Sakelompok peneliti ti Universitas Tel Aviv sareng Pusat Interdisipliner di Herzliya (Israél) métode serangan anyar (), ngamungkinkeun anjeun ngagunakeun sagala résolusi DNS salaku amplifier lalu lintas, nyayogikeun tingkat amplifikasi dugi ka 1621 kali tina segi jumlah pakét (pikeun unggal pamundut anu dikirim ka solver, anjeun tiasa ngahontal 1621 pamundut anu dikirim ka server korban) sarta nepi ka 163 kali dina watesan lalulintas.
Masalahna aya hubunganana sareng ciri-ciri protokol sareng mangaruhan sadaya server DNS anu ngadukung pamrosésan query rekursif, kalebet. (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), kitu ogé jasa DNS publik Google, Cloudflare, Amazon, Quad9, ICANN jeung pausahaan séjén. Perbaikan ieu dikoordinasikeun sareng pamekar server DNS, anu sakaligus ngaluarkeun apdet pikeun ngalereskeun kerentanan dina produkna. panyalindungan serangan dilaksanakeun dina release
, , , .
Serangan didasarkeun kana panyerang ngagunakeun pamenta anu ngarujuk kana sajumlah ageung rékaman NS fiktif anu teu katingali sateuacana, anu didelegasikeun tekad nami, tapi tanpa netepkeun rékaman lem kalayan inpormasi ngeunaan alamat IP server NS dina réspon. Contona, panyerang ngirimkeun pamundut pikeun ngabéréskeun nami sd1.attacker.com ku cara ngadalikeun server DNS anu tanggung jawab kana domain attacker.com. Pikeun ngaréspon pamundut panyusun ka server DNS panyerang, réspon dikaluarkeun anu ngawakilan tekad alamat sd1.attacker.com ka pangladén DNS korban ku nunjukkeun rékaman NS dina réspon tanpa detil pangladén IP NS. Kusabab server NS anu disebatkeun teu acan kapendak sateuacanna sareng alamat IP na henteu ditangtukeun, solver nyobian nangtukeun alamat IP tina server NS ku ngirim patarosan ka server DNS korban anu nyayogikeun domain target (victim.com).
Masalahna nyaéta panyerang tiasa ngaréspon kalayan daptar ageung server NS anu henteu diulang kalayan nami subdomain korban fiktif anu teu aya (fake-1.victim.com, fake-2.victim.com,...fake-1000. korban.com). Resolver bakal nyobian ngirim pamundut ka server DNS korban, tapi bakal nampi réspon yén domain henteu kapendak, saatos éta bakal nyobian nangtukeun server NS salajengna dina daptar, sareng saterasna dugi ka parantos nyobian sadayana. Rékaman NS didaptarkeun ku panyerang. Sasuai, pikeun pamundut hiji panyerang urang, solver bakal ngirim sajumlah badag requests pikeun nangtukeun host NS. Kusabab ngaran server NS dihasilkeun sacara acak sarta nujul kana subdomains non-existent, aranjeunna henteu dicandak tina cache sarta unggal pamundut ti panyerang ngakibatkeun flurry of requests ka server DNS porsi domain korban.
Peneliti diajar darajat kerentanan of resolvers DNS umum kana masalah jeung ditangtukeun yén nalika ngirim queries ka resolver CloudFlare (1.1.1.1), kasebut nyaéta dimungkinkeun pikeun ngaronjatkeun jumlah pakét (PAF, Packet Amplification Factor) ku 48 kali, Google. (8.8.8.8) - 30 kali, FreeDNS (37.235.1.174) - 50 kali, OpenDNS (208.67.222.222) - 32 kali. indikator leuwih noticeable dititénan pikeun
Level3 (209.244.0.3) - 273 kali, Quad9 (9.9.9.9) - 415 kali
SafeDNS (195.46.39.39) - 274 kali, Verisign (64.6.64.6) - 202 kali,
Ultra (156.154.71.1) - 405 kali, Comodo Secure (8.26.56.26) - 435 kali, DNS.Watch (84.200.69.80) - 486 kali, sarta Norton ConnectSafe (199.85.126.10) - 569 kali. Pikeun server dumasar kana ngabeungkeut 9.12.3, alatan parallelization of requests, tingkat gain bisa ngahontal nepi ka 1000. Dina Knot Resolver 5.1.0, tingkat gain kira sababaraha puluhan kali (24-48), saprak tekad tina Ngaran NS dipigawé sequentially sarta rests on wates internal dina Jumlah hambalan resolusi ngaran diwenangkeun pikeun hiji pamundut.
Aya dua strategi pertahanan utama. Pikeun sistem sareng DNSSEC ngagunakeun pikeun nyegah DNS cache bypass sabab requests dikirim kalawan ngaran acak. Inti tina metodeu nyaéta pikeun ngahasilkeun réspon négatip tanpa ngahubungi server DNS anu otoritatif, ngagunakeun pamariksaan rentang via DNSSEC. Pendekatan anu langkung saderhana nyaéta ngawatesan jumlah nami anu tiasa didefinisikeun nalika ngolah pamundut anu didelegasikeun, tapi metode ieu tiasa nyababkeun masalah sareng sababaraha konfigurasi anu tos aya kusabab watesna henteu ditetepkeun dina protokol.
sumber: opennet.ru