Sehlopha sa bafuputsi ba Univesithi ea California, Riverside e phatlalalitse mofuta o mocha oa tlhaselo ea SAD DNS (CVE-2021-20322) e sebetsang ho sa tsotellehe tšireletso e ekelitsoeng selemong se fetileng ho thibela ts'oaetso ea CVE-2020-25705. Mokhoa o mocha ka kakaretso o ts'oana le ho ba kotsing ea selemo se fetileng mme o fapana feela ts'ebeliso ea mefuta e fapaneng ea lipakete tsa ICMP ho lekola likou tse sebetsang tsa UDP. Tlhaselo e reriloeng e lumella ho nkeloa sebaka ha data e iqapetsoeng ka har'a cache ea seva ea DNS, e ka sebelisoang ho nkela aterese ea IP ea sebaka se ikemetseng ka har'a cache le ho khutlisetsa likopo sebakeng sa marang-rang ho seva sa mohlaseli.
Mokhoa o reriloeng o sebetsa feela sethaleng sa marang-rang sa Linux ka lebaka la khokahano ea eona le tse ikhethang tsa mochini oa ts'ebetso ea pakete ea ICMP ho Linux, e sebetsang e le mohloli oa ho lutla ha data ho nolofatsang boikemisetso ba nomoro ea boema-kepe ea UDP e sebelisoang ke seva ho romella. kopo ya kantle. Liphetoho tse thibelang ho lutla ha tlhahisoleseling li ile tsa amoheloa kernel ea Linux qetellong ea Phato (tokiso e kenyellelitsoe ho kernel 5.15 le liapdeite tsa Loetse ho makala a LTS a kernel). Tokiso e theohela ho fetola ho sebelisa SipHash hashing algorithm ho li-cache tsa marang-rang ho e-na le Jenkins Hash. Boemo ba ho lokisa bofokoli liphatlalatsong bo ka hlahlojoa maqepheng ana: Debian, RHEL, Fedora, SUSE, Ubuntu.
Ho ea ka bafuputsi ba hlokometseng bothata, hoo e ka bang 38% ea li-solvents tse bulehileng marang-rang li kotsing, ho kenyelletsa le litšebeletso tse tummeng tsa DNS tse kang OpenDNS le Quad9 (9.9.9.9). Ha e le software ea seva, tlhaselo e ka etsoa ka ho sebelisa liphutheloana tse kang BIND, Unbound le dnsmasq ho seva sa Linux. Bothata ha bo hlahe ho li-server tsa DNS tse sebetsang ho litsamaiso tsa Windows le BSD. Ho phethahatsa tlhaselo ka katleho, hoa hlokahala ho sebelisa IP spoofing, i.e. hoa hlokahala hore ISP ea mohlaseli e se ke ea thibela lipakete tse nang le aterese ea IP ea fake.
E le khopotso, tlhaselo ea SAD DNS e feta litšireletso tse kentsoeng ho li-server tsa DNS ho thibela mokhoa oa khale oa chefo oa cache oa DNS o hlahisitsoeng ka 2008 ke Dan Kaminsky. Mokhoa oa Kaminsky o laola boholo bo bonyenyane ba sebaka sa ID sa potso ea DNS, e leng li-bits tse 16 feela. Ho khetha sekhetho se nepahetseng sa transaction sa DNS se hlokahalang bakeng sa ho senya lebitso la moamoheli, ho lekane ho romella likopo tse ka bang 7000 le ho etsisa likarabo tse ka bang likete tse 140 tse iqapetsoeng. Tlhaselo e fella ka ho romela palo e kholo ea lipakete tse nang le IP e tlamang e iqapetsoeng le li-identifiers tse fapaneng tsa transaction ea DNS ho DNS solver. Ho thibela ho boloka karabo ea pele, karabo e 'ngoe le e' ngoe ea dummy e na le domain name e fetotsoeng hanyenyane (1.example.com, 2.example.com, 3.example.com, joalo-joalo).
Ho itšireletsa khahlanong le tlhaselo ea mofuta ona, bahlahisi ba li-server tsa DNS ba ile ba kenya ts'ebetsong kabo e sa reroang ea linomoro tsa likou tsa marang-rang tseo likopo tsa tharollo li romelloang ho tsona, tse lefelletseng boholo bo sa lekaneng ba sekhetho. Ka mor'a ho kenya ts'ebetsong tšireletso bakeng sa ho romela karabo e iqapetsoeng, ntle le ho khetha sekhetho sa 16-bit, ho ile ha hlokahala hore ho khethoe e 'ngoe ea likou tse likete tse 64, tse ileng tsa eketsa palo ea likhetho bakeng sa khetho ho 2 ^ 32.
Mokhoa oa SAD DNS o u lumella ho nolofatsa haholo boikemisetso ba nomoro ea marang-rang le ho fokotsa tlhaselo ho mokhoa oa khale oa Kaminsky. Motho ea hlaselang a ka lemoha ho fihlella likoung tsa UDP tse sa sebelisoeng le tse sebetsang ka ho sebelisa monyetla oa boitsebiso bo lutiloeng mabapi le mosebetsi oa likou tsa marang-rang ha o sebetsana le lipakete tsa likarabo tsa ICMP. Mokhoa ona o re lumella ho fokotsa palo ea likhetho tsa ho batla ka litaelo tse 4 tsa boholo - 2 ^ 16 + 2^ 16 ho e-na le 2^32 (131_072 ho e-na le 4_294_967_296). Ho lutla ha tlhahisoleseling ho u lumellang hore u tsebe ka potlako likou tsa UDP tse sebetsang ho bakoa ke bofokoli ba khoutu ea ho sebetsana le lipakete tsa ICMP tse nang le likopo tsa ho arohana ( ICMP Fragmentation Needed flag) kapa redirection (ICMP Redirect flag). Ho romela lipakete tse joalo ho fetola boemo ba cache ka har'a stack ea marang-rang, e leng se etsang hore ho khonehe ho tseba, ho itšetlehile ka karabo ea seva, e leng koung ea UDP e sebetsang le e sa sebetseng.
Boemo ba Tlhaselo: Ha DNS solver e leka ho rarolla domain name, e romela potso ea UDP ho seva sa DNS se sebeletsang sebaka seo. Ha mohlahlobi a ntse a emetse karabo, mohlaseli a ka tseba kapele hore na nomoro ea boema-kepe ea mohloli e sebelisitsoeng ho romella kopo le ho romela karabo e seng ea nnete ho eona, a etsa seva sa DNS se sebeletsang sebaka se sebelisa IP address spoofing. Motlatsi oa DNS o tla boloka data e rometsoeng ka karabo e seng ea nnete 'me ka nako e itseng e tla khutlisa aterese ea IP e nketsoeng sebaka ke mohlaseli bakeng sa likopo tse ling tsa DNS bakeng sa lebitso la domain.
Source: opennet.ru