تل ابیب یونیورسٹی اور ہرزلیہ (اسرائیل) میں بین الضابطہ مرکز کے محققین کا ایک گروپ حملے کا نیا طریقہ ()، آپ کو کسی بھی DNS ریزولورز کو ٹریفک ایمپلیفائر کے طور پر استعمال کرنے کی اجازت دیتا ہے، پیکٹوں کی تعداد کے لحاظ سے 1621 گنا تک کا ایمپلیفیکیشن ریٹ فراہم کرتا ہے (حل کرنے والے کو بھیجی جانے والی ہر درخواست کے لیے، آپ شکار کے سرور کو بھیجی جانے والی 1621 درخواستیں حاصل کر سکتے ہیں) اور ٹریفک کے لحاظ سے 163 گنا تک۔
مسئلہ پروٹوکول کی خصوصیات سے متعلق ہے اور ان تمام DNS سرورز کو متاثر کرتا ہے جو تکراری استفسار کی کارروائی کو سپورٹ کرتے ہیں، بشمول (CVE-2020-8616) ، (CVE-2020-12667) ، (CVE-2020-10995) ، и (CVE-2020-12662)، نیز Google، Cloudflare، Amazon، Quad9، ICANN اور دیگر کمپنیوں کی عوامی DNS سروسز۔ حل کو DNS سرور ڈویلپرز کے ساتھ مربوط کیا گیا تھا، جنہوں نے بیک وقت اپنی مصنوعات میں موجود کمزوری کو دور کرنے کے لیے اپ ڈیٹس جاری کیں۔ حملے سے تحفظ ریلیز میں لاگو کیا گیا ہے۔
, , , .
حملہ حملہ آور کی درخواستوں پر مبنی ہے جو پہلے سے نہ دیکھے جانے والے فرضی NS ریکارڈز کی ایک بڑی تعداد کا حوالہ دیتے ہیں، جس کے لیے نام کا تعین تفویض کیا جاتا ہے، لیکن جواب میں NS سرورز کے IP پتوں کے بارے میں معلومات کے ساتھ گلو ریکارڈز کی وضاحت کیے بغیر۔ مثال کے طور پر، حملہ آور حملہ آور حملہ آور ڈاٹ کام ڈومین کے ذمہ دار DNS سرور کو کنٹرول کرکے sd1.attacker.com نام کو حل کرنے کے لیے ایک سوال بھیجتا ہے۔ حملہ آور کے DNS سرور کو حل کرنے والے کی درخواست کے جواب میں، ایک جواب جاری کیا جاتا ہے جو IP NS سرورز کی تفصیل کے بغیر جواب میں NS ریکارڈز کی نشاندہی کرکے شکار کے DNS سرور کو sd1.attacker.com ایڈریس کا تعین کرتا ہے۔ چونکہ متذکرہ NS سرور کا پہلے سامنا نہیں ہوا ہے اور اس کے IP ایڈریس کی وضاحت نہیں کی گئی ہے، اس لیے حل کرنے والا ہدف ڈومین (victim.com) کی خدمت کرنے والے شکار کے DNS سرور کو ایک سوال بھیج کر NS سرور کے IP ایڈریس کا تعین کرنے کی کوشش کرتا ہے۔
مسئلہ یہ ہے کہ حملہ آور غیر دہرائے جانے والے NS سرورز کی ایک بڑی فہرست کے ساتھ غیر موجود فرضی شکار کے ذیلی ڈومین ناموں (fake-1.victim.com, fake-2.victim.com,... fake-1000) کے ساتھ جواب دے سکتا ہے۔ قرباني ڈاٹ کام)۔ حل کرنے والا شکار کے DNS سرور کو درخواست بھیجنے کی کوشش کرے گا، لیکن اسے ایک جواب ملے گا کہ ڈومین نہیں ملا، جس کے بعد وہ فہرست میں اگلے NS سرور کا تعین کرنے کی کوشش کرے گا، اور اسی طرح اس وقت تک جب تک اس نے تمام کوششیں نہ کر لیں۔ حملہ آور کے ذریعہ درج کردہ NS ریکارڈ۔ اس کے مطابق، ایک حملہ آور کی درخواست پر، حل کرنے والا NS میزبانوں کا تعین کرنے کے لیے بڑی تعداد میں درخواستیں بھیجے گا۔ چونکہ NS سرور کے نام تصادفی طور پر تیار کیے جاتے ہیں اور غیر موجود ذیلی ڈومینز کا حوالہ دیتے ہیں، اس لیے وہ کیشے سے بازیافت نہیں ہوتے ہیں اور حملہ آور کی ہر درخواست کے نتیجے میں متاثرہ کے ڈومین کی خدمت کرنے والے DNS سرور کو درخواستوں کی بھرمار ہوتی ہے۔
محققین نے اس مسئلے کے عوامی DNS حل کرنے والوں کی کمزوری کی ڈگری کا مطالعہ کیا اور طے کیا کہ CloudFlare حل کرنے والے (1.1.1.1) کو سوالات بھیجتے وقت، پیکٹوں کی تعداد (PAF، Packet Amplification Factor) کو 48 گنا بڑھانا ممکن ہے، گوگل (8.8.8.8) - 30 بار، FreeDNS (37.235.1.174) - 50 بار، OpenDNS (208.67.222.222) - 32 بار۔ کے لیے زیادہ قابل توجہ اشارے دیکھے جاتے ہیں۔
Level3 (209.244.0.3) - 273 بار، Quad9 (9.9.9.9) - 415 بار
SafeDNS (195.46.39.39) - 274 بار، Verisign (64.6.64.6) - 202 بار،
الٹرا (156.154.71.1) - 405 بار، Comodo Secure (8.26.56.26) - 435 بار، DNS.Watch (84.200.69.80) - 486 بار، اور Norton ConnectSafe (199.85.126.10 بار)۔ BIND 569 پر مبنی سرورز کے لیے، درخواستوں کے متوازی ہونے کی وجہ سے، نفع کی سطح 9.12.3 تک پہنچ سکتی ہے۔ Knot Resolver 1000 میں، حاصل کی سطح تقریباً کئی دس گنا (5.1.0-24) ہے، جب سے NS نام ترتیب وار انجام دیے جاتے ہیں اور ایک درخواست کے لیے اجازت دیے گئے ناموں کے حل کے مراحل کی تعداد کی اندرونی حد پر منحصر ہوتے ہیں۔
دو اہم دفاعی حکمت عملی ہیں۔ DNSSEC والے سسٹمز کے لیے استعمال کریں DNS کیش بائی پاس کو روکنے کے لیے کیونکہ درخواستیں بے ترتیب ناموں کے ساتھ بھیجی جاتی ہیں۔ طریقہ کار کا خلاصہ یہ ہے کہ DNSSEC کے ذریعے رینج چیکنگ کا استعمال کرتے ہوئے مستند DNS سرورز سے رابطہ کیے بغیر منفی ردعمل پیدا کرنا ہے۔ ایک آسان طریقہ یہ ہے کہ ان ناموں کی تعداد کو محدود کیا جائے جن کی وضاحت کسی ایک ڈیلیگیٹڈ درخواست پر کارروائی کرتے وقت کی جا سکتی ہے، لیکن یہ طریقہ کچھ موجودہ کنفیگریشنز میں مسائل پیدا کر سکتا ہے کیونکہ پروٹوکول میں حدود کی وضاحت نہیں کی گئی ہے۔
ماخذ: opennet.ru