Гурӯҳи муҳаққиқони Донишгоҳи Тель-Авив ва Маркази байнисоҳавӣ дар Ҳерзлия (Исроил) усули нави ҳамла (), ба шумо имкон медиҳад, ки ҳама гуна ҳалли DNS-ро ҳамчун пурқувваткунандаи трафик истифода баред, ки суръати афзоишро то 1621 маротиба аз рӯи шумораи бастаҳо таъмин кунед (барои ҳар як дархости ба ҳалкунанда фиристодашуда, шумо метавонед ба 1621 дархости ба сервери ҷабрдида фиристодашуда ноил шавед) ва аз чихати харакати наклиёт то 163 баробар.
Мушкилот бо хусусиятҳои протокол алоқаманд аст ва ба ҳама серверҳои DNS, ки коркарди рекурсивии дархостҳоро дастгирӣ мекунанд, таъсир мерасонад, аз ҷумла (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), инчунин хидматҳои ҷамъиятии DNS-и Google, Cloudflare, Amazon, Quad9, ICANN ва дигар ширкатҳо. Ислоҳ бо таҳиягарони сервери DNS ҳамоҳанг карда шуд, ки онҳо ҳамзамон барои ислоҳи осебпазирии маҳсулоти худ навсозиҳо бароварданд. Муҳофизати ҳамла дар нашрияҳо амалӣ карда мешавад
, , , .
Ҳамла ба ҳамлагар бо истифода аз дархостҳое асос ёфтааст, ки ба миқдори зиёди сабтҳои қаблан нодидаи NS, ки муайян кардани ном ба онҳо дода мешавад, аммо бидуни нишон додани сабтҳои ширеш бо маълумот дар бораи суроғаҳои IP серверҳои NS дар посух. Масалан, ҳамлакунанда дархостро барои ҳалли номи sd1.attacker.com тавассути назорати сервери DNS, ки барои домени attacker.com масъул аст, мефиристад. Дар посух ба дархости ҳалкунанда ба сервери DNS-и ҳамлакунанда, посухе дода мешавад, ки муайян кардани суроғаи sd1.attacker.com-ро ба сервери DNS-и ҷабрдида тавассути нишон додани сабтҳои NS дар посух бидуни тафсилоти серверҳои IP NS вогузор мекунад. Азбаски сервери NS-и зикршуда қаблан дучор наомадааст ва суроғаи IP-и он муайян карда нашудааст, ҳалкунанда кӯшиш мекунад, ки суроғаи IP-сервери NS-ро тавассути ирсоли дархост ба сервери DNS-и ҷабрдида, ки ба домени мавриди ҳадаф (victim.com) хизмат мерасонад, муайян кунад.
Мушкилот дар он аст, ки ҳамлакунанда метавонад бо рӯйхати азими серверҳои NS-и такрорнашаванда бо номҳои зердоменҳои қурбонии афсонавӣ (fake-1.victim.com, fake-2.victim.com,... fake-1000) ҷавоб диҳад. Qurban.com). Ҳалкунанда кӯшиш мекунад, ки дархостро ба сервери DNS-и ҷабрдида фиристад, аммо посухе мегирад, ки домен пайдо нашудааст ва пас аз он кӯшиш мекунад, ки сервери навбатии NS-ро дар рӯйхат муайян кунад ва ғайра то он даме, ки тамоми Сабтҳои NS, ки аз ҷониби ҳамлагар номбар шудаанд. Мутаносибан, барои дархости як ҳамлакунанда, ҳалкунанда шумораи зиёди дархостҳоро барои муайян кардани ҳостҳои NS мефиристад. Азбаски номҳои сервери NS ба таври тасодуфӣ тавлид мешаванд ва ба зердоменҳои вуҷуднадошта ишора мекунанд, онҳо аз кэш гирифта намешаванд ва ҳар як дархости ҳамлакунанда боиси як қатор дархостҳо ба сервери DNS, ки ба домени ҷабрдида хидмат мекунад, оварда мерасонад.
Тадқиқотчиён дараҷаи осебпазирии ҳалкунандаҳои ҷамъиятии DNS ба мушкилотро омӯхтанд ва муайян карданд, ки ҳангоми фиристодани дархостҳо ба ҳалли CloudFlare (1.1.1.1) шумораи пакетҳоро (PAF, Factor Amplification Factor) 48 маротиба зиёд кардан мумкин аст, Google (8.8.8.8) - 30 маротиба, FreeDNS (37.235.1.174) - 50 маротиба, OpenDNS (208.67.222.222) - 32 маротиба. Нишондиҳандаҳои назаррас бештар барои
Сатҳи 3 (209.244.0.3) - 273 маротиба, Quad9 (9.9.9.9) - 415 маротиба
SafeDNS (195.46.39.39) - 274 маротиба, Verisign (64.6.64.6) - 202 маротиба,
Ultra (156.154.71.1) - 405 маротиба, Comodo Secure (8.26.56.26) - 435 маротиба, DNS.Watch (84.200.69.80) - 486 маротиба ва Norton ConnectSafe (199.85.126.10) - 569 маротиба. Барои серверҳое, ки дар BIND 9.12.3 асос ёфтааст, аз сабаби параллелизатсияи дархостҳо, сатҳи фоида метавонад то ба 1000 расад. Дар Knot Resolver 5.1.0, сатҳи фоида тақрибан даҳҳо маротиба (24-48), аз замони муайян кардани Номҳои NS пайдарпай иҷро карда мешаванд ва ба маҳдудияти дохилии шумораи қадамҳои ҳалли ном барои як дархост иҷозат дода мешавад.
Ду стратегияи асосии мудофиа вуҷуд дорад. Барои системаҳои дорои DNSSEC истифода баред барои пешгирии гузариши кэши DNS, зеро дархостҳо бо номҳои тасодуфӣ фиристода мешаванд. Моҳияти усул эҷоди посухҳои манфӣ бидуни тамос бо серверҳои бонуфузи DNS, бо истифода аз санҷиши диапазон тавассути DNSSEC мебошад. Равиши соддатар маҳдуд кардани шумораи номҳое мебошад, ки ҳангоми коркарди як дархости ваколатдор муайян карда мешаванд, аммо ин усул метавонад бо баъзе конфигуратсияҳои мавҷуда мушкилот эҷод кунад, зеро маҳдудиятҳо дар протокол муайян карда нашудаанд.
Манбаъ: opennet.ru