టెల్ అవీవ్ విశ్వవిద్యాలయం మరియు హెర్జ్లియా (ఇజ్రాయెల్)లోని ఇంటర్ డిసిప్లినరీ సెంటర్ నుండి పరిశోధకుల బృందం కొత్త దాడి పద్ధతి (), మీరు ట్రాఫిక్ యాంప్లిఫైయర్లుగా ఏదైనా DNS పరిష్కారాలను ఉపయోగించడానికి అనుమతిస్తుంది, ప్యాకెట్ల సంఖ్య పరంగా గరిష్టంగా 1621 రెట్లు యాంప్లిఫికేషన్ రేటును అందిస్తుంది (పరిష్కారానికి పంపిన ప్రతి అభ్యర్థన కోసం, మీరు బాధితుల సర్వర్కు పంపబడే 1621 అభ్యర్థనలను సాధించవచ్చు) మరియు ట్రాఫిక్ పరంగా 163 సార్లు వరకు.
సమస్య ప్రోటోకాల్ యొక్క ప్రత్యేకతలకు సంబంధించినది మరియు రికర్సివ్ క్వెరీ ప్రాసెసింగ్కు మద్దతు ఇచ్చే అన్ని DNS సర్వర్లను ప్రభావితం చేస్తుంది. (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), అలాగే Google, Cloudflare, Amazon, Quad9, ICANN మరియు ఇతర కంపెనీల పబ్లిక్ DNS సేవలు. ఈ పరిష్కారం DNS సర్వర్ డెవలపర్లతో సమన్వయం చేయబడింది, వారు తమ ఉత్పత్తులలోని దుర్బలత్వాన్ని పరిష్కరించడానికి ఏకకాలంలో అప్డేట్లను విడుదల చేశారు. విడుదలలలో అమలు చేయబడిన దాడి రక్షణ
, , , .
దాడి చేసేవారు పెద్ద సంఖ్యలో గతంలో చూడని కల్పిత NS రికార్డ్లను సూచించే అభ్యర్థనలను ఉపయోగించి దాడి చేయడంపై ఆధారపడింది, వీటికి పేరు నిర్ధారణ అప్పగించబడుతుంది, కానీ ప్రతిస్పందనలో NS సర్వర్ల IP చిరునామాల గురించి సమాచారంతో గ్లూ రికార్డులను పేర్కొనకుండా. ఉదాహరణకు, దాడి చేసే వ్యక్తి attacker.com డొమైన్కు బాధ్యత వహించే DNS సర్వర్ని నియంత్రించడం ద్వారా sd1.attacker.com పేరును పరిష్కరించడానికి ఒక ప్రశ్నను పంపుతారు. దాడి చేసే వ్యక్తి యొక్క DNS సర్వర్కు పరిష్కర్త అభ్యర్థనకు ప్రతిస్పందనగా, IP NS సర్వర్లను వివరించకుండా ప్రతిస్పందనలో NS రికార్డ్లను సూచించడం ద్వారా బాధితుడి DNS సర్వర్కు sd1.attacker.com చిరునామా యొక్క నిర్ణయాన్ని అప్పగించే ప్రతిస్పందన జారీ చేయబడుతుంది. పేర్కొన్న NS సర్వర్ని ఇంతకు ముందు ఎదుర్కోలేదు మరియు దాని IP చిరునామా పేర్కొనబడలేదు, లక్ష్య డొమైన్కు (victim.com) సేవలందిస్తున్న బాధితుడి DNS సర్వర్కు ఒక ప్రశ్నను పంపడం ద్వారా NS సర్వర్ యొక్క IP చిరునామాను గుర్తించడానికి పరిష్కర్త ప్రయత్నిస్తాడు.
సమస్య ఏమిటంటే, దాడి చేసే వ్యక్తి ఉనికిలో లేని కల్పిత బాధితుల సబ్డొమైన్ పేర్లతో (fake-1.victim.com, fake-2.victim.com,... fake-1000) పునరావృతం కాని NS సర్వర్ల భారీ జాబితాతో ప్రతిస్పందించగలడు. బాధితులు.com). పరిష్కర్త బాధితుడి DNS సర్వర్కు అభ్యర్థనను పంపడానికి ప్రయత్నిస్తాడు, కానీ డొమైన్ కనుగొనబడలేదని ప్రతిస్పందనను స్వీకరిస్తుంది, ఆ తర్వాత అది జాబితాలోని తదుపరి NS సర్వర్ను గుర్తించడానికి ప్రయత్నిస్తుంది మరియు అన్నింటిని ప్రయత్నించే వరకు దాడి చేసిన వ్యక్తి జాబితా చేసిన NS రికార్డులు. దీని ప్రకారం, ఒక దాడి చేసేవారి అభ్యర్థన కోసం, పరిష్కర్త NS హోస్ట్లను గుర్తించడానికి భారీ సంఖ్యలో అభ్యర్థనలను పంపుతుంది. NS సర్వర్ పేర్లు యాదృచ్ఛికంగా రూపొందించబడినందున మరియు ఉనికిలో లేని సబ్డొమైన్లను సూచిస్తాయి కాబట్టి, అవి కాష్ నుండి తిరిగి పొందబడవు మరియు దాడి చేసే వ్యక్తి నుండి ప్రతి అభ్యర్థన బాధితుడి డొమైన్కు సేవలందిస్తున్న DNS సర్వర్కు అభ్యర్థనల కోలాహలం కలిగిస్తుంది.
పరిశోధకులు సమస్యకు పబ్లిక్ DNS పరిష్కర్తల యొక్క దుర్బలత్వ స్థాయిని అధ్యయనం చేశారు మరియు క్లౌడ్ఫ్లేర్ రిసల్వర్ (1.1.1.1)కి ప్రశ్నలను పంపేటప్పుడు, ప్యాకెట్ల సంఖ్యను (PAF, ప్యాకెట్ యాంప్లిఫికేషన్ ఫ్యాక్టర్) 48 రెట్లు పెంచడం సాధ్యమవుతుందని నిర్ధారించారు, Google (8.8.8.8) - 30 సార్లు, FreeDNS (37.235.1.174) - 50 సార్లు, OpenDNS (208.67.222.222) - 32 సార్లు. మరింత గుర్తించదగిన సూచికలు గమనించబడతాయి
స్థాయి3 (209.244.0.3) - 273 సార్లు, క్వాడ్9 (9.9.9.9) - 415 సార్లు
SafeDNS (195.46.39.39) - 274 సార్లు, Verisign (64.6.64.6) - 202 సార్లు,
అల్ట్రా (156.154.71.1) - 405 సార్లు, Comodo Secure (8.26.56.26) - 435 సార్లు, DNS.Watch (84.200.69.80) - 486 సార్లు, మరియు Norton ConnectSafe (199.85.126.10 సార్లు) -569. BIND 9.12.3 ఆధారిత సర్వర్ల కోసం, అభ్యర్థనల సమాంతరీకరణ కారణంగా, లాభం స్థాయి 1000 వరకు చేరవచ్చు. నాట్ రిసోల్వర్ 5.1.0లో, లాభం స్థాయిని నిర్ణయించినప్పటి నుండి దాదాపు పదుల సార్లు (24-48) ఉంటుంది. NS పేర్లు వరుసగా నిర్వహించబడతాయి మరియు ఒక అభ్యర్థన కోసం అనుమతించబడిన పేరు రిజల్యూషన్ దశల సంఖ్యపై అంతర్గత పరిమితిపై ఆధారపడి ఉంటుంది.
రెండు ప్రధాన రక్షణ వ్యూహాలు ఉన్నాయి. DNSSEC ఉన్న సిస్టమ్ల కోసం ఉపయోగించడానికి అభ్యర్థనలు యాదృచ్ఛిక పేర్లతో పంపబడినందున DNS కాష్ బైపాస్ను నిరోధించడానికి. DNSSEC ద్వారా శ్రేణి తనిఖీని ఉపయోగించి, అధికారిక DNS సర్వర్లను సంప్రదించకుండా ప్రతికూల ప్రతిస్పందనలను రూపొందించడం ఈ పద్ధతి యొక్క సారాంశం. ఒకే ప్రతినిధి అభ్యర్థనను ప్రాసెస్ చేస్తున్నప్పుడు నిర్వచించబడే పేర్ల సంఖ్యను పరిమితం చేయడం ఒక సరళమైన విధానం, అయితే ఈ పద్ధతి ఇప్పటికే ఉన్న కొన్ని కాన్ఫిగరేషన్లతో సమస్యలను కలిగిస్తుంది ఎందుకంటే పరిమితులు ప్రోటోకాల్లో నిర్వచించబడలేదు.
మూలం: opennet.ru