Isang pangkat ng mga mananaliksik mula sa Tel Aviv University at Interdisciplinary Center sa Herzliya (Israel) bagong paraan ng pag-atake (), na nagbibigay-daan sa iyong gumamit ng anumang mga DNS resolver bilang traffic amplifiers, na nagbibigay ng amplification rate na hanggang 1621 beses sa mga tuntunin ng bilang ng mga packet (para sa bawat kahilingang ipinadala sa resolver, makakamit mo ang 1621 na kahilingang ipinapadala sa server ng biktima) at hanggang 163 beses sa mga tuntunin ng trapiko.
Ang problema ay nauugnay sa mga kakaiba ng protocol at nakakaapekto sa lahat ng mga DNS server na sumusuporta sa recursive query processing, kabilang ang (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) ΠΈ (CVE-2020-12662), pati na rin ang mga pampublikong serbisyo ng DNS ng Google, Cloudflare, Amazon, Quad9, ICANN at iba pang kumpanya. Ang pag-aayos ay nakipag-ugnayan sa mga developer ng DNS server, na sabay-sabay na naglabas ng mga update upang ayusin ang kahinaan sa kanilang mga produkto. Ipinatupad ang proteksyon sa pag-atake sa mga release
, , , .
Ang pag-atake ay batay sa umaatake na gumagamit ng mga kahilingan na tumutukoy sa isang malaking bilang ng mga dati nang hindi nakikitang kathang-isip na mga tala ng NS, kung saan ang pagpapasiya ng pangalan ay itinalaga, ngunit nang hindi tinukoy ang mga tala ng pandikit na may impormasyon tungkol sa mga IP address ng mga NS server sa tugon. Halimbawa, nagpapadala ang isang attacker ng query para lutasin ang pangalang sd1.attacker.com sa pamamagitan ng pagkontrol sa DNS server na responsable para sa attacker.com domain. Bilang tugon sa kahilingan ng solver sa DNS server ng attacker, inilabas ang isang tugon na nagde-delegate sa pagpapasiya ng sd1.attacker.com address sa DNS server ng biktima sa pamamagitan ng pagpahiwatig ng mga NS record sa tugon nang hindi nagdedetalye sa mga IP NS server. Dahil ang nabanggit na NS server ay hindi pa nakatagpo noon at ang IP address nito ay hindi tinukoy, ang solver ay sumusubok na tukuyin ang IP address ng NS server sa pamamagitan ng pagpapadala ng query sa DNS server ng biktima na nagsisilbi sa target na domain (victim.com).
Ang problema ay ang umaatake ay maaaring tumugon sa isang malaking listahan ng mga hindi umuulit na NS server na may hindi umiiral na kathang-isip na mga pangalan ng subdomain ng biktima (fake-1.victim.com, fake-2.victim.com,... fake-1000. biktima.com). Susubukan ng solver na magpadala ng kahilingan sa DNS server ng biktima, ngunit makakatanggap ng tugon na hindi natagpuan ang domain, pagkatapos nito ay susubukan nitong tukuyin ang susunod na NS server sa listahan, at iba pa hanggang sa masubukan nito ang lahat ng Mga tala ng NS na nakalista ng umaatake. Alinsunod dito, para sa kahilingan ng isang umaatake, magpapadala ang solver ng malaking bilang ng mga kahilingan upang matukoy ang mga host ng NS. Dahil random na nabuo ang mga pangalan ng server ng NS at tumutukoy sa mga hindi umiiral na subdomain, hindi kinukuha ang mga ito mula sa cache at ang bawat kahilingan mula sa attacker ay nagreresulta sa mga gulo ng mga kahilingan sa DNS server na nagsisilbi sa domain ng biktima.
Pinag-aralan ng mga mananaliksik ang antas ng kahinaan ng mga pampublikong DNS resolver sa problema at natukoy na kapag nagpapadala ng mga query sa CloudFlare resolver (1.1.1.1), posibleng dagdagan ang bilang ng mga packet (PAF, Packet Amplification Factor) ng 48 beses, Google (8.8.8.8) - 30 beses, FreeDNS (37.235.1.174) - 50 beses, OpenDNS (208.67.222.222) - 32 beses. Mas kapansin-pansing mga tagapagpahiwatig ang sinusunod para sa
Level3 (209.244.0.3) - 273 beses, Quad9 (9.9.9.9) - 415 beses
SafeDNS (195.46.39.39) - 274 beses, Verisign (64.6.64.6) - 202 beses,
Ultra (156.154.71.1) - 405 beses, Comodo Secure (8.26.56.26) - 435 beses, DNS.Watch (84.200.69.80) - 486 beses, at Norton ConnectSafe (199.85.126.10.) - 569 beses Para sa mga server batay sa BIND 9.12.3, dahil sa parallelization ng mga kahilingan, ang antas ng nakuha ay maaaring umabot ng hanggang 1000. Sa Knot Resolver 5.1.0, ang antas ng nakuha ay humigit-kumulang ilang sampu-sampung beses (24-48), dahil ang pagpapasiya ng Ang mga pangalan ng NS ay isinasagawa nang sunud-sunod at nakasalalay sa panloob na limitasyon sa bilang ng mga hakbang sa paglutas ng pangalan na pinapayagan para sa isang kahilingan.
Mayroong dalawang pangunahing diskarte sa pagtatanggol. Para sa mga system na may DNSSEC gamitin upang maiwasan ang pag-bypass ng cache ng DNS dahil ipinapadala ang mga kahilingan gamit ang mga random na pangalan. Ang kakanyahan ng pamamaraan ay upang makabuo ng mga negatibong tugon nang hindi nakikipag-ugnayan sa mga awtoritatibong DNS server, gamit ang pagsuri ng saklaw sa pamamagitan ng DNSSEC. Ang isang mas simpleng diskarte ay upang limitahan ang bilang ng mga pangalan na maaaring tukuyin kapag nagpoproseso ng isang itinalagang kahilingan, ngunit ang paraang ito ay maaaring magdulot ng mga problema sa ilang umiiral na mga pagsasaayos dahil ang mga limitasyon ay hindi tinukoy sa protocol.
Pinagmulan: opennet.ru