Tel Aviv တက္ကသိုလ်နှင့် Herzliya ရှိ Interdisciplinary Center မှ သုတေသီအဖွဲ့တစ်ဖွဲ့၊
ပြဿနာသည် ပရိုတိုကော၏ ထူးခြားချက်များနှင့် ဆက်စပ်နေပြီး အပါအဝင် recursive query processing ကို ပံ့ပိုးပေးသည့် DNS ဆာဗာများအားလုံးအပေါ် သက်ရောက်မှုရှိသည်။
တိုက်ခိုက်မှုသည် အမည်သတ်မှတ်ခြင်းအား လွှဲအပ်ထားသည့် NS ဆာဗာများ၏ IP လိပ်စာများအကြောင်း အချက်အလက်များဖြင့် ယခင်က မမြင်ရသော စိတ်ကူးယဉ် NS မှတ်တမ်းအများအပြားကို ရည်ညွှန်းသည့် တောင်းဆိုမှုများကို အသုံးပြု၍ တိုက်ခိုက်သူအပေါ် အခြေခံထားသည်။ ဥပမာအားဖြင့်၊ တိုက်ခိုက်သူသည် attacker.com ဒိုမိန်းအတွက် တာဝန်ရှိသည့် DNS ဆာဗာကို ထိန်းချုပ်ခြင်းဖြင့် sd1.attacker.com အမည်ကို ဖြေရှင်းရန် မေးခွန်းတစ်ခု ပေးပို့သည်။ တိုက်ခိုက်သူ၏ DNS ဆာဗာသို့ ဖြေရှင်းသူ၏ တောင်းဆိုမှုကို တုံ့ပြန်သည့်အနေဖြင့် IP NS ဆာဗာများကို အသေးစိတ်မဖော်ပြဘဲ တုံ့ပြန်မှုတွင် NS မှတ်တမ်းများကို အသေးစိတ်ဖော်ပြခြင်းဖြင့် sd1.attacker.com လိပ်စာ၏ အဆုံးအဖြတ်ကို သားကောင်၏ DNS ဆာဗာသို့ လွှဲအပ်ပေးသည့် တုံ့ပြန်ချက်တစ်ခု ထုတ်ပြန်ခဲ့သည်။ ဖော်ပြထားသည့် NS ဆာဗာကို ယခင်က မတွေ့ဖူးသေးသဖြင့် ၎င်း၏ IP လိပ်စာကို မသတ်မှတ်ထားသောကြောင့်၊ ဖြေရှင်းသူသည် ပစ်မှတ်ဒိုမိန်း (victim.com) ကို ဝန်ဆောင်မှုပေးနေသော သားကောင်၏ DNS ဆာဗာထံသို့ စုံစမ်းမှုတစ်ခုပေးပို့ခြင်းဖြင့် NS ဆာဗာ၏ IP လိပ်စာကို ဆုံးဖြတ်ရန် ကြိုးပမ်းသည်။
ပြဿနာမှာ တိုက်ခိုက်သူသည် တည်ရှိခြင်းမရှိသော အတုအယောင်သားကောင်၏ ဒိုမိန်းခွဲအမည်များ (fake-1.victim.com၊ fake-2.victim.com၊... fake-1000) နှင့် ထပ်တလဲလဲမဟုတ်သော NS ဆာဗာများ၏ ကြီးမားသောစာရင်းဖြင့် တုံ့ပြန်နိုင်သည်။ victim.com)။ ဖြေရှင်းသူသည် သားကောင်၏ DNS ဆာဗာထံ တောင်းဆိုချက်တစ်ခုကို ပေးပို့ရန် ကြိုးစားမည်ဖြစ်ပြီး၊ ဒိုမိန်းကို ရှာမတွေ့ပါက တုံ့ပြန်မှုကို လက်ခံရရှိမည်ဖြစ်ပြီး၊ ထို့နောက် စာရင်းတွင် နောက်ထပ် NS ဆာဗာကို ဆုံးဖြတ်ရန် ကြိုးစားမည်ဖြစ်ကာ ၎င်းသည် အားလုံးကို မကြိုးစားမချင်း၊ တိုက်ခိုက်သူမှ စာရင်းသွင်းထားသော NS မှတ်တမ်းများ။ ထို့ကြောင့်၊ တိုက်ခိုက်သူ၏တောင်းဆိုချက်အတွက်၊ ဖြေရှင်းသူသည် NS host များကိုဆုံးဖြတ်ရန် တောင်းဆိုချက်အများအပြားကို ပေးပို့မည်ဖြစ်သည်။ NS ဆာဗာအမည်များကို ကျပန်းထုတ်ပေးပြီး နဂိုမူလမရှိသော ဒိုမိန်းခွဲများကို ရည်ညွှန်းသောကြောင့်၊ ၎င်းတို့ကို ကက်ရှ်မှ ပြန်လည်ထုတ်ယူခြင်းမပြုဘဲ တိုက်ခိုက်သူထံမှ တောင်းဆိုချက်တစ်ခုစီတိုင်းသည် သားကောင်၏ဒိုမိန်းကို ဝန်ဆောင်မှုပေးနေသည့် DNS ဆာဗာထံ တောင်းဆိုမှုများ ပျာယာခတ်သွားစေသည်။
သုတေသီများသည် ပြဿနာအတွက် အများသူငှာ DNS ဖြေရှင်းပေးသူများ၏ အားနည်းချက်အတိုင်းအတာကို လေ့လာပြီး CloudFlare ဖြေရှင်းသူ (1.1.1.1) သို့ queries များပေးပို့သည့်အခါ ပက်ကတ်အရေအတွက် (PAF၊ Packet Amplification Factor) ကို ၄၈ ဆ တိုးမြှင့်နိုင်သည်ဟု Google၊ (48) - 8.8.8.8 ကြိမ်၊ FreeDNS (30) - 37.235.1.174 ကြိမ်၊ OpenDNS (50) - 208.67.222.222 ကြိမ်။ ပိုမိုသိသာထင်ရှားသော အညွှန်းကိန်းများကို လေ့လာတွေ့ရှိရပါသည်။
Level3 (209.244.0.3) - 273 ကြိမ်၊ Quad9 (9.9.9.9) - 415 ကြိမ်
SafeDNS (195.46.39.39) - 274 ကြိမ်၊ Verisign (64.6.64.6) - 202 ကြိမ်၊
Ultra (156.154.71.1) - 405 ကြိမ်၊ Comodo Secure (8.26.56.26) - 435 ကြိမ်၊ DNS.Watch (84.200.69.80) - 486 ကြိမ် နှင့် Norton ConnectSafe (199.85.126.10 ကြိမ်)။ -569 BIND 9.12.3 ကိုအခြေခံထားသောဆာဗာများအတွက်၊ တောင်းဆိုမှုများအပြိုင်ပြုလုပ်ခြင်းကြောင့်ရရှိသည့်အဆင့်သည် 1000 အထိရောက်ရှိနိုင်သည်။ Knot Resolver 5.1.0 တွင်၊ အမြတ်အဆင့်သည် ခန့်မှန်းခြေအားဖြင့် အကြိမ်ပေါင်း (24-48) ကြိမ် (XNUMX-XNUMX) အထိ အကြိမ်ပေါင်းများစွာ (XNUMX-XNUMX)၊ NS အမည်များကို ဆက်တိုက်လုပ်ဆောင်ပြီး တောင်းဆိုချက်တစ်ခုအတွက် ခွင့်ပြုထားသော အမည်ဖြေရှင်းရေးအဆင့်များ အရေအတွက်ပေါ်တွင် ကန့်သတ်ချက်ပေါ်တွင် တည်ရှိသည်။
အဓိက ကာကွယ်ရေးဗျူဟာ နှစ်ခုရှိပါတယ်။ DNSSEC ရှိသော စနစ်များအတွက်
source: opennet.ru