Sehlopha sa bafuputsi ba tsoang Univesithing ea Tel Aviv le Setsi sa Interdisciplinary se Herzliya (Israel)
Bothata bo amana le likarolo tse ikhethang tsa protocol mme e ama li-server tsohle tsa DNS tse tšehetsang ts'ebetso ea lipotso tse iphetang, ho kenyeletsoa.
Tlhaselo e ipapisitse le mohlaseli ea sebelisang likopo tse buang ka palo e kholo ea lirekoto tsa NS tse iqapetsoeng tse neng li sa bonoe, tseo lebitso la tsona le abetsoeng, empa ntle le ho hlakisa lirekoto tsa sekhomaretsi tse nang le tlhahisoleseling mabapi le liaterese tsa IP tsa li-server tsa NS karabong. Ka mohlala, mohlaseli o romela potso ho rarolla lebitso sd1.attacker.com ka ho laola seva sa DNS se ikarabellang bakeng sa sebaka sa attacker.com. Ho arabela kopo ea mohlahlobi ho seva sa DNS sa mohlaseli, ho fanoa ka karabelo e fanang ka qeto ea aterese ea sd1.attacker.com ho seva sa DNS sa motho ea hlasetsoeng ka ho bontša lirekoto tsa NS karabong ntle le ho qaqisa li-server tsa IP NS. Kaha seva sa NS se boletsoeng ha se so kopane le aterese ea eona ea IP e sa hlalosoang, mofetoleli o leka ho fumana aterese ea IP ea seva sa NS ka ho romella potso ho seva sa DNS sa motho ea hlasetsoeng se sebeletsang sebaka se lebisitsoeng (victim.com).
Bothata ke hore mohlaseli a ka arabela ka lethathamo le leholo la li-server tsa NS tse sa pheteheng tse nang le mabitso a seng a le teng a iqapetsoeng a mahlatsipa (fake-1.victim.com, fake-2.victim.com,... fake-1000. victim.com). Mofetoheli o tla leka ho romela kopo ho seva sa DNS ea motho ea hlokofalitsoeng, empa o tla fumana karabo ea hore sebaka sa marang-rang ha sea fumanoa, ka mor'a moo se tla leka ho tseba hore na seva se latelang sa NS se lethathamong, joalo-joalo ho fihlela se lekile tsohle. Lirekoto tsa NS tse thathamisitsoeng ke mohlaseli. Ka hona, bakeng sa kopo ea mohlaseli a le mong, mohanyetsi o tla romela palo e kholo ea likopo ho tseba hore na mabotho a NS. Kaha mabitso a li-server tsa NS a hlahisoa ka mokhoa o sa reroang 'me a bua ka li-subdomain tse seng teng, ha li fumanehe ho tsoa ho cache mme kopo e' ngoe le e 'ngoe e tsoang ho mohlaseli e hlahisa likopo tse ngata ho seva sa DNS se sebeletsang sebaka sa phofu.
Bafuputsi ba ithutile tekanyo ea ho ba kotsing ea bahlaseli ba DNS ea sechaba bothateng mme ba etsa qeto ea hore ha u romela lipotso ho CloudFlare solver (1.1.1.1), hoa khoneha ho eketsa palo ea lipakete (PAF, Packet Amplification Factor) ka makhetlo a 48, Google (8.8.8.8) - makhetlo a 30, FreeDNS (37.235.1.174) - makhetlo a 50, OpenDNS (208.67.222.222) - makhetlo a 32. Matšoao a hlokomelehang haholoanyane a hlokomeloa bakeng sa
Level3 (209.244.0.3) - makhetlo a 273, Quad9 (9.9.9.9) - makhetlo a 415
SafeDNS (195.46.39.39) - makhetlo a 274, Verisign (64.6.64.6) - linako tse 202,
Ultra (156.154.71.1) - 405 linako, Comodo Secure (8.26.56.26) - 435 linako, DNS.Watch (84.200.69.80) - 486 linako, le Norton ConnectSafe (199.85.126.10) - makhetlo a 569. Bakeng sa li-server tse thehiloeng ho BIND 9.12.3, ka lebaka la ho lumellana ha likopo, boemo ba phaello bo ka fihla ho 1000. Ho Knot Resolver 5.1.0, boemo ba phaello bo ka ba makhetlo a mashome a 'maloa (24-48), ho tloha ha ho etsoa qeto ea Mabitso a NS a etsoa ka tatellano 'me a itšetlehile ka moeli oa ka hare ho palo ea mehato ea ho rarolla mabitso e lumelletsoeng bakeng sa kopo e le' ngoe.
Ho na le mekhoa e 'meli e meholo ea tšireletso. Bakeng sa litsamaiso tse nang le DNSSEC
Source: opennet.ru