Sakelompok peneliti ti Universitas Tel Aviv sareng Pusat Interdisipliner di Herzliya (Israél)
Masalahna aya hubunganana sareng ciri-ciri protokol sareng mangaruhan sadaya server DNS anu ngadukung pamrosésan query rekursif, kalebet.
Serangan didasarkeun kana panyerang ngagunakeun pamenta anu ngarujuk kana sajumlah ageung rékaman NS fiktif anu teu katingali sateuacana, anu didelegasikeun tekad nami, tapi tanpa netepkeun rékaman lem kalayan inpormasi ngeunaan alamat IP server NS dina réspon. Contona, panyerang ngirimkeun pamundut pikeun ngabéréskeun nami sd1.attacker.com ku cara ngadalikeun server DNS anu tanggung jawab kana domain attacker.com. Pikeun ngaréspon pamundut panyusun ka server DNS panyerang, réspon dikaluarkeun anu ngawakilan tekad alamat sd1.attacker.com ka pangladén DNS korban ku nunjukkeun rékaman NS dina réspon tanpa detil pangladén IP NS. Kusabab server NS anu disebatkeun teu acan kapendak sateuacanna sareng alamat IP na henteu ditangtukeun, solver nyobian nangtukeun alamat IP tina server NS ku ngirim patarosan ka server DNS korban anu nyayogikeun domain target (victim.com).
Masalahna nyaéta panyerang tiasa ngaréspon kalayan daptar ageung server NS anu henteu diulang kalayan nami subdomain korban fiktif anu teu aya (fake-1.victim.com, fake-2.victim.com,...fake-1000. korban.com). Resolver bakal nyobian ngirim pamundut ka server DNS korban, tapi bakal nampi réspon yén domain henteu kapendak, saatos éta bakal nyobian nangtukeun server NS salajengna dina daptar, sareng saterasna dugi ka parantos nyobian sadayana. Rékaman NS didaptarkeun ku panyerang. Sasuai, pikeun pamundut hiji panyerang urang, solver bakal ngirim sajumlah badag requests pikeun nangtukeun host NS. Kusabab ngaran server NS dihasilkeun sacara acak sarta nujul kana subdomains non-existent, aranjeunna henteu dicandak tina cache sarta unggal pamundut ti panyerang ngakibatkeun flurry of requests ka server DNS porsi domain korban.
Peneliti diajar darajat kerentanan of resolvers DNS umum kana masalah jeung ditangtukeun yén nalika ngirim queries ka resolver CloudFlare (1.1.1.1), kasebut nyaéta dimungkinkeun pikeun ngaronjatkeun jumlah pakét (PAF, Packet Amplification Factor) ku 48 kali, Google. (8.8.8.8) - 30 kali, FreeDNS (37.235.1.174) - 50 kali, OpenDNS (208.67.222.222) - 32 kali. indikator leuwih noticeable dititénan pikeun
Level3 (209.244.0.3) - 273 kali, Quad9 (9.9.9.9) - 415 kali
SafeDNS (195.46.39.39) - 274 kali, Verisign (64.6.64.6) - 202 kali,
Ultra (156.154.71.1) - 405 kali, Comodo Secure (8.26.56.26) - 435 kali, DNS.Watch (84.200.69.80) - 486 kali, sarta Norton ConnectSafe (199.85.126.10) - 569 kali. Pikeun server dumasar kana ngabeungkeut 9.12.3, alatan parallelization of requests, tingkat gain bisa ngahontal nepi ka 1000. Dina Knot Resolver 5.1.0, tingkat gain kira sababaraha puluhan kali (24-48), saprak tekad tina Ngaran NS dipigawé sequentially sarta rests on wates internal dina Jumlah hambalan resolusi ngaran diwenangkeun pikeun hiji pamundut.
Aya dua strategi pertahanan utama. Pikeun sistem sareng DNSSEC
sumber: opennet.ru