En grupp forskare frÄn Tel Aviv University och Interdisciplinary Center i Herzliya (Israel) ny attackmetod (), vilket gör att du kan anvÀnda valfri DNS-upplösare som trafikförstÀrkare, vilket ger en förstÀrkningshastighet pÄ upp till 1621 gÄnger vad gÀller antalet paket (för varje begÀran som skickas till upplösaren kan du fÄ 1621 förfrÄgningar att skickas till offrets server) och upp till 163 gÄnger vad gÀller trafik.
Problemet Àr relaterat till protokollets egenheter och pÄverkar alla DNS-servrar som stöder rekursiv frÄgebehandling, inklusive (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) О (CVE-2020-12662), sÄvÀl som offentliga DNS-tjÀnster frÄn Google, Cloudflare, Amazon, Quad9, ICANN och andra företag. Korrigeringen koordinerades med DNS-serverutvecklare, som samtidigt slÀppte uppdateringar för att ÄtgÀrda sÄrbarheten i sina produkter. Attackskydd implementerat i releaser
, , , .
Attacken bygger pÄ att angriparen anvÀnder förfrÄgningar som hÀnvisar till ett stort antal tidigare osynliga fiktiva NS-poster, till vilka namnbestÀmning delegeras, men utan att ange limposter med information om NS-servrars IP-adresser i svaret. Till exempel skickar en angripare en frÄga för att lösa namnet sd1.attacker.com genom att kontrollera DNS-servern som Àr ansvarig för domÀnen attacker.com. Som svar pÄ resolverns begÀran till angriparens DNS-server, utfÀrdas ett svar som delegerar faststÀllandet av sd1.attacker.com-adressen till offrets DNS-server genom att ange NS-poster i svaret utan att specificera IP NS-servrarna. Eftersom den nÀmnda NS-servern inte har pÄtrÀffats tidigare och dess IP-adress inte Àr specificerad, försöker resolvern faststÀlla IP-adressen för NS-servern genom att skicka en frÄga till offrets DNS-server som betjÀnar mÄldomÀnen (victim.com).
Problemet Àr att angriparen kan svara med en enorm lista med icke-repeterande NS-servrar med icke-existerande fiktiva underdomÀnnamn för offer (fake-1.victim.com, fake-2.victim.com,... fake-1000. victim.com). Upplösaren kommer att försöka skicka en begÀran till offrets DNS-server, men kommer att fÄ ett svar att domÀnen inte hittades, varefter den kommer att försöka faststÀlla nÀsta NS-server i listan, och sÄ vidare tills den har provat alla NS-poster listade av angriparen. Följaktligen, för en angripares begÀran kommer resolvern att skicka ett stort antal förfrÄgningar för att faststÀlla NS-vÀrdar. Eftersom NS-servernamn genereras slumpmÀssigt och refererar till obefintliga underdomÀner, hÀmtas de inte frÄn cachen och varje begÀran frÄn angriparen resulterar i en uppsjö av förfrÄgningar till DNS-servern som betjÀnar offrets domÀn.
Forskare studerade graden av sÄrbarhet hos offentliga DNS-lösare för problemet och faststÀllde att nÀr man skickar frÄgor till CloudFlare-resolvern (1.1.1.1) Àr det möjligt att öka antalet paket (PAF, Packet Amplification Factor) med 48 gÄnger, Google (8.8.8.8) - 30 gÄnger, FreeDNS (37.235.1.174) - 50 gÄnger, OpenDNS (208.67.222.222) - 32 gÄnger. Mer mÀrkbara indikatorer observeras för
NivÄ 3 (209.244.0.3) - 273 gÄnger, Quad9 (9.9.9.9) - 415 gÄnger
SafeDNS (195.46.39.39) - 274 gÄnger, Verisign (64.6.64.6) - 202 gÄnger,
Ultra (156.154.71.1) - 405 gÄnger, Comodo Secure (8.26.56.26) - 435 gÄnger, DNS.Watch (84.200.69.80) - 486 gÄnger, och Norton ConnectSafe (199.85.126.10) - 569 gÄnger. För servrar baserade pÄ BIND 9.12.3, pÄ grund av parallellisering av förfrÄgningar, kan förstÀrkningsnivÄn nÄ upp till 1000. I Knot Resolver 5.1.0 Àr förstÀrkningsnivÄn ungefÀr flera tiotals gÄnger (24-48), eftersom bestÀmningen av NS-namn utförs sekventiellt och vilar pÄ den interna grÀnsen för antalet namnupplösningssteg som tillÄts för en begÀran.
Det finns tvÄ huvudsakliga försvarsstrategier. För system med DNSSEC att anvÀnda för att förhindra förbikoppling av DNS-cache eftersom förfrÄgningar skickas med slumpmÀssiga namn. KÀrnan i metoden Àr att generera negativa svar utan att kontakta auktoritativa DNS-servrar, med hjÀlp av intervallkontroll via DNSSEC. Ett enklare tillvÀgagÄngssÀtt Àr att begrÀnsa antalet namn som kan definieras vid bearbetning av en enskild delegerad begÀran, men den hÀr metoden kan orsaka problem med vissa befintliga konfigurationer eftersom grÀnserna inte Àr definierade i protokollet.
KĂ€lla: opennet.ru
