Kundi la watafiti kutoka Chuo Kikuu cha Tel Aviv na Kituo cha Kitaaluma cha Herzliya (Israeli) mbinu mpya ya mashambulizi (), hukuruhusu kutumia visuluhishi vyovyote vya DNS kama vikuza trafiki, ikitoa kiwango cha ukuzaji cha hadi mara 1621 kulingana na idadi ya pakiti (kwa kila ombi linalotumwa kwa kisuluhishi, unaweza kufikia maombi 1621 yanayotumwa kwa seva ya mwathirika) na hadi mara 163 katika suala la trafiki.
Tatizo linahusiana na upekee wa itifaki na huathiri seva zote za DNS zinazounga mkono uchakataji wa hoja unaojirudia, pamoja na (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) ΠΈ (CVE-2020-12662), pamoja na huduma za DNS za umma za Google, Cloudflare, Amazon, Quad9, ICANN na makampuni mengine. Marekebisho hayo yaliratibiwa na wasanidi wa seva ya DNS, ambao walitoa sasisho kwa wakati mmoja ili kurekebisha athari katika bidhaa zao. Ulinzi wa mashambulizi unatekelezwa katika matoleo
, , , .
Shambulio hilo linatokana na mshambulizi kutumia maombi ambayo yanarejelea idadi kubwa ya rekodi za uwongo za NS ambazo hazikuonekana hapo awali, ambazo uamuzi wa jina hukabidhiwa, lakini bila kubainisha rekodi za gundi zilizo na habari kuhusu anwani za IP za seva za NS katika jibu. Kwa mfano, mshambulizi hutuma hoja ili kutatua jina sd1.attacker.com kwa kudhibiti seva ya DNS inayohusika na kikoa cha attacker.com. Kwa kujibu ombi la msuluhishi kwa seva ya DNS ya mshambulizi, jibu hutolewa ambalo hutuma uamuzi wa anwani ya sd1.attacker.com kwa seva ya DNS ya mwathirika kwa kuonyesha rekodi za NS katika jibu bila kufafanua seva za IP NS. Kwa kuwa seva ya NS iliyotajwa haijawahi kupatikana na anwani yake ya IP haijabainishwa, kisuluhishi kinajaribu kubaini anwani ya IP ya seva ya NS kwa kutuma swali kwa seva ya DNS ya mwathirika inayohudumia kikoa lengwa (victim.com).
Shida ni kwamba mshambuliaji anaweza kujibu kwa orodha kubwa ya seva za NS zisizorudiwa na majina ya kikoa ya mwathirika wa uwongo (fake-1.victim.com, fake-2.victim.com,... fake-1000. victim.com). Msuluhishi atajaribu kutuma ombi kwa seva ya DNS ya mwathirika, lakini atapokea jibu kwamba kikoa hakijapatikana, baada ya hapo itajaribu kuamua seva inayofuata ya NS kwenye orodha, na kadhalika hadi imejaribu zote. Rekodi za NS zilizoorodheshwa na mshambuliaji. Ipasavyo, kwa ombi la mshambulizi mmoja, msuluhishi atatuma idadi kubwa ya maombi ya kuamua majeshi ya NS. Kwa kuwa majina ya seva za NS huzalishwa kwa nasibu na hurejelea vikoa vidogo visivyopo, hayatolewi kutoka kwa akiba na kila ombi kutoka kwa mvamizi husababisha msururu wa maombi kwa seva ya DNS inayohudumia kikoa cha mwathiriwa.
Watafiti walisoma kiwango cha kuathiriwa kwa visuluhishi vya DNS vya umma kwa tatizo na wakabaini kuwa wakati wa kutuma hoja kwa kisuluhishi cha CloudFlare (1.1.1.1), inawezekana kuongeza idadi ya pakiti (PAF, Kipengele cha Kukuza Pakiti) kwa mara 48, Google. (8.8.8.8) - mara 30, FreeDNS (37.235.1.174) - mara 50, OpenDNS (208.67.222.222) - mara 32. Viashiria vinavyoonekana zaidi vinazingatiwa
Level3 (209.244.0.3) - mara 273, Quad9 (9.9.9.9) - mara 415
SafeDNS (195.46.39.39) - mara 274, Verisign (64.6.64.6) - mara 202,
Ultra (156.154.71.1) - mara 405, Comodo Secure (8.26.56.26) - mara 435, DNS.Watch (84.200.69.80) - mara 486, na Norton ConnectSafe (199.85.126.10) - mara 569. Kwa seva kulingana na BIND 9.12.3, kutokana na ulinganifu wa maombi, kiwango cha faida kinaweza kufikia 1000. Katika Knot Resolver 5.1.0, kiwango cha faida ni takriban makumi kadhaa ya nyakati (24-48), tangu uamuzi wa Majina ya NS hufanywa kwa kufuatana na hutegemea kikomo cha ndani kwa idadi ya hatua za utatuzi wa jina zinazoruhusiwa kwa ombi moja.
Kuna mikakati miwili kuu ya ulinzi. Kwa mifumo iliyo na DNSSEC kutumia ili kuzuia bypass ya kache ya DNS kwa sababu maombi yanatumwa kwa majina nasibu. Kiini cha mbinu hii ni kutoa majibu hasi bila kuwasiliana na seva zilizoidhinishwa za DNS, kwa kutumia ukaguzi wa masafa kupitia DNSSEC. Mbinu rahisi ni kuweka kikomo idadi ya majina ambayo yanaweza kubainishwa wakati wa kuchakata ombi moja lililokabidhiwa, lakini mbinu hii inaweza kusababisha matatizo na baadhi ya usanidi uliopo kwa sababu mipaka haijabainishwa katika itifaki.
Chanzo: opennet.ru