టెల్ అవీవ్ విశ్వవిద్యాలయం మరియు హెర్జ్లియా (ఇజ్రాయెల్)లోని ఇంటర్ డిసిప్లినరీ సెంటర్ నుండి పరిశోధకుల బృందం
సమస్య ప్రోటోకాల్ యొక్క ప్రత్యేకతలకు సంబంధించినది మరియు రికర్సివ్ క్వెరీ ప్రాసెసింగ్కు మద్దతు ఇచ్చే అన్ని DNS సర్వర్లను ప్రభావితం చేస్తుంది.
దాడి చేసేవారు పెద్ద సంఖ్యలో గతంలో చూడని కల్పిత NS రికార్డ్లను సూచించే అభ్యర్థనలను ఉపయోగించి దాడి చేయడంపై ఆధారపడింది, వీటికి పేరు నిర్ధారణ అప్పగించబడుతుంది, కానీ ప్రతిస్పందనలో NS సర్వర్ల IP చిరునామాల గురించి సమాచారంతో గ్లూ రికార్డులను పేర్కొనకుండా. ఉదాహరణకు, దాడి చేసే వ్యక్తి attacker.com డొమైన్కు బాధ్యత వహించే DNS సర్వర్ని నియంత్రించడం ద్వారా sd1.attacker.com పేరును పరిష్కరించడానికి ఒక ప్రశ్నను పంపుతారు. దాడి చేసే వ్యక్తి యొక్క DNS సర్వర్కు పరిష్కర్త అభ్యర్థనకు ప్రతిస్పందనగా, IP NS సర్వర్లను వివరించకుండా ప్రతిస్పందనలో NS రికార్డ్లను సూచించడం ద్వారా బాధితుడి DNS సర్వర్కు sd1.attacker.com చిరునామా యొక్క నిర్ణయాన్ని అప్పగించే ప్రతిస్పందన జారీ చేయబడుతుంది. పేర్కొన్న NS సర్వర్ని ఇంతకు ముందు ఎదుర్కోలేదు మరియు దాని IP చిరునామా పేర్కొనబడలేదు, లక్ష్య డొమైన్కు (victim.com) సేవలందిస్తున్న బాధితుడి DNS సర్వర్కు ఒక ప్రశ్నను పంపడం ద్వారా NS సర్వర్ యొక్క IP చిరునామాను గుర్తించడానికి పరిష్కర్త ప్రయత్నిస్తాడు.
సమస్య ఏమిటంటే, దాడి చేసే వ్యక్తి ఉనికిలో లేని కల్పిత బాధితుల సబ్డొమైన్ పేర్లతో (fake-1.victim.com, fake-2.victim.com,... fake-1000) పునరావృతం కాని NS సర్వర్ల భారీ జాబితాతో ప్రతిస్పందించగలడు. బాధితులు.com). పరిష్కర్త బాధితుడి DNS సర్వర్కు అభ్యర్థనను పంపడానికి ప్రయత్నిస్తాడు, కానీ డొమైన్ కనుగొనబడలేదని ప్రతిస్పందనను స్వీకరిస్తుంది, ఆ తర్వాత అది జాబితాలోని తదుపరి NS సర్వర్ను గుర్తించడానికి ప్రయత్నిస్తుంది మరియు అన్నింటిని ప్రయత్నించే వరకు దాడి చేసిన వ్యక్తి జాబితా చేసిన NS రికార్డులు. దీని ప్రకారం, ఒక దాడి చేసేవారి అభ్యర్థన కోసం, పరిష్కర్త NS హోస్ట్లను గుర్తించడానికి భారీ సంఖ్యలో అభ్యర్థనలను పంపుతుంది. NS సర్వర్ పేర్లు యాదృచ్ఛికంగా రూపొందించబడినందున మరియు ఉనికిలో లేని సబ్డొమైన్లను సూచిస్తాయి కాబట్టి, అవి కాష్ నుండి తిరిగి పొందబడవు మరియు దాడి చేసే వ్యక్తి నుండి ప్రతి అభ్యర్థన బాధితుడి డొమైన్కు సేవలందిస్తున్న DNS సర్వర్కు అభ్యర్థనల కోలాహలం కలిగిస్తుంది.
పరిశోధకులు సమస్యకు పబ్లిక్ DNS పరిష్కర్తల యొక్క దుర్బలత్వ స్థాయిని అధ్యయనం చేశారు మరియు క్లౌడ్ఫ్లేర్ రిసల్వర్ (1.1.1.1)కి ప్రశ్నలను పంపేటప్పుడు, ప్యాకెట్ల సంఖ్యను (PAF, ప్యాకెట్ యాంప్లిఫికేషన్ ఫ్యాక్టర్) 48 రెట్లు పెంచడం సాధ్యమవుతుందని నిర్ధారించారు, Google (8.8.8.8) - 30 సార్లు, FreeDNS (37.235.1.174) - 50 సార్లు, OpenDNS (208.67.222.222) - 32 సార్లు. మరింత గుర్తించదగిన సూచికలు గమనించబడతాయి
స్థాయి3 (209.244.0.3) - 273 సార్లు, క్వాడ్9 (9.9.9.9) - 415 సార్లు
SafeDNS (195.46.39.39) - 274 సార్లు, Verisign (64.6.64.6) - 202 సార్లు,
అల్ట్రా (156.154.71.1) - 405 సార్లు, Comodo Secure (8.26.56.26) - 435 సార్లు, DNS.Watch (84.200.69.80) - 486 సార్లు, మరియు Norton ConnectSafe (199.85.126.10 సార్లు) -569. BIND 9.12.3 ఆధారిత సర్వర్ల కోసం, అభ్యర్థనల సమాంతరీకరణ కారణంగా, లాభం స్థాయి 1000 వరకు చేరవచ్చు. నాట్ రిసోల్వర్ 5.1.0లో, లాభం స్థాయిని నిర్ణయించినప్పటి నుండి దాదాపు పదుల సార్లు (24-48) ఉంటుంది. NS పేర్లు వరుసగా నిర్వహించబడతాయి మరియు ఒక అభ్యర్థన కోసం అనుమతించబడిన పేరు రిజల్యూషన్ దశల సంఖ్యపై అంతర్గత పరిమితిపై ఆధారపడి ఉంటుంది.
రెండు ప్రధాన రక్షణ వ్యూహాలు ఉన్నాయి. DNSSEC ఉన్న సిస్టమ్ల కోసం
మూలం: opennet.ru