Tel Aviv တက္ကသိုလ်နှင့် Herzliya ရှိ Interdisciplinary Center မှ သုတေသီအဖွဲ့တစ်ဖွဲ့၊ တိုက်ခိုက်မှုနည်းလမ်းအသစ် () သင့်အား မည်သည့် DNS ဖြေရှင်းသူမဆို အသွားအလာ အသံချဲ့စက်များအဖြစ် အသုံးပြုခွင့်ပေးကာ ပက်ကတ်အရေအတွက်အရ 1621 ကြိမ်အထိ ချဲ့ထွင်မှုနှုန်းကို ပေးစွမ်းနိုင်သည် (ဖြေရှင်းသူထံပေးပို့သည့် တောင်းဆိုချက်တစ်ခုစီအတွက်၊ သင်သည် သားကောင်၏ဆာဗာသို့ ပေးပို့သည့် တောင်းဆိုချက်ပေါင်း 1621 ခုကို အောင်မြင်နိုင်သည်) အသွားအလာ 163 ကြိမ်အထိ။
ပြဿနာသည် ပရိုတိုကော၏ ထူးခြားချက်များနှင့် ဆက်စပ်နေပြီး အပါအဝင် recursive query processing ကို ပံ့ပိုးပေးသည့် DNS ဆာဗာများအားလုံးအပေါ် သက်ရောက်မှုရှိသည်။ (CVE-2020-8616)၊ (CVE-2020-12667)၊ (CVE-2020-10995)၊ и (CVE-2020-12662) အပြင် Google၊ Cloudflare၊ Amazon၊ Quad9၊ ICANN နှင့် အခြားကုမ္ပဏီများ၏ အများသုံး DNS ဝန်ဆောင်မှုများ။ ပြုပြင်မှုအား ၎င်းတို့၏ ထုတ်ကုန်များတွင် အားနည်းချက်ကို ပြင်ဆင်ရန် အပ်ဒိတ်များကို တစ်ပြိုင်နက်တည်း ထုတ်ပြန်သည့် DNS ဆာဗာ developer များနှင့် ညှိနှိုင်းခဲ့သည်။ တိုက်ခိုက်မှုကာကွယ်ရေးကို ထုတ်ဝေမှုများတွင် အကောင်အထည်ဖော်ခဲ့သည်။
, , , .
တိုက်ခိုက်မှုသည် အမည်သတ်မှတ်ခြင်းအား လွှဲအပ်ထားသည့် NS ဆာဗာများ၏ IP လိပ်စာများအကြောင်း အချက်အလက်များဖြင့် ယခင်က မမြင်ရသော စိတ်ကူးယဉ် NS မှတ်တမ်းအများအပြားကို ရည်ညွှန်းသည့် တောင်းဆိုမှုများကို အသုံးပြု၍ တိုက်ခိုက်သူအပေါ် အခြေခံထားသည်။ ဥပမာအားဖြင့်၊ တိုက်ခိုက်သူသည် attacker.com ဒိုမိန်းအတွက် တာဝန်ရှိသည့် DNS ဆာဗာကို ထိန်းချုပ်ခြင်းဖြင့် sd1.attacker.com အမည်ကို ဖြေရှင်းရန် မေးခွန်းတစ်ခု ပေးပို့သည်။ တိုက်ခိုက်သူ၏ DNS ဆာဗာသို့ ဖြေရှင်းသူ၏ တောင်းဆိုမှုကို တုံ့ပြန်သည့်အနေဖြင့် IP NS ဆာဗာများကို အသေးစိတ်မဖော်ပြဘဲ တုံ့ပြန်မှုတွင် NS မှတ်တမ်းများကို အသေးစိတ်ဖော်ပြခြင်းဖြင့် sd1.attacker.com လိပ်စာ၏ အဆုံးအဖြတ်ကို သားကောင်၏ DNS ဆာဗာသို့ လွှဲအပ်ပေးသည့် တုံ့ပြန်ချက်တစ်ခု ထုတ်ပြန်ခဲ့သည်။ ဖော်ပြထားသည့် NS ဆာဗာကို ယခင်က မတွေ့ဖူးသေးသဖြင့် ၎င်း၏ IP လိပ်စာကို မသတ်မှတ်ထားသောကြောင့်၊ ဖြေရှင်းသူသည် ပစ်မှတ်ဒိုမိန်း (victim.com) ကို ဝန်ဆောင်မှုပေးနေသော သားကောင်၏ DNS ဆာဗာထံသို့ စုံစမ်းမှုတစ်ခုပေးပို့ခြင်းဖြင့် NS ဆာဗာ၏ IP လိပ်စာကို ဆုံးဖြတ်ရန် ကြိုးပမ်းသည်။
ပြဿနာမှာ တိုက်ခိုက်သူသည် တည်ရှိခြင်းမရှိသော အတုအယောင်သားကောင်၏ ဒိုမိန်းခွဲအမည်များ (fake-1.victim.com၊ fake-2.victim.com၊... fake-1000) နှင့် ထပ်တလဲလဲမဟုတ်သော NS ဆာဗာများ၏ ကြီးမားသောစာရင်းဖြင့် တုံ့ပြန်နိုင်သည်။ victim.com)။ ဖြေရှင်းသူသည် သားကောင်၏ DNS ဆာဗာထံ တောင်းဆိုချက်တစ်ခုကို ပေးပို့ရန် ကြိုးစားမည်ဖြစ်ပြီး၊ ဒိုမိန်းကို ရှာမတွေ့ပါက တုံ့ပြန်မှုကို လက်ခံရရှိမည်ဖြစ်ပြီး၊ ထို့နောက် စာရင်းတွင် နောက်ထပ် NS ဆာဗာကို ဆုံးဖြတ်ရန် ကြိုးစားမည်ဖြစ်ကာ ၎င်းသည် အားလုံးကို မကြိုးစားမချင်း၊ တိုက်ခိုက်သူမှ စာရင်းသွင်းထားသော NS မှတ်တမ်းများ။ ထို့ကြောင့်၊ တိုက်ခိုက်သူ၏တောင်းဆိုချက်အတွက်၊ ဖြေရှင်းသူသည် NS host များကိုဆုံးဖြတ်ရန် တောင်းဆိုချက်အများအပြားကို ပေးပို့မည်ဖြစ်သည်။ NS ဆာဗာအမည်များကို ကျပန်းထုတ်ပေးပြီး နဂိုမူလမရှိသော ဒိုမိန်းခွဲများကို ရည်ညွှန်းသောကြောင့်၊ ၎င်းတို့ကို ကက်ရှ်မှ ပြန်လည်ထုတ်ယူခြင်းမပြုဘဲ တိုက်ခိုက်သူထံမှ တောင်းဆိုချက်တစ်ခုစီတိုင်းသည် သားကောင်၏ဒိုမိန်းကို ဝန်ဆောင်မှုပေးနေသည့် DNS ဆာဗာထံ တောင်းဆိုမှုများ ပျာယာခတ်သွားစေသည်။
သုတေသီများသည် ပြဿနာအတွက် အများသူငှာ DNS ဖြေရှင်းပေးသူများ၏ အားနည်းချက်အတိုင်းအတာကို လေ့လာပြီး CloudFlare ဖြေရှင်းသူ (1.1.1.1) သို့ queries များပေးပို့သည့်အခါ ပက်ကတ်အရေအတွက် (PAF၊ Packet Amplification Factor) ကို ၄၈ ဆ တိုးမြှင့်နိုင်သည်ဟု Google၊ (48) - 8.8.8.8 ကြိမ်၊ FreeDNS (30) - 37.235.1.174 ကြိမ်၊ OpenDNS (50) - 208.67.222.222 ကြိမ်။ ပိုမိုသိသာထင်ရှားသော အညွှန်းကိန်းများကို လေ့လာတွေ့ရှိရပါသည်။
Level3 (209.244.0.3) - 273 ကြိမ်၊ Quad9 (9.9.9.9) - 415 ကြိမ်
SafeDNS (195.46.39.39) - 274 ကြိမ်၊ Verisign (64.6.64.6) - 202 ကြိမ်၊
Ultra (156.154.71.1) - 405 ကြိမ်၊ Comodo Secure (8.26.56.26) - 435 ကြိမ်၊ DNS.Watch (84.200.69.80) - 486 ကြိမ် နှင့် Norton ConnectSafe (199.85.126.10 ကြိမ်)။ -569 BIND 9.12.3 ကိုအခြေခံထားသောဆာဗာများအတွက်၊ တောင်းဆိုမှုများအပြိုင်ပြုလုပ်ခြင်းကြောင့်ရရှိသည့်အဆင့်သည် 1000 အထိရောက်ရှိနိုင်သည်။ Knot Resolver 5.1.0 တွင်၊ အမြတ်အဆင့်သည် ခန့်မှန်းခြေအားဖြင့် အကြိမ်ပေါင်း (24-48) ကြိမ် (XNUMX-XNUMX) အထိ အကြိမ်ပေါင်းများစွာ (XNUMX-XNUMX)၊ NS အမည်များကို ဆက်တိုက်လုပ်ဆောင်ပြီး တောင်းဆိုချက်တစ်ခုအတွက် ခွင့်ပြုထားသော အမည်ဖြေရှင်းရေးအဆင့်များ အရေအတွက်ပေါ်တွင် ကန့်သတ်ချက်ပေါ်တွင် တည်ရှိသည်။
အဓိက ကာကွယ်ရေးဗျူဟာ နှစ်ခုရှိပါတယ်။ DNSSEC ရှိသော စနစ်များအတွက် သုံးစွဲဖို့ တောင်းဆိုမှုများကို ကျပန်းအမည်များဖြင့် ပေးပို့သောကြောင့် DNS cache ကိုရှောင်ကွင်းခြင်းမှ ကာကွယ်ရန်။ နည်းလမ်း၏ အနှစ်သာရမှာ DNSSEC မှတစ်ဆင့် အပိုင်းအခြား စစ်ဆေးခြင်းကို အသုံးပြု၍ တရားဝင် DNS ဆာဗာများကို မဆက်သွယ်ဘဲ အပျက်သဘောဆောင်သော တုံ့ပြန်မှုများကို ထုတ်ပေးရန်ဖြစ်သည်။ ရိုးရှင်းသောနည်းလမ်းမှာ လွှဲအပ်ထားသော တောင်းဆိုချက်တစ်ခုအား လုပ်ဆောင်ရာတွင် သတ်မှတ်နိုင်သည့် အမည်အရေအတွက်ကို ကန့်သတ်ရန်ဖြစ်သည်၊ သို့သော် ဤနည်းလမ်းသည် ပရိုတိုကောတွင် ကန့်သတ်ချက်များကို မသတ်မှတ်ထားသောကြောင့် အချို့သော လက်ရှိဖွဲ့စည်းပုံများနှင့် ပြဿနာများကို ဖြစ်စေနိုင်သည်။
source: opennet.ru