermina l-hosts NS. Peress li l-ismijiet tas-server NS huma ġġenerati b'mod każwali u jirreferu għal sottodominji ineżistenti, ma jiġux irkuprati mill-cache u kull talba mill-attakkant tirriżulta f'daqqa ta' talbiet lis-server DNS li jservi d-dominju tal-vittma.
Ir-riċerkaturi studjaw il-grad ta’ vulnerabbiltà tas-solventi tad-DNS pubbliċi għall-problema u ddeterminaw li meta jintbagħtu mistoqsijiet lis-solvent CloudFlare (1.1.1.1), huwa possibbli li jiżdied in-numru ta’ pakketti (PAF, Packet Amplification Factor) bi 48 darba, Google (8.8.8.8) - 30 darba, FreeDNS (37.235.1.174) - 50 darba, OpenDNS (208.67.222.222) - 32 darba. Indikaturi aktar notevoli huma osservati għal
Livell 3 (209.244.0.3) - 273 darba, Quad9 (9.9.9.9) - 415 darba
SafeDNS (195.46.39.39) - 274 darba, Verisign (64.6.64.6) - 202 darba,
Ultra (156.154.71.1) - 405 darbiet, Comodo Secure (8.26.56.26) - 435 darba, DNS.Watch (84.200.69.80) - 486 darba, u Norton ConnectSafe (199.85.126.10) - 569 darbiet. Għal servers ibbażati fuq BIND 9.12.3, minħabba l-parallelizzazzjoni tat-talbiet, il-livell ta 'qligħ jista' jilħaq sa 1000. F'Knot Resolver 5.1.0, il-livell ta 'qligħ huwa bejn wieħed u ieħor diversi għexieren ta' drabi (24-48), peress li d-determinazzjoni ta ' Ismijiet NS hija mwettqa b'mod sekwenzjali u tistrieħ fuq il-limitu intern fuq in-numru ta 'passi ta' riżoluzzjoni ta 'ismijiet permessi għal talba waħda.
Hemm żewġ strateġiji ta' difiża ewlenin. Għal sistemi b'DNSSEC użu biex jipprevjenu l-bypass tal-cache DNS minħabba li t-talbiet jintbagħtu b'ismijiet każwali. L-essenza tal-metodu hija li tiġġenera tweġibiet negattivi mingħajr ma tikkuntattja servers DNS awtorevoli, bl-użu ta 'kontroll tal-firxa permezz ta' DNSSEC. Approċċ aktar sempliċi huwa li jiġi limitat in-numru ta 'ismijiet li jistgħu jiġu definiti meta tiġi pproċessata talba delegata waħda, iżda dan il-metodu jista' jikkawża problemi b'xi konfigurazzjonijiet eżistenti minħabba li l-limiti mhumiex definiti fil-protokoll.
Sors: opennet.ru