د کالیفورنیا پوهنتون د څیړونکو یوې ډلې، ریورسایډ د SAD DNS برید (CVE-2021-20322) یو نوی ډول خپور کړی چې د CVE-2020-25705 زیانونو مخنیوي لپاره تیر کال اضافه شوي محافظت سره سره کار کوي. نوی میتود عموما د تیر کال زیانمننې سره ورته دی او یوازې د فعال UDP بندرونو چک کولو لپاره د مختلف ډوله ICMP پاکټونو کارولو کې توپیر لري. وړاندیز شوی برید د DNS سرور کیچ کې د جعلي معلوماتو ځای په ځای کولو ته اجازه ورکوي ، کوم چې په کیچ کې د خپل سري ډومین IP پتې ځای په ځای کولو لپاره کارول کیدی شي او ډومین ته غوښتنې د برید کونکي سرور ته لیږل کیږي.
وړاندیز شوی میتود یوازې د لینکس شبکې سټیک کې کار کوي ځکه چې په لینکس کې د ICMP پیکټ پروسس میکانیزم ځانګړتیاو سره د هغې د تړاو له امله ، کوم چې د ډیټا لیک کولو سرچینې په توګه کار کوي چې د سرور لخوا د لیږلو لپاره د UDP پورټ شمیره کارول اسانه کوي. بهرنۍ غوښتنه هغه بدلونونه چې د معلوماتو لیک مخه نیسي د اګست په پای کې د لینکس کرنل کې منل شوي (فکس د کرنل 5.15 او سپتمبر تازه کولو کې د کرنل LTS څانګو کې شامل شوی و). فکس د جینکنز هش پرځای د شبکې کیچونو کې د SipHash هیشینګ الګوریتم کارولو ته بدلیږي. په توزیع کې د زیانمننې فکس کولو وضعیت پدې پاڼو کې ارزول کیدی شي: Debian، RHEL، Fedora، SUSE، Ubuntu.
د څیړونکو په وینا چې ستونزه یې پیژندلې، په شبکه کې د خلاص حل کونکي نږدې 38٪ زیان منونکي دي، په شمول د مشهور DNS خدماتو لکه OpenDNS او Quad9 (9.9.9.9). لکه څنګه چې د سرور سافټویر لپاره، برید په لینکس سرور کې د BIND، Unbound او dnsmasq په څیر د کڅوړو په کارولو سره ترسره کیدی شي. ستونزه د DNS سرورونو کې نه ښکاري چې په وینډوز او BSD سیسټمونو کې چلیږي. په بریالیتوب سره د برید ترسره کولو لپاره، دا اړینه ده چې د IP سپوفینګ وکاروئ، د بیلګې په توګه. دا اړینه ده چې د برید کونکي ISP د جعلي سرچینې IP پتې سره پاکټونه بند نه کړي.
د یادونې په توګه، د SAD DNS برید د DNS سرورونو کې اضافه شوي محافظتونه له پامه غورځوي ترڅو د ډین کمینسکي لخوا په 2008 کې وړاندیز شوي د کلاسیک DNS کیچ زهر کولو میتود بلاک کړي. د کامنسکي میتود د DNS پوښتنې ID ساحې کوچنۍ اندازې اداره کوي ، کوم چې یوازې 16 بټونه دي. د کوربه نوم سپوفینګ لپاره اړین د DNS لیږد سم پیژندونکي غوره کولو لپاره ، دا کافي دی چې نږدې 7000 غوښتنې واستوي او شاوخوا 140 زره جعلي ځوابونه سم کړي. برید د جعلي IP پابندۍ سره او د DNS حل کونکي ته د مختلف DNS لیږد پیژندونکو سره د لوی شمیر پاکټونو لیږلو ته هڅوي. د لومړي ځواب د کیچ کولو څخه مخنیوي لپاره، هر ډمي ځواب یو څه بدل شوی ډومین نوم لري (1.example.com، 2.example.com، 3.example.com، او داسې نور).
د دې ډول برید په وړاندې د ساتنې لپاره، د DNS سرور جوړونکو د سرچینې شبکې بندرونو شمیره تصادفي ویش پلي کړ چې له هغې څخه د حل غوښتنې لیږل کیږي، کوم چې د پیژندونکي د ناکافي لوی اندازې لپاره تاوان ورکوي. د جعلي ځواب لیږلو لپاره د محافظت پلي کولو وروسته ، د 16-bit پیژندونکي غوره کولو سربیره ، دا اړینه شوه چې د 64 زره بندرونو څخه یو غوره کړئ ، کوم چې د انتخاب لپاره د انتخابونو شمیر 2 ^ 32 ته لوړ کړ.
د SAD DNS میتود تاسو ته اجازه درکوي په بنسټیز ډول د شبکې پورټ شمیره ټاکل ساده کړئ او برید د کلاسیک کامینسکي میتود ته کم کړئ. یو برید کونکی کولی شي د ICMP غبرګون پاکټونو پروسس کولو پرمهال د شبکې بندرونو فعالیت په اړه د افشا شوي معلوماتو په کارولو سره غیر کارول شوي او فعال UDP بندرونو ته لاسرسی ومومي. دا طریقه موږ ته اجازه راکوي چې د لټون اختیارونو شمیر د 4 امرونو په اندازه کم کړو - 2^16+2^16 د 2^32 پرځای (131_072 د 4_294_967_296 پرځای). د معلوماتو لیک چې تاسو ته اجازه درکوي په چټکۍ سره فعال UDP بندرونه وټاکئ د ICMP پاکټونو پروسس کولو لپاره د کوډ نیمګړتیا له امله رامینځته کیږي د ټوټې کولو غوښتنې سره (ICMP ټوټې کولو ته اړتیا لرونکی پرچم) یا بیرته راستنیدنه (ICMP ریډیریک پرچم). د دې ډول کڅوړو لیږل د شبکې سټیک کې د کیچ حالت بدلوي ، کوم چې د سرور ځواب پراساس دا معلومول ممکن کوي چې کوم UDP پورټ فعال دی او کوم ندی.
د برید سناریو: کله چې د DNS حل کونکی د ډومین نوم حل کولو هڅه کوي، دا د DNS سرور ته د UDP پوښتنه لیږي چې ډومین ته خدمت کوي. پداسې حال کې چې حل کونکی ځواب ته انتظار باسي ، برید کونکی کولی شي په چټکۍ سره د سرچینې پورټ شمیره وټاکي چې د غوښتنې لیږلو لپاره کارول شوي او دې ته جعلي ځواب واستوي ، د DNS سرور نقض کول چې د IP پتې سپوفینګ په کارولو سره ډومین ته خدمت کوي. د DNS حل کونکی به په جعلي ځواب کې لیږل شوي معلومات زیرمه کړي او د یو څه وخت لپاره به د برید کونکي لخوا د ډومین نوم لپاره د DNS نورو ټولو غوښتنو لپاره بدل شوی IP پته بیرته راولي.
سرچینه: opennet.ru