ටෙල් අවිව් විශ්ව විද්යාලයේ සහ හර්ස්ලියා හි අන්තර් විනය මධ්යස්ථානයේ පර්යේෂකයන් පිරිසක් (ඊශ්රායලය) නව ප්රහාර ක්රමය (), ඔබට රථවාහන ඇම්ප්ලිෆයර් ලෙස ඕනෑම DNS විසදුම් භාවිතා කිරීමට ඉඩ සලසමින්, පැකට් ගණන අනුව 1621 වාරයක් දක්වා විස්තාරණ අනුපාතයක් සපයයි (විසදන්නා වෙත යවන සෑම ඉල්ලීමක් සඳහාම, ඔබට වින්දිතයාගේ සේවාදායකයට යැවීමෙන් ඉල්ලීම් 1621 ක් ලබා ගත හැක) සහ ගමනාගමනය අනුව 163 වාරයක් දක්වා.
ගැටළුව ප්රොටෝකෝලයේ සුවිශේෂතා හා සම්බන්ධ වන අතර ප්රත්යාවර්තී විමසුම් සැකසීමට සහය දක්වන සියලුම DNS සේවාදායකයන්ට බලපායි. (සීවීඊ-2020-8616), (සීවීඊ-2020-12667), (සීවීඊ-2020-10995), и (CVE-2020-12662), මෙන්ම Google, Cloudflare, Amazon, Quad9, ICANN සහ වෙනත් සමාගම්වල පොදු DNS සේවා. මෙම නිවැරදි කිරීම DNS සේවාදායක සංවර්ධකයින් සමඟ සම්බන්ධීකරණය කරන ලද අතර, ඔවුන් ඔවුන්ගේ නිෂ්පාදනවල ඇති අවදානම නිවැරදි කිරීම සඳහා යාවත්කාලීන කිරීම් එකවර නිකුත් කරන ලදී. නිකුතු තුළ ක්රියාත්මක ප්රහාර ආරක්ෂණය
, , , .
ප්රහාරය පදනම් වී ඇත්තේ කලින් නොදුටු මනඃකල්පිත NS වාර්තා විශාල සංඛ්යාවක් වෙත යොමු වන ඉල්ලීම් භාවිතා කරමින් ප්රහාරකයා මත වන අතර, ඒ සඳහා නම් තීරණය පවරනු ලැබේ, නමුත් ප්රතිචාරයේ NS සේවාදායකයන්ගේ IP ලිපින පිළිබඳ තොරතුරු සහිත මැලියම් වාර්තා සඳහන් නොකර. උදාහරණයක් ලෙස, attacker.com වසම සඳහා වගකිව යුතු DNS සේවාදායකය පාලනය කිරීමෙන් ප්රහාරකයෙක් sd1.attacker.com යන නම විසඳීමට විමසුමක් යවයි. ප්රහාරකයාගේ DNS සේවාදායකය වෙත නිරාකරණය කරන්නාගේ ඉල්ලීමට ප්රතිචාර වශයෙන්, IP NS සේවාදායකයන් විස්තර නොකර ප්රතිචාරයේ NS වාර්තා දැක්වීමෙන් sd1.attacker.com ලිපිනය තීරණය කිරීම වින්දිතයාගේ DNS සේවාදායකය වෙත පවරන ප්රතිචාරයක් නිකුත් කෙරේ. සඳහන් කර ඇති NS සේවාදායකය මීට පෙර හමු වී නොමැති නිසා සහ එහි IP ලිපිනය සඳහන් කර නොමැති නිසා, නිරාකරණය කරන්නා ඉලක්ක වසම (victim.com) වෙත සේවය කරන වින්දිතයාගේ DNS සේවාදායකය වෙත විමසුමක් යැවීමෙන් NS සේවාදායකයේ IP ලිපිනය තීරණය කිරීමට උත්සාහ කරයි.
ගැටලුව වන්නේ ප්රහාරකයාට නොපවතින කල්පිත ගොදුරු උප ඩොමේන් නම් (fake-1.victim.com, fake-2.victim.com,... fake-1000) සමඟ නැවත නැවත සිදු නොවන NS සේවාදායක ලැයිස්තුවක් සමඟින් ප්රතිචාර දැක්විය හැකි වීමයි. ගොදුරු.com). නිරාකරණය කරන්නා වින්දිතයාගේ DNS සේවාදායකයට ඉල්ලීමක් යැවීමට උත්සාහ කරයි, නමුත් වසම සොයාගත නොහැකි වූ බවට ප්රතිචාරයක් ලැබෙනු ඇත, ඉන්පසු එය ලැයිස්තුවේ ඊළඟ NS සේවාදායකය තීරණය කිරීමට උත්සාහ කරයි, සහ එය සියල්ල උත්සාහ කරන තුරු ප්රහාරකයා විසින් ලැයිස්තුගත කර ඇති NS වාර්තා. ඒ අනුව, එක් ප්රහාරකයෙකුගේ ඉල්ලීමක් සඳහා, නිරාකරණය කරන්නා NS ධාරක තීරණය කිරීම සඳහා විශාල ඉල්ලීම් ප්රමාණයක් එවනු ඇත. NS සේවාදායක නම් අහඹු ලෙස ජනනය වන අතර නොපවතින උප ඩොමේන් වෙත යොමු වන බැවින්, ඒවා හැඹිලියෙන් ලබා නොගන්නා අතර ප්රහාරකයාගේ එක් එක් ඉල්ලීම් ප්රතිඵලයක් ලෙස වින්දිතයාගේ වසමට සේවය කරන DNS සේවාදායකය වෙත ඉල්ලීම් රාශියක් ඇති වේ.
පර්යේෂකයන් විසින් ගැටලුවට පොදු DNS නිරාකරණය කරන්නන්ගේ අවදානම් මට්ටම අධ්යයනය කළ අතර CloudFlare විසදුම (1.1.1.1) වෙත විමසුම් යැවීමේදී පැකට් ගණන (PAF, Packet Amplification Factor) 48 ගුණයකින් වැඩි කළ හැකි බව තීරණය කර ඇත, Google (8.8.8.8) - 30 වතාවක්, FreeDNS (37.235.1.174) - 50 වතාවක්, OpenDNS (208.67.222.222) - 32 වතාවක්. සඳහා වඩාත් කැපී පෙනෙන දර්ශක නිරීක්ෂණය කරනු ලැබේ
Level3 (209.244.0.3) - 273 වාරයක්, Quad9 (9.9.9.9) - 415 වාරයක්
SafeDNS (195.46.39.39) - 274 වාරයක්, Verisign (64.6.64.6) - 202 වාරයක්,
Ultra (156.154.71.1) - 405 වාරයක්, Comodo Secure (8.26.56.26) - 435 වාරයක්, DNS.Watch (84.200.69.80) - 486 වාරයක්, සහ Norton ConnectSafe (199.85.126.10 වාරයක්) -569. BIND 9.12.3 මත පදනම් වූ සේවාදායකයන් සඳහා, ඉල්ලීම් සමාන්තරකරණය කිරීම හේතුවෙන්, ලාභ මට්ටම 1000 දක්වා ළඟා විය හැකිය. Knot Resolver 5.1.0 හි, නිශ්චය කිරීමේ සිට ලාභ මට්ටම දස ගුණයකින් (24-48) පමණ වේ. NS නම් අනුක්රමිකව සිදු කෙරෙන අතර එක් ඉල්ලීමක් සඳහා අවසර දී ඇති නාම විභේදන පියවර ගණනේ අභ්යන්තර සීමාව මත රඳා පවතී.
ප්රධාන ආරක්ෂක උපාය මාර්ග දෙකක් තිබේ. DNSSEC සහිත පද්ධති සඳහා භාවිතා කරන්න අහඹු නම් වලින් ඉල්ලීම් යවන නිසා DNS හැඹිලි මගහැරීම වැළැක්වීමට. ක්රමයේ සාරය නම් DNSSEC හරහා පරාස පරීක්ෂාව භාවිතා කරමින් බලයලත් DNS සේවාදායකයන් සම්බන්ධ කර නොගෙන ඍණාත්මක ප්රතිචාර උත්පාදනය කිරීමයි. සරල ප්රවේශයක් වන්නේ තනි නියෝජිත ඉල්ලීමක් සැකසීමේදී අර්ථ දැක්විය හැකි නම් සංඛ්යාව සීමා කිරීමයි, නමුත් මෙම ක්රමය මඟින් ප්රොටෝකෝලය තුළ සීමාවන් අර්ථ දක්වා නොමැති නිසා පවතින සමහර වින්යාසයන් සමඟ ගැටලු ඇති විය හැක.
මූලාශ්රය: opennet.ru