Група истраживача са Универзитета у Тел Авиву и Интердисциплинарног центра у Херцлији (Израел) нови метод напада (), омогућавајући вам да користите било које ДНС разрешиваче као појачиваче саобраћаја, обезбеђујући стопу појачавања до 1621 пута у смислу броја пакета (за сваки захтев послат разрешивачу, можете постићи 1621 захтев који се шаље на сервер жртве) а по промету до 163 пута.
Проблем је повезан са специфичностима протокола и утиче на све ДНС сервере који подржавају рекурзивну обраду упита, укључујући (ЦВЕ-2020-8616), (ЦВЕ-2020-12667), (ЦВЕ-2020-10995), и (ЦВЕ-2020-12662), као и јавне ДНС услуге Гоогле, Цлоудфларе, Амазон, Куад9, ИЦАНН и других компанија. Исправка је координирана са програмерима ДНС сервера, који су истовремено објавили исправке како би поправили рањивост у својим производима. Заштита од напада имплементирана у издањима
, , , .
Напад се заснива на томе да нападач користи захтеве који се односе на велики број раније невидљивих фиктивних НС записа, којима је делегирано одређивање имена, али без навођења лепљивих записа са информацијама о ИП адресама НС сервера у одговору. На пример, нападач шаље упит да разреши име сд1.аттацкер.цом тако што контролише ДНС сервер одговоран за домен нападача.цом. Као одговор на захтев разрешивача упућен ДНС серверу нападача, издаје се одговор који делегира одређивање сд1.аттацкер.цом адресе на ДНС сервер жртве навођењем НС записа у одговору без детаља о ИП НС серверима. Пошто се поменути НС сервер раније није сретао и његова ИП адреса није наведена, разрешивач покушава да одреди ИП адресу НС сервера тако што шаље упит ДНС серверу жртве који опслужује циљни домен (жртва.цом).
Проблем је у томе што нападач може да одговори огромном листом НС сервера који се не понављају са непостојећим фиктивним именима поддомена жртве (факе-1.вицтим.цом, факе-2.вицтим.цом,... факе-1000. жртва.цом). Ресолвер ће покушати да пошаље захтев ДНС серверу жртве, али ће добити одговор да домен није пронађен, након чега ће покушати да одреди следећи НС сервер на листи, и тако све док не покуша све НС записи које је навео нападач. Сходно томе, за један захтев нападача, разрешивач ће послати огроман број захтева за одређивање НС домаћина. Пошто се имена НС сервера генеришу насумично и односе се на непостојеће поддомене, они се не преузимају из кеша и сваки захтев од нападача резултира налетом захтева ка ДНС серверу који опслужује домен жртве.
Истраживачи су проучавали степен рањивости јавних ДНС разрешивача на проблем и утврдили да је приликом слања упита ЦлоудФларе разрешивачу (1.1.1.1) могуће повећати број пакета (ПАФ, Пацкет Амплифицатион Фацтор) за 48 пута, Гоогле (8.8.8.8) - 30 пута, ФрееДНС (37.235.1.174) - 50 пута, ОпенДНС (208.67.222.222) - 32 пута. Уочљивији показатељи се посматрају за
Левел3 (209.244.0.3) - 273 пута, Куад9 (9.9.9.9) - 415 пута
СафеДНС (195.46.39.39) - 274 пута, Верисигн (64.6.64.6) - 202 пута,
Ултра (156.154.71.1) - 405 пута, Цомодо Сецуре (8.26.56.26) - 435 пута, ДНС.Ватцх (84.200.69.80) - 486 пута и Нортон ЦоннецтСафе (199.85.126.10) - 569 За сервере засноване на БИНД 9.12.3, због паралелизације захтева, ниво појачања може да достигне и до 1000. У Кнот Ресолвер 5.1.0 ниво појачања је отприлике неколико десетина пута (24-48), од одређивања НС имена се изводе секвенцијално и ослањају се на интерно ограничење броја корака за решавање имена дозвољених за један захтев.
Постоје две главне стратегије одбране. За системе са ДНССЕЦ користите да спречи заобилажење ДНС кеша јер се захтеви шаљу са насумичним именима. Суштина методе је да генерише негативне одговоре без контактирања ауторитативних ДНС сервера, користећи проверу опсега преко ДНССЕЦ-а. Једноставнији приступ је да се ограничи број имена која се могу дефинисати приликом обраде једног делегираног захтева, али овај метод може изазвати проблеме са неким постојећим конфигурацијама јер ограничења нису дефинисана у протоколу.
Извор: опеннет.ру