Tel Aviv Üniversitesi'nden ve Herzliya'daki (İsrail) Disiplinlerarası Merkez'den bir grup araştırmacı yeni saldırı yöntemi (), herhangi bir DNS çözümleyiciyi trafik amplifikatörü olarak kullanmanıza olanak tanır, paket sayısı açısından 1621 kata kadar yükseltme oranı sağlar (çözümleyiciye gönderilen her istek için, kurbanın sunucusuna 1621 istek gönderilmesini sağlayabilirsiniz) ve trafik açısından 163 katına kadar.
Sorun, protokolün özellikleriyle ilgilidir ve özyinelemeli sorgu işlemeyi destekleyen tüm DNS sunucularını etkiler. (CVE-2020-8616), (CVE-2020-12667), (CVE-2020-10995), и (CVE-2020-12662) ve ayrıca Google, Cloudflare, Amazon, Quad9, ICANN ve diğer şirketlerin genel DNS hizmetleri. Düzeltme, ürünlerindeki güvenlik açığını gidermek için eşzamanlı olarak güncellemeler yayınlayan DNS sunucusu geliştiricileriyle koordine edildi. Sürümlerde uygulanan saldırı koruması
, , , .
Saldırı, saldırganın, yanıtta NS sunucularının IP adresleri hakkında bilgi içeren tutkal kayıtları belirtmeden, ad belirlemenin devredildiği, önceden görülmemiş çok sayıda hayali NS kaydına atıfta bulunan istekleri kullanmasına dayanır. Örneğin, bir saldırgan, saldırgan.com etki alanından sorumlu DNS sunucusunu kontrol ederek sd1.attacker.com adını çözümlemek için bir sorgu gönderir. Çözümleyicinin saldırganın DNS sunucusuna yaptığı talebe yanıt olarak, IP NS sunucularını ayrıntılandırmadan yanıtta NS kayıtlarını belirterek sd1.attacker.com adresinin belirlenmesini kurbanın DNS sunucusuna devreden bir yanıt verilir. Söz konusu NS sunucusuyla daha önce karşılaşılmadığından ve IP adresi belirtilmediğinden çözümleyici, kurbanın hedef alana hizmet veren DNS sunucusuna (victim.com) bir sorgu göndererek NS sunucusunun IP adresini belirlemeye çalışır.
Sorun, saldırganın, var olmayan hayali kurban alt alan adlarına (fake-1.victim.com, fake-2.victim.com,... fake-1000) sahip, yinelenmeyen NS sunucularından oluşan devasa bir listeyle yanıt verebilmesidir. kurban.com). Çözümleyici, kurbanın DNS sunucusuna bir istek göndermeye çalışacak, ancak etki alanının bulunamadığına dair bir yanıt alacak, ardından listedeki bir sonraki NS sunucusunu belirlemeye çalışacak ve tüm işlemleri deneyene kadar bu şekilde devam edecek. Saldırganın listelediği NS kayıtları. Buna göre, bir saldırganın isteğine karşılık çözümleyici, NS ana bilgisayarlarını belirlemek için çok sayıda istek gönderecektir. NS sunucu adları rastgele oluşturulduğundan ve var olmayan alt alan adlarına atıfta bulunduğundan, önbellekten alınamaz ve saldırgandan gelen her istek, kurbanın etki alanına hizmet veren DNS sunucusuna çok sayıda istek gelmesine neden olur.
Araştırmacılar, genel DNS çözümleyicilerinin soruna karşı savunmasızlık derecesini incelediler ve CloudFlare çözümleyicisine (1.1.1.1) sorgu gönderirken paket sayısını (PAF, Paket Amplifikasyon Faktörü) 48 kat artırmanın mümkün olduğunu belirlediler, Google (8.8.8.8) - 30 kez, FreeDNS (37.235.1.174) - 50 kez, OpenDNS (208.67.222.222) - 32 kez. Daha dikkat çekici göstergeler gözleniyor
Seviye3 (209.244.0.3) - 273 kez, Dörtlü9 (9.9.9.9) - 415 kez
SafeDNS (195.46.39.39) - 274 kez, Verisign (64.6.64.6) - 202 kez,
Ultra (156.154.71.1) - 405 kez, Comodo Secure (8.26.56.26) - 435 kez, DNS.Watch (84.200.69.80) - 486 kez ve Norton ConnectSafe (199.85.126.10) - 569 kez. BIND 9.12.3 tabanlı sunucular için isteklerin paralelleştirilmesi nedeniyle kazanç seviyesi 1000'e kadar çıkabilir. Knot Resolver 5.1.0'da kazanç seviyesi yaklaşık olarak birkaç on katıdır (24-48), çünkü NS adları sırayla gerçekleştirilir ve bir istek için izin verilen ad çözümleme adımlarının sayısına ilişkin dahili sınıra dayanır.
İki temel savunma stratejisi vardır. DNSSEC'li sistemler için kullanmak İstekler rastgele adlarla gönderildiğinden DNS önbelleğinin atlanmasını önlemek için. Yöntemin özü, DNSSEC aracılığıyla aralık kontrolünü kullanarak yetkili DNS sunucularıyla iletişime geçmeden olumsuz yanıtlar oluşturmaktır. Daha basit bir yaklaşım, tek bir temsilci isteği işlerken tanımlanabilecek ad sayısını sınırlamaktır ancak bu yöntem, protokolde sınırlar tanımlanmadığından mevcut bazı yapılandırmalarda sorunlara neden olabilir.
Kaynak: opennet.ru