د تل ابیب پوهنتون د څیړونکو یوه ډله او په هرزلیا (اسرائیل) کې د انډول ډیسپلینري مرکز
ستونزه د پروتوکول ځانګړتیاو پورې اړه لري او په ټولو DNS سرورونو اغیزه کوي چې د تکراري پوښتنو پروسس کولو ملاتړ کوي ، پشمول
برید د برید کونکي پراساس دی چې غوښتنې یې کاروي چې د پخوانیو نه لیدل شوي جعلي NS ریکارډونو لوی شمیر ته راجع کیږي ، کوم چې د نوم ټاکل ورته سپارل کیږي ، مګر پرته له دې چې په ځواب کې د NS سرورونو IP پتې په اړه معلوماتو سره د ګلو ریکارډونو مشخص کړي. د مثال په توګه، یو برید کونکی د DNS سرور کنټرولولو له لارې د sd1.attacker.com نوم حل کولو لپاره یوه پوښتنه لیږي چې د attacker.com ډومین لپاره مسؤل دی. د برید کونکي DNS سرور ته د حل کونکي غوښتنې په ځواب کې ، یو ځواب صادر شوی چې د قرباني DNS سرور ته د sd1.attacker.com پته ټاکل د IP NS سرورونو توضیح کولو پرته په ځواب کې د NS ریکارډونو په ګوته کولو سره وړاندیز کوي. څرنګه چې د ذکر شوي NS سرور سره مخ شوی نه دی او د هغې IP پته نه ده مشخص شوې، حل کوونکی هڅه کوي چې د قرباني DNS سرور ته د پوښتنې په لیږلو سره د NS سرور IP پته معلومه کړي چې هدف ډومین (victim.com) ته خدمت کوي.
ستونزه دا ده چې برید کوونکی کولی شي د غیر تکراري NS سرورونو لوی لیست سره د غیر موجود جعلي قرباني فرعي ډومین نومونو سره ځواب ورکړي (جعلی-1.victim.com، fake-2.victim.com،... fake-1000. قرباني.com). حل کوونکی به هڅه وکړي چې د قرباني DNS سرور ته غوښتنه واستوي، مګر یو ځواب به ترلاسه کړي چې ډومین ونه موندل شو، وروسته له هغه به هڅه وکړي چې په لیست کې راتلونکی NS سرور وټاکي، او همداسې تر هغه چې دا ټول هڅه کړې وي. د برید کونکي لخوا لیست شوي NS ریکارډونه. په دې اساس، د یو برید کونکي غوښتنې لپاره، حل کونکی به د NS کوربه ټاکلو لپاره ډیری غوښتنې واستوي. څرنګه چې د NS سرور نومونه په تصادفي ډول تولید شوي او غیر موجود فرعي ډومینونو ته راجع کیږي، دوی د زیرمې څخه نه اخیستل کیږي او د برید کونکي څخه هره غوښتنه د DNS سرور ته د قربانیانو ډومین ته خدمت کولو لپاره د غوښتنو د ډیریدو لامل کیږي.
څیړونکو ستونزې ته د عامه DNS حل کونکو د زیان مننې درجې مطالعه کړې او معلومه کړې چې کله چې د CloudFlare حل کونکي (1.1.1.1) ته پوښتنې لیږل کیږي ، نو دا ممکنه ده چې د پاکټونو شمیر (PAF, Packet Amplification Factor) 48 ځله زیات کړي ، ګوګل (8.8.8.8) - 30 ځله، FreeDNS (37.235.1.174) - 50 ځله، OpenDNS (208.67.222.222) - 32 ځله. ډیر د پام وړ شاخصونه د دې لپاره لیدل کیږي
کچه3 (209.244.0.3) - 273 ځله، Quad9 (9.9.9.9) - 415 ځله
SafeDNS (195.46.39.39) - 274 ځله، Verisign (64.6.64.6) - 202 ځلې،
الټرا (156.154.71.1) - 405 ځله، کوموډو سیکور (8.26.56.26) - 435 ځله، DNS.Watch (84.200.69.80) - 486 ځله، او Norton ConnectSafe (199.85.126.10-569 ځله). د BIND 9.12.3 پر بنسټ د سرورونو لپاره، د غوښتنو د موازي کولو له امله، د ګټې کچه تر 1000 پورې رسي. د NS نومونه په ترتیب سره ترسره کیږي او د یوې غوښتنې لپاره اجازه ورکړل شوي د نوم حل مرحلو په داخلي حد پورې اړه لري.
دوه اصلي دفاعي ستراتیژۍ شتون لري. د DNSSEC سره د سیسټمونو لپاره
سرچینه: opennet.ru