புரோஹோஸ்டர் > Блог > இணைய செய்தி > அனைத்து DNS தீர்வுகளையும் பாதிக்கும் NXNSA தாக்குதல்

அனைத்து DNS தீர்வுகளையும் பாதிக்கும் NXNSA தாக்குதல்

டெல் அவிவ் பல்கலைக்கழகம் மற்றும் ஹெர்ஸ்லியாவில் உள்ள இடைநிலை மையம் (இஸ்ரேல்) ஆகியவற்றின் ஆராய்ச்சியாளர்கள் குழு உருவாக்கப்பட்டது புதிய தாக்குதல் முறை என்எக்ஸ்என்எஸ்அட்டாக் (எம்), எந்த டிஎன்எஸ் தீர்வுகளையும் டிராஃபிக் பெருக்கிகளாகப் பயன்படுத்த உங்களை அனுமதிக்கிறது, பாக்கெட்டுகளின் எண்ணிக்கையின் அடிப்படையில் 1621 மடங்கு பெருக்க விகிதத்தை வழங்குகிறது (தீர்ப்பாளருக்கு அனுப்பப்படும் ஒவ்வொரு கோரிக்கைக்கும், பாதிக்கப்பட்டவரின் சேவையகத்திற்கு அனுப்பப்படும் 1621 கோரிக்கைகளை நீங்கள் அடையலாம்) மற்றும் போக்குவரத்து அடிப்படையில் 163 மடங்கு வரை.

சிக்கல் நெறிமுறையின் தனித்தன்மையுடன் தொடர்புடையது மற்றும் சுழல்நிலை வினவல் செயலாக்கத்தை ஆதரிக்கும் அனைத்து DNS சேவையகங்களையும் பாதிக்கிறது. BIND (சி.வி.இ -2020-8616), நாட் (சி.வி.இ -2020-12667), PowerDNS என்பதைக் (சி.வி.இ -2020-10995), விண்டோஸ் டிஎன்எஸ் சர்வர் и அன்பவுண்ட் (CVE-2020-12662), அத்துடன் Google, Cloudflare, Amazon, Quad9, ICANN மற்றும் பிற நிறுவனங்களின் பொது DNS சேவைகள். திருத்தமானது DNS சர்வர் டெவலப்பர்களுடன் ஒருங்கிணைக்கப்பட்டது, அவர்கள் தங்கள் தயாரிப்புகளில் உள்ள பாதிப்பை சரிசெய்ய ஒரே நேரத்தில் புதுப்பிப்புகளை வெளியிட்டனர். தாக்குதல் பாதுகாப்பு வெளியீடுகளில் செயல்படுத்தப்பட்டது
வரம்பற்ற 1.10.1, முடிச்சு தீர்வு 5.1.1, பவர்டிஎன்எஸ் ரிகர்சர் 4.3.1, 4.2.2, 4.1.16, பிணைப்பு 9.11.19, 9.14.12, 9.16.3.

இந்தத் தாக்குதல், அதிக எண்ணிக்கையிலான முன்னர் காணப்படாத கற்பனையான NS பதிவுகளைக் குறிக்கும் கோரிக்கைகளைப் பயன்படுத்தி தாக்குதலை அடிப்படையாகக் கொண்டது, இதற்குப் பெயர் நிர்ணயம் ஒப்படைக்கப்பட்டது, ஆனால் பதிலில் NS சேவையகங்களின் IP முகவரிகள் பற்றிய தகவலுடன் பசை பதிவுகளைக் குறிப்பிடாமல். எடுத்துக்காட்டாக, தாக்குபவர், attacker.com டொமைனுக்குப் பொறுப்பான DNS சேவையகத்தைக் கட்டுப்படுத்துவதன் மூலம் sd1.attacker.com என்ற பெயரைத் தீர்க்க வினவலை அனுப்புகிறார். தாக்குபவரின் DNS சேவையகத்திற்குத் தீர்ப்பாளரின் கோரிக்கைக்கு பதிலளிக்கும் விதமாக, IP NS சேவையகங்களை விவரிக்காமல் பதிலில் NS பதிவுகளைக் குறிப்பிடுவதன் மூலம் பாதிக்கப்பட்டவரின் DNS சேவையகத்திற்கு sd1.attacker.com முகவரியைத் தீர்மானிப்பதை வழங்கும் ஒரு பதில் வழங்கப்படுகிறது. குறிப்பிடப்பட்ட NS சேவையகத்தை இதற்கு முன் சந்திக்காததாலும், அதன் IP முகவரி குறிப்பிடப்படாததாலும், இலக்கு டொமைனுக்கு (victim.com) சேவை செய்யும் பாதிக்கப்பட்டவரின் DNS சேவையகத்திற்கு வினவலை அனுப்புவதன் மூலம் NS சேவையகத்தின் IP முகவரியைத் தீர்மானிக்க ரிசல்வர் முயற்சிக்கிறது.

அனைத்து DNS தீர்வுகளையும் பாதிக்கும் NXNSA தாக்குதல்

பிரச்சனை என்னவென்றால், தாக்குதல் நடத்துபவர், இல்லாத கற்பனையான பாதிக்கப்பட்ட துணை டொமைன் பெயர்களுடன் (fake-1.victim.com, fake-2.victim.com,... fake-1000) மீண்டும் நிகழாத NS சேவையகங்களின் பெரிய பட்டியலைக் கொண்டு பதிலளிக்க முடியும். பாதிக்கப்பட்ட.com). ரிசல்வர் பாதிக்கப்பட்டவரின் DNS சேவையகத்திற்கு கோரிக்கையை அனுப்ப முயற்சிக்கும், ஆனால் டொமைன் கிடைக்கவில்லை என்ற பதிலைப் பெறும், அதன் பிறகு பட்டியலில் உள்ள அடுத்த NS சேவையகத்தைத் தீர்மானிக்க முயற்சிக்கும், மேலும் அது அனைத்தையும் முயற்சிக்கும் வரை தாக்குபவர் பட்டியலிட்ட NS பதிவுகள். அதன்படி, ஒரு தாக்குபவரின் கோரிக்கைக்கு, NS புரவலன்களைத் தீர்மானிக்க, தீர்வு காண்பவர் ஏராளமான கோரிக்கைகளை அனுப்புவார். NS சர்வர் பெயர்கள் தற்செயலாக உருவாக்கப்பட்டு, இல்லாத துணை டொமைன்களைக் குறிப்பதால், அவை தற்காலிக சேமிப்பிலிருந்து மீட்டெடுக்கப்படாது, மேலும் தாக்குபவர்களின் ஒவ்வொரு கோரிக்கையும் பாதிக்கப்பட்டவரின் டொமைனுக்கு சேவை செய்யும் DNS சேவையகத்திற்கு கோரிக்கைகளை அனுப்புகிறது.

அனைத்து DNS தீர்வுகளையும் பாதிக்கும் NXNSA தாக்குதல்

ஆராய்ச்சியாளர்கள், பொது DNS தீர்க்கும் பிரச்சனையின் பாதிப்பின் அளவை ஆய்வு செய்து, CloudFlare தீர்விக்கு (1.1.1.1) வினவல்களை அனுப்பும் போது, ​​பாக்கெட்டுகளின் எண்ணிக்கையை (PAF, Packet Amplification Factor) 48 மடங்கு அதிகரிக்க முடியும் என்று தீர்மானித்தனர், Google (8.8.8.8) - 30 முறை, FreeDNS (37.235.1.174) - 50 முறை, OpenDNS (208.67.222.222) - 32 முறை. மேலும் குறிப்பிடத்தக்க குறிகாட்டிகள் கவனிக்கப்படுகின்றன
நிலை3 (209.244.0.3) - 273 முறை, குவாட்9 (9.9.9.9) - 415 முறை
SafeDNS (195.46.39.39) - 274 முறை, Verisign (64.6.64.6) - 202 முறை,
அல்ட்ரா (156.154.71.1) - 405 முறை, கொமோடோ செக்யூர் (8.26.56.26) - 435 முறை, DNS.Watch (84.200.69.80) - 486 முறை, மற்றும் நார்டன் கனெக்ட்சேஃப் (199.85.126.10 முறை) -569. BIND 9.12.3 அடிப்படையிலான சேவையகங்களுக்கு, கோரிக்கைகளை இணைத்ததன் காரணமாக, ஆதாய நிலை 1000 வரை அடையலாம். Knot Resolver 5.1.0 இல், ஆதாய நிலை தோராயமாக பல பத்து மடங்குகள் (24-48), NS பெயர்கள் தொடர்ச்சியாகச் செய்யப்படுகின்றன மற்றும் ஒரு கோரிக்கைக்கு அனுமதிக்கப்பட்ட பெயர் தீர்மானம் படிகளின் எண்ணிக்கையின் உள் வரம்பில் தங்கியிருக்கும்.

இரண்டு முக்கிய பாதுகாப்பு உத்திகள் உள்ளன. DNSSEC கொண்ட அமைப்புகளுக்கு முன்மொழியப்பட்டது பயன்படுத்த ஆர்எஃப்சி -8198 DNS கேச் பைபாஸைத் தடுக்க, ஏனெனில் கோரிக்கைகள் சீரற்ற பெயர்களுடன் அனுப்பப்படுகின்றன. டிஎன்எஸ்எஸ்இசி வழியாக வரம்பைச் சரிபார்ப்பதைப் பயன்படுத்தி, அதிகாரப்பூர்வ டிஎன்எஸ் சர்வர்களைத் தொடர்பு கொள்ளாமல் எதிர்மறையான பதில்களை உருவாக்குவதே முறையின் சாராம்சம். ஒரு எளிமையான அணுகுமுறை, ஒரு பிரதிநிதித்துவ கோரிக்கையைச் செயலாக்கும்போது வரையறுக்கப்படக்கூடிய பெயர்களின் எண்ணிக்கையைக் கட்டுப்படுத்துவதாகும், ஆனால் இந்த முறையானது ஏற்கனவே உள்ள சில உள்ளமைவுகளில் சிக்கல்களை ஏற்படுத்தலாம், ஏனெனில் வரம்புகள் நெறிமுறையில் வரையறுக்கப்படவில்லை.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்