ProHoster > Blog > talafou initaneti > NXNSAttack osofaʻiga e aʻafia uma DNS fofo

NXNSAttack osofaʻiga e aʻafia uma DNS fofo

O se vaega o tagata suʻesuʻe mai le Iunivesite o Tel Aviv ma le Interdisciplinary Center i Herzliya (Isaraelu) ua atiina ae auala fou osofa'i NXNSAtack (PDF), fa'atagaina oe e fa'aogaina so'o se DNS fa'amalieina e fai ma fa'atuputeleina o fefa'ataua'iga, tu'uina atu se fua fa'alautele e o'o atu i le 1621 taimi e tusa ai ma le aofa'i o pepa (mo talosaga ta'itasi e lafo atu i le tagata fo'i, e mafai ona e ausia 1621 talosaga e lafo i le 'au'aunaga a le tagata manu'a) ma e oo atu i le 163 taimi i tulaga o feoaiga.

O le faʻafitauli e fesoʻotaʻi ma uiga faʻapitoa o le protocol ma aʻafia uma DNS servers e lagolagoina le toe faʻaaogaina o fesili, e aofia ai LINI (CVE-2020-8616) Atoatoa (CVE-2020-12667) Malosiaga (CVE-2020-10995) Windows DNS Server и Unbound (CVE-2020-12662), faʻapea foʻi ma auaunaga DNS lautele a Google, Cloudflare, Amazon, Quad9, ICANN ma isi kamupani. O le faʻaleleia na faʻamaopoopoina ma DNS server developers, o loʻo tuʻuina atu i le taimi lava e tasi faʻafouga e faʻaleleia ai le vaivai i a latou oloa. Puipuiga osofa'i fa'atinoina i fa'asalalauga
Le fusia 1.10.1, Knot Resolver 5.1.1, PowerDNS Recursor 4.3.1, 4.2.2, 4.1.16, NOFOAIGA 9.11.19, 9.14.12, 9.16.3.

O le osofaʻiga e faʻavae i luga o le osofaʻiga e faʻaaoga ai talosaga e faʻatatau i se numera tele o faʻamaumauga faʻamaonia NS e leʻi vaʻaia muamua, lea e tuʻuina atu ai le filifiliga igoa, ae aunoa ma le faʻamaonia o faʻamaumauga faʻapipiʻi ma faʻamatalaga e uiga i tuatusi IP o NS servers i le tali. Mo se faʻataʻitaʻiga, e tuʻuina atu e se tagata osofaʻi se fesili e foia ai le igoa sd1.attacker.com e ala i le puleaina o le DNS server e nafa ma le attacker.com domain. I le tali atu i le talosaga a le tagata e foia i le DNS server, e tuʻuina atu se tali e tuʻuina atu ai le faʻamautuina o le sd1.attacker.com tuatusi i le DNS server a le tagata manua e ala i le faʻaalia o faamaumauga NS i le tali e aunoa ma le faʻamalamalamaina o le IP NS servers. Talu ai e leʻi faʻafeiloaʻi muamua le server NS lea e taʻua ma e leʻo faʻamaonia lona tuatusi IP, e taumafai le tagata e faʻamalieina e fuafua le tuatusi IP o le NS server e ala i le tuʻuina atu o se fesili i le DNS server a le tagata manua o loʻo tautua i le vaega faʻatatau (victim.com).

NXNSAttack osofaʻiga e aʻafia uma DNS fofo

O le faʻafitauli e mafai e le tagata osofaʻi ona tali atu i se lisi tele o 'auʻaunaga NS e le o toe faia faʻatasi ai ma igoa faʻaleagaina faʻaleagaina e le o iai (fake-1.victim.com, fake-2.victim.com,... fake-1000. victim.com). O le a taumafai le tagata fofo e lafo se talosaga i le DNS server a le tagata manua, ae o le a maua se tali e leʻi maua le domain, a maeʻa ona taumafai lea e fuafua le isi NS server i le lisi, ma faʻasolo atu seia oʻo ina taumafai uma. NS faʻamaumauga na lisiina e le tagata osofaʻi. E tusa ai ma lea, mo le talosaga a le tagata osofaʻi, o le a tuʻuina atu e le tagata faʻatonu se numera tele o talosaga e faʻamaonia ai le au NS. Talu ai o igoa o le server NS e faʻatupu faʻafuaseʻi ma faʻasino i subdomains e le o iai, e le toe maua mai i le faʻaoga ma o talosaga taʻitasi mai le osofaʻiga e maua ai le tele o talosaga i le DNS server o loʻo tautuaina le vaega a le tagata manua.

NXNSAttack osofaʻiga e aʻafia uma DNS fofo

Sa suʻesuʻeina e le au suʻesuʻe le maualuga o le faʻafitauli o tagata DNS faʻasalalau lautele i le faʻafitauli ma faʻamoemoe pe a tuʻuina atu fesili i le CloudFlare solver (1.1.1.1), e mafai ona faʻateleina le numera o pepa (PAF, Packet Amplification Factor) e 48 taimi, Google (8.8.8.8) - 30 taimi, FreeDNS (37.235.1.174) - 50 taimi, OpenDNS (208.67.222.222) - 32 taimi. O lo'o mataituina fa'ailoga mata'ina mo
Level3 (209.244.0.3) - 273 taimi, Quad9 (9.9.9.9) - 415 taimi
SafeDNS (195.46.39.39) - 274 taimi, Verisign (64.6.64.6) - 202 taimi,
Ultra (156.154.71.1) - 405 taimi, Comodo Secure (8.26.56.26) - 435 taimi, DNS.Watch (84.200.69.80) - 486 taimi, ma Norton ConnectSafe (199.85.126.10) - 569 taimi. Mo 'auʻaunaga e faʻavae i luga ole BIND 9.12.3, ona o le faʻatusatusaina o talosaga, e mafai ona oʻo atu i le 1000 le maualuga o tupe maua. I le Knot Resolver 5.1.0, o le maualuga o le maua e tusa ma le tele o sefulu taimi (24-48), talu mai le fuafuaina o le O igoa NS e fa'atino fa'asolosolo ma fa'alagolago i le tapula'a fa'alotoifale i luga ole numera o la'asaga fa'ai'uga o igoa e fa'atagaina mo le talosaga e tasi.

E lua auala autu o le puipuiga. Mo faiga fa'atasi ma DNSSEC faatuina faʻaaoga RFC-8198 e puipuia ai le fa'aogaina o le cache DNS ona o talosaga e lafo i igoa fa'afuase'i. O le ute o le auala o le faʻatupuina o tali le lelei e aunoa ma le faʻafesoʻotaʻi faʻauluuluga DNS, faʻaogaina le vaʻaiga siaki e ala ile DNSSEC. O se auala sili atu ona faigofie o le faʻatapulaʻaina o le numera o igoa e mafai ona faʻamalamalamaina pe a faʻagasolo se talosaga tuʻufaʻatasia e tasi, ae o lenei metotia e mafai ona mafua ai faʻafitauli i nisi o faʻasalalauga o loʻo iai ona e le o faʻamatalaina tapulaʻa i totonu o le protocol.

puna: opennet.ru

Faaopoopo i ai se faamatalaga