د تل ابیب پوهنتون د څیړونکو یوه ډله او په هرزلیا (اسرائیل) کې د انډول ډیسپلینري مرکز د برید نوې طریقه ()، تاسو ته اجازه درکوي چې د ټرافیک امپلیفیرونو په توګه د DNS حل کونکي وکاروئ، د پاکټونو شمیر په پام کې نیولو سره تر 1621 ځله پورې د لوړولو کچه چمتو کوي (د هرې غوښتنې لپاره چې حل کونکي ته لیږل کیږي، تاسو کولی شئ 1621 غوښتنې ترلاسه کړئ چې د قرباني سرور ته لیږل کیږي) او تر 163 ځله پورې د ټرافیک په شرایطو کې.
ستونزه د پروتوکول ځانګړتیاو پورې اړه لري او په ټولو DNS سرورونو اغیزه کوي چې د تکراري پوښتنو پروسس کولو ملاتړ کوي ، پشمول (CVE-2020-8616) ، (CVE-2020-12667) ، (CVE-2020-10995) ، и (CVE-2020-12662)، او همدارنګه د ګوګل، Cloudflare، Amazon، Quad9، ICANN او نورو شرکتونو عامه DNS خدمتونه. فکس د DNS سرور پراختیا کونکو سره همغږي شوی و ، کوم چې په ورته وخت کې د دوی محصولاتو کې زیان منونکي حل کولو لپاره تازه معلومات خپاره کړل. د برید محافظت په ریلیزونو کې پلي شوی
, , , .
برید د برید کونکي پراساس دی چې غوښتنې یې کاروي چې د پخوانیو نه لیدل شوي جعلي NS ریکارډونو لوی شمیر ته راجع کیږي ، کوم چې د نوم ټاکل ورته سپارل کیږي ، مګر پرته له دې چې په ځواب کې د NS سرورونو IP پتې په اړه معلوماتو سره د ګلو ریکارډونو مشخص کړي. د مثال په توګه، یو برید کونکی د DNS سرور کنټرولولو له لارې د sd1.attacker.com نوم حل کولو لپاره یوه پوښتنه لیږي چې د attacker.com ډومین لپاره مسؤل دی. د برید کونکي DNS سرور ته د حل کونکي غوښتنې په ځواب کې ، یو ځواب صادر شوی چې د قرباني DNS سرور ته د sd1.attacker.com پته ټاکل د IP NS سرورونو توضیح کولو پرته په ځواب کې د NS ریکارډونو په ګوته کولو سره وړاندیز کوي. څرنګه چې د ذکر شوي NS سرور سره مخ شوی نه دی او د هغې IP پته نه ده مشخص شوې، حل کوونکی هڅه کوي چې د قرباني DNS سرور ته د پوښتنې په لیږلو سره د NS سرور IP پته معلومه کړي چې هدف ډومین (victim.com) ته خدمت کوي.
ستونزه دا ده چې برید کوونکی کولی شي د غیر تکراري NS سرورونو لوی لیست سره د غیر موجود جعلي قرباني فرعي ډومین نومونو سره ځواب ورکړي (جعلی-1.victim.com، fake-2.victim.com،... fake-1000. قرباني.com). حل کوونکی به هڅه وکړي چې د قرباني DNS سرور ته غوښتنه واستوي، مګر یو ځواب به ترلاسه کړي چې ډومین ونه موندل شو، وروسته له هغه به هڅه وکړي چې په لیست کې راتلونکی NS سرور وټاکي، او همداسې تر هغه چې دا ټول هڅه کړې وي. د برید کونکي لخوا لیست شوي NS ریکارډونه. په دې اساس، د یو برید کونکي غوښتنې لپاره، حل کونکی به د NS کوربه ټاکلو لپاره ډیری غوښتنې واستوي. څرنګه چې د NS سرور نومونه په تصادفي ډول تولید شوي او غیر موجود فرعي ډومینونو ته راجع کیږي، دوی د زیرمې څخه نه اخیستل کیږي او د برید کونکي څخه هره غوښتنه د DNS سرور ته د قربانیانو ډومین ته خدمت کولو لپاره د غوښتنو د ډیریدو لامل کیږي.
څیړونکو ستونزې ته د عامه DNS حل کونکو د زیان مننې درجې مطالعه کړې او معلومه کړې چې کله چې د CloudFlare حل کونکي (1.1.1.1) ته پوښتنې لیږل کیږي ، نو دا ممکنه ده چې د پاکټونو شمیر (PAF, Packet Amplification Factor) 48 ځله زیات کړي ، ګوګل (8.8.8.8) - 30 ځله، FreeDNS (37.235.1.174) - 50 ځله، OpenDNS (208.67.222.222) - 32 ځله. ډیر د پام وړ شاخصونه د دې لپاره لیدل کیږي
کچه3 (209.244.0.3) - 273 ځله، Quad9 (9.9.9.9) - 415 ځله
SafeDNS (195.46.39.39) - 274 ځله، Verisign (64.6.64.6) - 202 ځلې،
الټرا (156.154.71.1) - 405 ځله، کوموډو سیکور (8.26.56.26) - 435 ځله، DNS.Watch (84.200.69.80) - 486 ځله، او Norton ConnectSafe (199.85.126.10-569 ځله). د BIND 9.12.3 پر بنسټ د سرورونو لپاره، د غوښتنو د موازي کولو له امله، د ګټې کچه تر 1000 پورې رسي. د NS نومونه په ترتیب سره ترسره کیږي او د یوې غوښتنې لپاره اجازه ورکړل شوي د نوم حل مرحلو په داخلي حد پورې اړه لري.
دوه اصلي دفاعي ستراتیژۍ شتون لري. د DNSSEC سره د سیسټمونو لپاره کارول د DNS کیچ بای پاس څخه مخنیوي لپاره ځکه چې غوښتنې د تصادفي نومونو سره لیږل کیږي. د میتود جوهر د DNSSEC له لارې د رینج چیک کولو په کارولو سره د مستند DNS سرورونو سره اړیکه نیولو پرته منفي ځوابونه رامینځته کول دي. یوه ساده طریقه دا ده چې د نومونو شمیر محدود کړي چې د واحد ټاکل شوي غوښتنې پروسس کولو پرمهال تعریف کیدی شي ، مګر دا میتود ممکن د ځینې موجوده تشکیلاتو سره ستونزې رامینځته کړي ځکه چې محدودیتونه په پروتوکول کې ندي تعریف شوي.
سرچینه: opennet.ru