En grupp forskare från Tel Aviv University och Interdisciplinary Center i Herzliya (Israel)
Problemet är relaterat till protokollets egenheter och påverkar alla DNS-servrar som stöder rekursiv frågebehandling, inklusive
Attacken bygger på att angriparen använder förfrågningar som hänvisar till ett stort antal tidigare osynliga fiktiva NS-poster, till vilka namnbestämning delegeras, men utan att ange limposter med information om NS-servrars IP-adresser i svaret. Till exempel skickar en angripare en fråga för att lösa namnet sd1.attacker.com genom att kontrollera DNS-servern som är ansvarig för domänen attacker.com. Som svar på resolverns begäran till angriparens DNS-server, utfärdas ett svar som delegerar fastställandet av sd1.attacker.com-adressen till offrets DNS-server genom att ange NS-poster i svaret utan att specificera IP NS-servrarna. Eftersom den nämnda NS-servern inte har påträffats tidigare och dess IP-adress inte är specificerad, försöker resolvern fastställa IP-adressen för NS-servern genom att skicka en fråga till offrets DNS-server som betjänar måldomänen (victim.com).
Problemet är att angriparen kan svara med en enorm lista med icke-repeterande NS-servrar med icke-existerande fiktiva underdomännamn för offer (fake-1.victim.com, fake-2.victim.com,... fake-1000. victim.com). Upplösaren kommer att försöka skicka en begäran till offrets DNS-server, men kommer att få ett svar att domänen inte hittades, varefter den kommer att försöka fastställa nästa NS-server i listan, och så vidare tills den har provat alla NS-poster listade av angriparen. Följaktligen, för en angripares begäran kommer resolvern att skicka ett stort antal förfrågningar för att fastställa NS-värdar. Eftersom NS-servernamn genereras slumpmässigt och refererar till obefintliga underdomäner, hämtas de inte från cachen och varje begäran från angriparen resulterar i en uppsjö av förfrågningar till DNS-servern som betjänar offrets domän.
Forskare studerade graden av sårbarhet hos offentliga DNS-lösare för problemet och fastställde att när man skickar frågor till CloudFlare-resolvern (1.1.1.1) är det möjligt att öka antalet paket (PAF, Packet Amplification Factor) med 48 gånger, Google (8.8.8.8) - 30 gånger, FreeDNS (37.235.1.174) - 50 gånger, OpenDNS (208.67.222.222) - 32 gånger. Mer märkbara indikatorer observeras för
Nivå 3 (209.244.0.3) - 273 gånger, Quad9 (9.9.9.9) - 415 gånger
SafeDNS (195.46.39.39) - 274 gånger, Verisign (64.6.64.6) - 202 gånger,
Ultra (156.154.71.1) - 405 gånger, Comodo Secure (8.26.56.26) - 435 gånger, DNS.Watch (84.200.69.80) - 486 gånger, och Norton ConnectSafe (199.85.126.10) - 569 gånger. För servrar baserade på BIND 9.12.3, på grund av parallellisering av förfrågningar, kan förstärkningsnivån nå upp till 1000. I Knot Resolver 5.1.0 är förstärkningsnivån ungefär flera tiotals gånger (24-48), eftersom bestämningen av NS-namn utförs sekventiellt och vilar på den interna gränsen för antalet namnupplösningssteg som tillåts för en begäran.
Det finns två huvudsakliga försvarsstrategier. För system med DNSSEC
Källa: opennet.ru