රිවර්සයිඩ් හි කැලිෆෝනියා විශ්ව විද්යාලයේ පර්යේෂකයන් කණ්ඩායමක් විසින් CVE-2021-20322 අවදානම අවහිර කිරීම සඳහා පසුගිය වසරේ එකතු කරන ලද ආරක්ෂාවන් නොතකා ක්රියා කරන SAD DNS ප්රහාරයේ (CVE-2020-25705) නව ප්රභේදයක් ප්රකාශයට පත් කර ඇත. නව ක්රමය සාමාන්යයෙන් පසුගිය වසරේ අවදානමට සමාන වන අතර ක්රියාකාරී UDP වරායන් පරීක්ෂා කිරීම සඳහා වෙනස් ආකාරයේ ICMP පැකට් භාවිතා කිරීමේදී පමණක් වෙනස් වේ. යෝජිත ප්රහාරය DNS සේවාදායක හැඹිලිය තුළට ව්යාජ දත්ත ආදේශ කිරීමට ඉඩ සලසයි, එය හැඹිලියේ ඇති අත්තනෝමතික වසමක IP ලිපිනය ප්රතිස්ථාපනය කිරීමට සහ වසම වෙත ඉල්ලීම් ප්රහාරකයාගේ සේවාදායකය වෙත හරවා යැවීමට භාවිතා කළ හැක.
යෝජිත ක්රමය ක්රියාත්මක වන්නේ Linux හි ICMP පැකට් සැකසුම් යාන්ත්රණයේ සුවිශේෂතා සමඟ සම්බන්ධ වීම හේතුවෙන් Linux ජාල තොගයේ පමණි, එය දත්ත කාන්දු වීමේ ප්රභවයක් ලෙස ක්රියා කරන අතර එය යැවීමට සේවාදායකය විසින් භාවිතා කරන UDP පෝට් අංකය තීරණය කිරීම සරල කරයි. බාහිර ඉල්ලීම. තොරතුරු කාන්දු වීම අවහිර කරන වෙනස්කම් අගෝස්තු මස අවසානයේදී Linux කර්නලයට ඇතුළත් කරන ලදී (නිවැරදි කිරීම කර්නල් 5.15 සහ සැප්තැම්බර් යාවත්කාලීන කර්නලයේ LTS ශාඛා වෙත ඇතුළත් කර ඇත). Jenkins Hash වෙනුවට ජාල හැඹිලි තුළ SipHash හැෂිං ඇල්ගොරිතම භාවිතා කිරීමට මාරුවීම සඳහා මෙම නිවැරදි කිරීම පහත වැටේ. බෙදාහැරීම් වල ඇති අවදානම් නිරාකරණය කිරීමේ තත්ත්වය මෙම පිටු වලින් තක්සේරු කළ හැක: Debian, RHEL, Fedora, SUSE, Ubuntu.
ගැටලුව හඳුනාගත් පර්යේෂකයන්ට අනුව, OpenDNS සහ Quad38 (9) වැනි ජනප්රිය DNS සේවාවන් ඇතුළුව ජාලයේ විවෘත විසඳුම් වලින් 9.9.9.9% ක් පමණ අවදානමට ලක් වේ. සේවාදායක මෘදුකාංග සම්බන්ධයෙන් ගත් කල, Linux සේවාදායකයක BIND, Unbound සහ dnsmasq වැනි පැකේජ භාවිතා කිරීමෙන් ප්රහාරයක් සිදු කළ හැකිය. වින්ඩෝස් සහ BSD පද්ධති මත ධාවනය වන DNS සේවාදායකයන් මත ගැටළුව දිස් නොවේ. ප්රහාරයක් සාර්ථකව සිදු කිරීම සඳහා, එය IP spoofing භාවිතා කිරීම අවශ්ය වේ, i.e. ප්රහාරකයාගේ ISP ව්යාජ මූලාශ්ර IP ලිපිනයක් සහිත පැකට් අවහිර නොකිරීම අවශ්ය වේ.
මතක් කිරීමක් ලෙස, SAD DNS ප්රහාරය 2008 දී Dan Kaminsky විසින් යෝජනා කරන ලද සම්භාව්ය DNS හැඹිලි විෂ ක්රමය අවහිර කිරීම සඳහා DNS සේවාදායකයන් වෙත එක් කරන ලද ආරක්ෂණයන් මග හරියි. Kaminsky ගේ ක්රමය මඟින් DNS විමසුම් හැඳුනුම් ක්ෂේත්රයේ කුඩා ප්රමාණය හසුරුවයි, එය බිටු 16ක් පමණි. ධාරක නාමය වංචා කිරීම සඳහා අවශ්ය නිවැරදි DNS ගනුදෙනු හැඳුනුම්කාරකය තේරීමට, එය ආසන්න වශයෙන් ඉල්ලීම් 7000ක් යැවීමට සහ ව්යාජ ප්රතිචාර 140ක් පමණ අනුකරණය කිරීමට ප්රමාණවත් වේ. ප්රහාරය මනඃකල්පිත IP බන්ධනයක් සහිත සහ විවිධ DNS ගනුදෙනු හඳුනාගැනීම් සහිත පැකට් විශාල ප්රමාණයක් DNS විසඳුම වෙත යැවීම දක්වා පහත වැටේ. පළමු ප්රතිචාරය හැඹිලිගත වීම වැලැක්වීමට, සෑම ව්යාජ ප්රතිචාරයකම තරමක් වෙනස් කරන ලද වසම් නාමයක් අඩංගු වේ (1.example.com, 2.example.com, 3.example.com, ආදිය).
මෙම ආකාරයේ ප්රහාරයෙන් ආරක්ෂා වීම සඳහා, DNS සේවාදායක නිෂ්පාදකයින් විසින් විභේදන ඉල්ලීම් යවන මූලාශ්ර ජාල වරායන් සංඛ්යා අහඹු ලෙස බෙදා හැරීමක් ක්රියාවට නංවන ලද අතර, එය හඳුනාගැනීමේ ප්රමාණවත් නොවන විශාල ප්රමාණයට වන්දි ගෙවන ලදී. කල්පිත ප්රතිචාරයක් යැවීම සඳහා ආරක්ෂාව ක්රියාත්මක කිරීමෙන් පසු, 16-bit හඳුනාගැනීමක් තෝරාගැනීමට අමතරව, වරායන් 64 න් එකක් තෝරා ගැනීම අවශ්ය විය, එමඟින් තේරීම සඳහා විකල්ප ගණන 2^32 දක්වා වැඩි විය.
SAD DNS ක්රමය මඟින් ජාල වරාය අංකය තීරණය කිරීම රැඩිකල් ලෙස සරල කිරීමට සහ ප්රහාරය සම්භාව්ය Kaminsky ක්රමයට අඩු කිරීමට ඉඩ සලසයි. ප්රහාරකයෙකුට ICMP ප්රතිචාර පැකට් සැකසීමේදී ජාල වරායන්හි ක්රියාකාරකම් පිළිබඳ කාන්දු වූ තොරතුරුවලින් ප්රයෝජන ගැනීමෙන් භාවිතයට නොගත් සහ සක්රිය UDP වරායන් වෙත ප්රවේශය හඳුනාගත හැකිය. 4^2 වෙනුවට 16^2+16^2 (32_131_072_4 වෙනුවට 294_967) විශාලත්වයේ ඇණවුම් 296 කින් සෙවුම් විකල්ප ගණන අඩු කිරීමට ක්රමය අපට ඉඩ දෙයි. සක්රීය UDP වරායන් ඉක්මනින් තීරණය කිරීමට ඔබට ඉඩ සලසන තොරතුරු කාන්දු වීම සිදු වන්නේ ඛණ්ඩන ඉල්ලීම් (ICMP ඛණ්ඩනය අවශ්ය ධජය) හෝ යළි-යොමුවීම් (ICMP යළි-යොමුවීම් ධජය) සමඟ ICMP පැකට් සැකසීමේ කේතයේ දෝෂයක් හේතුවෙනි. එවැනි පැකට් යැවීමෙන් ජාල තොගයේ හැඹිලියේ තත්වය වෙනස් වන අතර, එමඟින් සේවාදායකයේ ප්රතිචාරය මත පදනම්ව, කුමන UDP වරාය සක්රියද සහ නැත්තේද යන්න තීරණය කිරීමට හැකි වේ.
ප්රහාරක අවස්ථාව: DNS නිරාකරණය කරන්නෙකු වසම් නාමයක් විසඳීමට උත්සාහ කරන විට, එය වසම සේවය කරන DNS සේවාදායකය වෙත UDP විමසුමක් යවයි. නිරාකරණය කරන්නා ප්රතිචාරයක් බලාපොරොත්තුවෙන් සිටින අතර, ප්රහාරකයෙකුට ඉල්ලීම යැවීමට භාවිතා කරන ලද මූලාශ්ර තොට අංකය ඉක්මනින් තීරණය කර එයට ව්යාජ ප්රතිචාරයක් යැවීම, IP ලිපින වංචාව භාවිතයෙන් වසම සේවය කරන DNS සේවාදායකය ලෙස පෙනී සිටිය හැක. DNS විසදුම්කරු විසින් ව්යාජ ප්රතිචාරයෙන් යවන ලද දත්ත හැඹිලිගත කරන අතර වසම් නාමය සඳහා වන අනෙකුත් සියලුම DNS ඉල්ලීම් සඳහා ප්රහාරකයා විසින් ආදේශ කරන ලද IP ලිපිනය යම් කාලයක් සඳහා ආපසු ලබා දෙනු ඇත.
මූලාශ්රය: opennet.ru