Гурӯҳи муҳаққиқони Донишгоҳи Тель-Авив ва Маркази байнисоҳавӣ дар Ҳерзлия (Исроил)
Мушкилот бо хусусиятҳои протокол алоқаманд аст ва ба ҳама серверҳои DNS, ки коркарди рекурсивии дархостҳоро дастгирӣ мекунанд, таъсир мерасонад, аз ҷумла
Ҳамла ба ҳамлагар бо истифода аз дархостҳое асос ёфтааст, ки ба миқдори зиёди сабтҳои қаблан нодидаи NS, ки муайян кардани ном ба онҳо дода мешавад, аммо бидуни нишон додани сабтҳои ширеш бо маълумот дар бораи суроғаҳои IP серверҳои NS дар посух. Масалан, ҳамлакунанда дархостро барои ҳалли номи sd1.attacker.com тавассути назорати сервери DNS, ки барои домени attacker.com масъул аст, мефиристад. Дар посух ба дархости ҳалкунанда ба сервери DNS-и ҳамлакунанда, посухе дода мешавад, ки муайян кардани суроғаи sd1.attacker.com-ро ба сервери DNS-и ҷабрдида тавассути нишон додани сабтҳои NS дар посух бидуни тафсилоти серверҳои IP NS вогузор мекунад. Азбаски сервери NS-и зикршуда қаблан дучор наомадааст ва суроғаи IP-и он муайян карда нашудааст, ҳалкунанда кӯшиш мекунад, ки суроғаи IP-сервери NS-ро тавассути ирсоли дархост ба сервери DNS-и ҷабрдида, ки ба домени мавриди ҳадаф (victim.com) хизмат мерасонад, муайян кунад.
Мушкилот дар он аст, ки ҳамлакунанда метавонад бо рӯйхати азими серверҳои NS-и такрорнашаванда бо номҳои зердоменҳои қурбонии афсонавӣ (fake-1.victim.com, fake-2.victim.com,... fake-1000) ҷавоб диҳад. Qurban.com). Ҳалкунанда кӯшиш мекунад, ки дархостро ба сервери DNS-и ҷабрдида фиристад, аммо посухе мегирад, ки домен пайдо нашудааст ва пас аз он кӯшиш мекунад, ки сервери навбатии NS-ро дар рӯйхат муайян кунад ва ғайра то он даме, ки тамоми Сабтҳои NS, ки аз ҷониби ҳамлагар номбар шудаанд. Мутаносибан, барои дархости як ҳамлакунанда, ҳалкунанда шумораи зиёди дархостҳоро барои муайян кардани ҳостҳои NS мефиристад. Азбаски номҳои сервери NS ба таври тасодуфӣ тавлид мешаванд ва ба зердоменҳои вуҷуднадошта ишора мекунанд, онҳо аз кэш гирифта намешаванд ва ҳар як дархости ҳамлакунанда боиси як қатор дархостҳо ба сервери DNS, ки ба домени ҷабрдида хидмат мекунад, оварда мерасонад.
Тадқиқотчиён дараҷаи осебпазирии ҳалкунандаҳои ҷамъиятии DNS ба мушкилотро омӯхтанд ва муайян карданд, ки ҳангоми фиристодани дархостҳо ба ҳалли CloudFlare (1.1.1.1) шумораи пакетҳоро (PAF, Factor Amplification Factor) 48 маротиба зиёд кардан мумкин аст, Google (8.8.8.8) - 30 маротиба, FreeDNS (37.235.1.174) - 50 маротиба, OpenDNS (208.67.222.222) - 32 маротиба. Нишондиҳандаҳои назаррас бештар барои
Сатҳи 3 (209.244.0.3) - 273 маротиба, Quad9 (9.9.9.9) - 415 маротиба
SafeDNS (195.46.39.39) - 274 маротиба, Verisign (64.6.64.6) - 202 маротиба,
Ultra (156.154.71.1) - 405 маротиба, Comodo Secure (8.26.56.26) - 435 маротиба, DNS.Watch (84.200.69.80) - 486 маротиба ва Norton ConnectSafe (199.85.126.10) - 569 маротиба. Барои серверҳое, ки дар BIND 9.12.3 асос ёфтааст, аз сабаби параллелизатсияи дархостҳо, сатҳи фоида метавонад то ба 1000 расад. Дар Knot Resolver 5.1.0, сатҳи фоида тақрибан даҳҳо маротиба (24-48), аз замони муайян кардани Номҳои NS пайдарпай иҷро карда мешаванд ва ба маҳдудияти дохилии шумораи қадамҳои ҳалли ном барои як дархост иҷозат дода мешавад.
Ду стратегияи асосии мудофиа вуҷуд дорад. Барои системаҳои дорои DNSSEC
Манбаъ: opennet.ru