Skupina raziskovalcev z Univerze v Tel Avivu in Interdisciplinarnega centra v Herzliyi (Izrael) nova metoda napada (), ki vam omogoča uporabo poljubnih razreševalcev DNS kot ojačevalcev prometa, ki zagotavljajo stopnjo ojačanja do 1621-krat glede na število paketov (za vsako zahtevo, poslano razreševalniku, lahko dosežete 1621 zahtev, poslanih na strežnik žrtve) prometno pa do 163-krat.
Težava je povezana s posebnostmi protokola in vpliva na vse strežnike DNS, ki podpirajo rekurzivno obdelavo poizvedb, vključno z (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), kot tudi javne DNS storitve Google, Cloudflare, Amazon, Quad9, ICANN in drugih podjetij. Popravek je bil usklajen z razvijalci strežnikov DNS, ki so hkrati izdali posodobitve za odpravo ranljivosti v svojih izdelkih. Zaščita pred napadi implementirana v izdajah
, , , .
Napad temelji na tem, da napadalec uporablja zahteve, ki se nanašajo na veliko število prej nevidenih izmišljenih NS zapisov, na katere je delegirano določanje imena, vendar brez podajanja lepilnih zapisov z informacijami o IP naslovih NS strežnikov v odgovoru. Napadalec na primer pošlje poizvedbo za razrešitev imena sd1.attacker.com z nadzorom strežnika DNS, odgovornega za domeno attacker.com. Kot odgovor na zahtevo razreševalca do napadalčevega DNS strežnika je izdan odgovor, ki delegira določitev naslova sd1.attacker.com žrtvinem DNS strežniku tako, da v odgovoru navede zapise NS brez podrobnosti o strežnikih IP NS. Ker omenjenega NS strežnika še ni bilo mogoče srečati in njegov IP naslov ni naveden, razreševalec poskuša določiti IP naslov NS strežnika tako, da pošlje poizvedbo žrtvinem DNS strežniku, ki služi ciljni domeni (victim.com).
Težava je v tem, da lahko napadalec odgovori z ogromnim seznamom neponavljajočih se NS strežnikov z neobstoječimi izmišljenimi poddomenami žrtev (fake-1.victim.com, fake-2.victim.com,... fake-1000. žrtev.com). Reševalec bo poskušal poslati zahtevo strežniku DNS žrtve, vendar bo prejel odgovor, da domena ni bila najdena, nato pa bo poskušal določiti naslednji strežnik NS na seznamu in tako naprej, dokler ne bo preizkusil vseh Zapisi NS, ki jih je navedel napadalec. V skladu s tem bo razreševalec za eno zahtevo napadalca poslal ogromno število zahtev za določitev gostiteljev NS. Ker so imena strežnikov NS ustvarjena naključno in se nanašajo na neobstoječe poddomene, se ne pridobijo iz predpomnilnika in vsaka zahteva napadalca povzroči množico zahtev do strežnika DNS, ki služi domeni žrtve.
Raziskovalci so proučevali stopnjo ranljivosti javnih razreševalcev DNS za težavo in ugotovili, da je pri pošiljanju poizvedb v razreševalnik CloudFlare (1.1.1.1) možno povečati število paketov (PAF, Packet Amplification Factor) za 48-krat, Google (8.8.8.8) - 30-krat, FreeDNS (37.235.1.174) - 50-krat, OpenDNS (208.67.222.222) - 32-krat. Opaženi so opaznejši kazalniki
Level3 (209.244.0.3) - 273-krat, Quad9 (9.9.9.9) - 415-krat
SafeDNS (195.46.39.39) - 274-krat, Verisign (64.6.64.6) - 202-krat,
Ultra (156.154.71.1) - 405-krat, Comodo Secure (8.26.56.26) - 435-krat, DNS.Watch (84.200.69.80) - 486-krat in Norton ConnectSafe (199.85.126.10) - 569-krat. Za strežnike, ki temeljijo na BIND 9.12.3, lahko zaradi paralelizacije zahtev stopnja pridobitve doseže do 1000. V Knot Resolverju 5.1.0 je stopnja pridobitve približno več desetkrat (24-48), saj je določitev Imena NS se izvajajo zaporedno in temeljijo na notranji omejitvi števila dovoljenih korakov razrešitve imena za eno zahtevo.
Obstajata dve glavni obrambni strategiji. Za sisteme z DNSSEC uporabo da preprečite obhod predpomnilnika DNS, ker so zahteve poslane z naključnimi imeni. Bistvo metode je ustvariti negativne odgovore, ne da bi se obrnili na avtoritativne strežnike DNS, z uporabo preverjanja obsega prek DNSSEC. Enostavnejši pristop je omejitev števila imen, ki jih je mogoče definirati pri obdelavi posamezne delegirane zahteve, vendar lahko ta metoda povzroči težave z nekaterimi obstoječimi konfiguracijami, ker omejitve niso definirane v protokolu.
Vir: opennet.ru