ProHoster > Blog > talafou initaneti > Ole osofa'iga fou ole SAD DNS e fa'aofi fa'amatalaga pepelo ile DNS cache

Ole osofa'iga fou ole SAD DNS e fa'aofi fa'amatalaga pepelo ile DNS cache

O se vaega o tagata suŹ»esuŹ»e mai le Iunivesite o Kalefonia, Riverside ua faŹ»asalalau se suiga fou o le osofaŹ»iga a le SAD DNS (CVE-2021-20322) e galue e ui lava i puipuiga na faŹ»aopoopo i le tausaga talu ai e poloka ai le CVE-2020-25705 vaivai. O le auala fou e masani lava e tutusa ma le vaivai o le tausaga talu ai ma e ese mai i le faŹ»aaogaina o se isi ituaiga o pusa ICMP e siaki ai pusa UDP galue. O le osofaŹ»iga fuafuaina e mafai ai ona suitulaga faŹ»amatalaga faŹ»amaonia i totonu o le DNS server cache, lea e mafai ona faŹ»aaogaina e sui ai le tuatusi IP o se vaega faŹ»apitoa i totonu o le cache ma toe faŹ»afeiloaŹ»i talosaga i le vaega i le server a le tagata osofaia.

E na'o totonu lava o le network stack e aoga ai le metotia ua fautuaina. Linux ona o le fesootaŹ»iga i uiga faŹ»apitoa o le faŹ»agaioiga o le faiga faŹ»agasologa o le ICMP packet i totonu Linux, lea e fai ma puna o le tafe o faŹ»amatalaga e faŹ»afaigofie ai le fuafuaina o le numera o le uafu UDP e faŹ»aaogaina server e lafo se talosaga mai fafo. Ua talia suiga e poloka ai faŹ»amatalaga ua faŹ»asalalauina i totonu o le kernel. Linux I le faaiuga o Aokuso (sa aofia ai le faaleleiga i le kernel 5.15 ma le faafouga o le kernel LTS ia Setema). O le faaleleiga e aofia ai le sui i le algorithm hashing a le SipHash mo network caches nai lo le Jenkins Hash. O le tulaga o le faaleleiga o le vaivaiga i tufatufaga e mafai ona iloiloina i nei itulau: Debian, RHEL, Fedora, SUSE, Ubuntu.

E tusa ai ma le au suŹ»esuŹ»e na faŹ»ailoa mai le faŹ»afitauli, e tusa ma le 38% o open resolvers i luga o le network e vaivai, e aofia ai auaunaga DNS lauiloa e pei o le OpenDNS ma le Quad9 (9.9.9.9). Ae mo polokalama faakomepiuta a le server, e mafai ona faŹ»atinoina le osofaŹ»iga e faŹ»aaoga ai Linux-afifi 'au'aunaga e pei o le BIND, Unbound, ma le dnsmasq. I luga o 'au'aunaga DNS o lo'o fa'agaoioia e fa'aaoga ai Windows ma faiga BSD, e le aliali mai le faŹ»afitauli. O se osofaŹ»iga manuia e manaŹ»omia ai le faŹ»aseseina o IP, o lona uiga e le tatau i le ISP a le tagata osofaŹ»i ona poloka afifi o loŹ»o i ai se tuatusi IP puna faŹ»asese.

I le avea ai o se faŹ»amanatuga, o le osofaŹ»iga a le SAD DNS e faŹ»afeiloaŹ»i puipuiga faŹ»aopoopo i DNS servers e poloka ai le auala masani o le DNS cache poisoning na fuafuaina i le 2008 e Dan Kaminsky. O le auala a Kaminsky e faŹ»aogaina ai le laŹ»ititi laŹ»ititi o le DNS query ID field, lea e naŹ»o le 16 bits. Ina ia filifilia le faŹ»amatalaga saŹ»o o fefaŹ»atauaiga a DNS e manaŹ»omia mo le faŹ»ailogaina o igoa o le talimalo, ua lava le tuŹ»uina atu o le tusa ma le 7000 talosaga ma faŹ»ataŹ»itaŹ»iina e uiga i le 140 tali pepelo. O le osofaŹ»iga e faŹ»afefe i lalo i le auina atu o se numera tele o paŹ»u faŹ»atasi ma se IP faŹ»amaonia faŹ»amaonia ma faŹ»atasi ai ma faŹ»amatalaga fefaŹ»atauaŹ»iga DNS eseese i le DNS resolver. Ina ia taofia le fa'aogaina o le tali muamua, o tali fa'afoliga ta'itasi o lo'o i ai se igoa fa'apitonu'u teisi suiga (1.example.com, 2.example.com, 3.example.com, etc.).

Ina ia puipuia mai lenei ituaiga o osofaŹ»iga, na faŹ»atinoina e le au faŹ»apipiŹ»i DNS se tufatufaina faŹ»afuaseŹ»i o numera o ports fesoŹ»otaŹ»iga puna mai lea e auina atu ai talosaga mo iugafono, lea e totogi ai le le lava tele o le faŹ»amatalaga. Ina ua maeŹ»a le faŹ»atinoina o le puipuiga mo le tuŹ»uina atu o se tali faŹ»apitoa, faŹ»aopoopo i le filifilia o se faŹ»amatalaga 16-bit, na tatau ai ona filifili se tasi o le 64 afe ports, lea na faŹ»ateleina ai le numera o filifiliga mo filifiliga i le 2 ^ 32.

O le SAD DNS metotia e mafai ai ona e faŹ»afaigofieina le faŹ»amautuina o le numera o fesoŹ»otaŹ»iga telefoni ma faŹ»aitiitia le osofaŹ»iga i le auala masani a Kaminsky. E mafai e se tagata osofaŹ»i ona iloa le avanoa i ports UDP e leŹ»i faŹ»aaogaina ma galue e ala i le faŹ»aogaina o faŹ»amatalaga liki e uiga i le gaioiga o vaŹ»a fesoŹ»otaŹ»iga pe a faŹ»agaioia pusa tali ICMP. O le metotia e mafai ai ona faŹ»aititia le numera o suŹ»esuŹ»ega filifiliga e 4 poloaiga o le tele - 2 ^ 16 + 2 ^ 16 nai lo le 2 ^ 32 (131_072 nai lo le 4_294_967_296). O le liki o faŹ»amatalaga e mafai ai ona e vave faŹ»amaonia ports UDP malosi e mafua mai i se faŹ»aletonu i le code mo le faŹ»aogaina o paŹ»u ICMP ma talosaga vaevaega (ICMP Fragmentation Needed flag) poŹ»o le toe faŹ»afeiloaŹ»i (ICMP Redirect flag). O le auina atu o ia afifi e suia ai le tulaga o le cache i totonu o le upega o fesoŹ»otaŹ»iga, lea e mafai ai ona fuafua, e faŹ»avae i luga o le tali a le 'auŹ»aunaga, poŹ»o fea le UDP port o loŹ»o galue ma e leai.

Tulaga o le osofaŹ»iga: A taumafai se DNS resolver e foŹ»ia se igoa ole domain, e auina atu se fesili UDP i le DNS server e taulimaina le domain. A o faŹ»atali le resolver mo se tali, e mafai e se tagata osofaŹ»i ona vave iloa le numera o le port source na faŹ»aaogaina e lafo ai le fesili ma lafo atu se tali pepelo, e faŹ»atagā o le DNS server e taulimaina le domain e faŹ»aaoga ai le spoofing. tuatusi IPO le DNS resolver o le a teuina fa'amaumauga na tu'uina atu i le tali fa'afoliga ma, mo se vaitaimi, o le a toe fa'afo'i mai le tuatusi IP na suia e le tagata osofa'i i isi fesili uma a le DNS mo le igoa ole domain.

puna: opennet.ru

FaŹ»atau talimalo faŹ»atuatuaina mo nofoaga ma DDoS puipuiga, VPS VDS servers šŸ”„ Fa'atau le 'upega tafa'ilagi talimalo fa'atuatuaina ma le puipuiga DDoS, 'au'aunaga VPS VDS | ProHoster