ڪيليفورنيا يونيورسٽي جي محققن جي هڪ ٽيم، ريور سائڊ شايع ڪيو آهي SAD DNS حملي جو هڪ نئون نسخو (CVE-2021-20322) جيڪو ڪم ڪري ٿو گذريل سال شامل ڪيل تحفظن جي باوجود CVE-2020-25705 خطري کي بلاڪ ڪرڻ لاءِ. نئون طريقو عام طور تي گذريل سال جي ڪمزوري سان ملندڙ جلندڙ آهي ۽ صرف مختلف قسم جي ICMP پيڪٽس جي استعمال ۾ مختلف آهي فعال UDP بندرگاهن کي چيڪ ڪرڻ لاءِ. تجويز ڪيل حملو DNS سرور ڪيش ۾ جعلي ڊيٽا جي متبادل جي اجازت ڏئي ٿو، جيڪو ڪيش ۾ هڪ خودمختيار ڊومين جي IP پتي کي تبديل ڪرڻ لاءِ استعمال ڪري سگهجي ٿو ۽ ڊومين ڏانهن درخواستن کي حملي ڪندڙ جي سرور ڏانهن منتقل ڪري سگهجي ٿو.
تجويز ڪيل طريقو صرف لينڪس نيٽ ورڪ اسٽيڪ ۾ ڪم ڪري ٿو لينڪس ۾ ICMP پيڪيٽ پروسيسنگ ميڪانيزم جي خاصيتن سان ان جي ڪنيڪشن جي ڪري، جيڪو ڪم ڪري ٿو ڊيٽا جي لڪيج جو هڪ ذريعو جيڪو سرور طرفان استعمال ڪيل يو ڊي پي پورٽ نمبر جي تعين کي آسان بڻائي ٿو. خارجي درخواست. تبديليون جيڪي بلاڪ معلومات جي رسيد کي آگسٽ جي آخر ۾ لينڪس ڪنييل ۾ منظور ڪيو ويو (فيڪس کي شامل ڪيو ويو kernel 5.15 ۽ سيپٽمبر جي تازه ڪارين جي LTS شاخن ۾). جينڪنز هش جي بدران نيٽ ورڪ ڪيش ۾ SipHash hashing algorithm استعمال ڪرڻ لاءِ سوئچ ڪرڻ لاءِ فيڪس هيٺ اچي ٿو. تقسيم ۾ خطري کي درست ڪرڻ جي صورتحال جو اندازو لڳائي سگهجي ٿو انهن صفحن تي: Debian، RHEL، Fedora، SUSE، Ubuntu.
محققن جي مطابق جن مسئلي جي نشاندهي ڪئي، تقريبن 38٪ نيٽ ورڪ تي کليل حل ڪندڙ ڪمزور آهن، جن ۾ مشهور DNS خدمتون جهڙوڪ OpenDNS ۽ Quad9 (9.9.9.9) شامل آهن. جيئن ته سرور سافٽ ويئر لاء، هڪ حملو لينڪس سرور تي پيڪيجز جهڙوڪ BIND، Unbound ۽ dnsmasq استعمال ڪندي ڪري سگهجي ٿو. مسئلو ونڊوز ۽ بي ايس ڊي سسٽم تي هلندڙ DNS سرورز تي ظاهر نٿو ٿئي. ڪاميابيءَ سان حملي کي انجام ڏيڻ لاءِ، ان کي استعمال ڪرڻ ضروري آهي IP اسپفنگ، يعني. اهو ضروري آهي ته حملي ڪندڙ جي ISP پيڪٽس کي جعلي ذريعو IP پتي سان بلاڪ نه ڪري.
هڪ ياد ڏياريندڙ جي طور تي، SAD DNS حملو ڊي اين ايس سرورز ۾ شامل ڪيل تحفظات کي پاس ڪري ٿو ڊين ڪمنسڪي پاران 2008 ۾ تجويز ڪيل کلاسک DNS ڪيش جي زهر جي طريقي کي بلاڪ ڪرڻ لاءِ. Kaminsky جو طريقو DNS سوال ID فيلڊ جي ننڍڙي سائيز کي ترتيب ڏئي ٿو، جيڪو صرف 16 بٽ آهي. صحيح DNS ٽرانزيڪشن جي سڃاڻپ ڪندڙ کي چونڊڻ لاءِ ضروري آهي ميزبان جي نالي جي اسپفنگ لاءِ، اهو ڪافي آهي تقريباً 7000 درخواستون موڪلڻ ۽ اٽڪل 140 هزار جعلي جوابن کي نقل ڪرڻ لاءِ. اهو حملو جعلي IP بائنڊنگ ۽ مختلف DNS ٽرانزيڪشن جي سڃاڻپ ڪندڙ سان گڏ وڏي تعداد ۾ پيڪيٽ موڪلڻ لاءِ DNS حل ڪندڙ ڏانهن وڌي ٿو. پهرين جواب جي ڪيشنگ کي روڪڻ لاءِ، هر ڊمي جواب ۾ ٿورڙو تبديل ٿيل ڊومين نالو شامل آهي (1.example.com، 2.example.com، 3.example.com، وغيره).
هن قسم جي حملي کان بچاءُ لاءِ، DNS سرور ٺاهيندڙن هڪ بي ترتيب ورهائڻ تي عمل ڪيو سورس نيٽ ورڪ بندرگاهن جي تعداد جي جنهن مان ريزوليوشن جون درخواستون موڪليون وينديون آهن، جن کي معاوضو ڏنو ويندو آهي سڃاڻپ ڪندڙ جي ڪافي وڏي سائيز جي. فرضي جواب موڪلڻ لاءِ تحفظ لاڳو ڪرڻ کان پوءِ، 16-bit سڃاڻپ ڪندڙ کي چونڊڻ کان علاوه، 64 هزار بندرگاهن مان هڪ کي چونڊڻ ضروري ٿي ويو، جنهن جي چونڊ لاءِ اختيارن جو تعداد وڌي 2^32 ٿي ويو.
SAD DNS طريقو توهان کي اجازت ڏئي ٿو بنيادي طور تي نيٽ ورڪ پورٽ نمبر جي تعين کي آسان ڪرڻ ۽ حملي کي گھٽائڻ جي کلاسي ڪمنسڪي طريقي سان. هڪ حملو ڪندڙ غير استعمال ٿيل ۽ فعال UDP بندرگاهن تائين رسائي ڳولي سگهي ٿو نيٽ ورڪ بندرگاهن جي سرگرمي بابت لڪي ٿيل معلومات جو فائدو وٺي جڏهن ICMP جوابي پيڪٽس کي پروسيس ڪري رهيو آهي. طريقو اسان کي اجازت ڏئي ٿو ڳولا جي اختيارن جي تعداد کي گھٽائڻ جي 4 آرڊرن جي شدت - 2^16+2^16 بدران 2^32 (131_072 بدران 4_294_967_296). معلومات جو ليڪ جيڪو توهان کي فعال UDP بندرگاهن کي جلدي طئي ڪرڻ جي اجازت ڏئي ٿو، ICMP پيڪٽس کي پروسيسنگ لاءِ ڪوڊ ۾ نقص جي ڪري ٽڪنڊيشن جي درخواستن (ICMP فريگمينٽيشن نيئڊ فليگ) يا ريڊائريڪشن (ICMP ريڊائريڪٽ پرچم) سان. اهڙيون پيڪٽ موڪلڻ سان نيٽ ورڪ اسٽيڪ ۾ ڪيش جي حالت تبديل ٿي ويندي آهي، جيڪا سرور جي جواب جي بنياد تي اهو طئي ڪرڻ ممڪن بڻائي ٿي، ڪهڙي UDP پورٽ فعال آهي ۽ ڪهڙي نه آهي.
حملي جو منظر: جڏهن هڪ DNS حل ڪندڙ ڊومين جو نالو حل ڪرڻ جي ڪوشش ڪري ٿو، اهو ڊومين جي خدمت ڪندڙ DNS سرور ڏانهن UDP سوال موڪلي ٿو. جڏهن ته حل ڪندڙ هڪ جواب جو انتظار ڪري رهيو آهي، هڪ حملو ڪندڙ جلدي سورس پورٽ نمبر جو تعين ڪري سگهي ٿو جيڪو درخواست موڪلڻ لاءِ استعمال ڪيو ويو هو ۽ ان تي جعلي جواب موڪلڻ لاءِ، IP پتي جي اسپفنگ کي استعمال ڪندي ڊومين جي خدمت ڪندڙ DNS سرور کي ظاهر ڪري ٿو. DNS حل ڪندڙ جعلي جواب ۾ موڪليل ڊيٽا کي ڪيش ڪندو ۽ ڪجهه وقت لاءِ ڊومين جي نالي لاءِ ٻين سڀني DNS درخواستن لاءِ حملي ڪندڙ طرفان متبادل ڪيل IP پتو واپس ڪندو.
جو ذريعو: opennet.ru