تل ابیب یونیورسٹی اور ہرزلیہ (اسرائیل) میں بین الضابطہ مرکز کے محققین کا ایک گروپ
مسئلہ پروٹوکول کی خصوصیات سے متعلق ہے اور ان تمام DNS سرورز کو متاثر کرتا ہے جو تکراری استفسار کی کارروائی کو سپورٹ کرتے ہیں، بشمول
حملہ حملہ آور کی درخواستوں پر مبنی ہے جو پہلے سے نہ دیکھے جانے والے فرضی NS ریکارڈز کی ایک بڑی تعداد کا حوالہ دیتے ہیں، جس کے لیے نام کا تعین تفویض کیا جاتا ہے، لیکن جواب میں NS سرورز کے IP پتوں کے بارے میں معلومات کے ساتھ گلو ریکارڈز کی وضاحت کیے بغیر۔ مثال کے طور پر، حملہ آور حملہ آور حملہ آور ڈاٹ کام ڈومین کے ذمہ دار DNS سرور کو کنٹرول کرکے sd1.attacker.com نام کو حل کرنے کے لیے ایک سوال بھیجتا ہے۔ حملہ آور کے DNS سرور کو حل کرنے والے کی درخواست کے جواب میں، ایک جواب جاری کیا جاتا ہے جو IP NS سرورز کی تفصیل کے بغیر جواب میں NS ریکارڈز کی نشاندہی کرکے شکار کے DNS سرور کو sd1.attacker.com ایڈریس کا تعین کرتا ہے۔ چونکہ متذکرہ NS سرور کا پہلے سامنا نہیں ہوا ہے اور اس کے IP ایڈریس کی وضاحت نہیں کی گئی ہے، اس لیے حل کرنے والا ہدف ڈومین (victim.com) کی خدمت کرنے والے شکار کے DNS سرور کو ایک سوال بھیج کر NS سرور کے IP ایڈریس کا تعین کرنے کی کوشش کرتا ہے۔
مسئلہ یہ ہے کہ حملہ آور غیر دہرائے جانے والے NS سرورز کی ایک بڑی فہرست کے ساتھ غیر موجود فرضی شکار کے ذیلی ڈومین ناموں (fake-1.victim.com, fake-2.victim.com,... fake-1000) کے ساتھ جواب دے سکتا ہے۔ قرباني ڈاٹ کام)۔ حل کرنے والا شکار کے DNS سرور کو درخواست بھیجنے کی کوشش کرے گا، لیکن اسے ایک جواب ملے گا کہ ڈومین نہیں ملا، جس کے بعد وہ فہرست میں اگلے NS سرور کا تعین کرنے کی کوشش کرے گا، اور اسی طرح اس وقت تک جب تک اس نے تمام کوششیں نہ کر لیں۔ حملہ آور کے ذریعہ درج کردہ NS ریکارڈ۔ اس کے مطابق، ایک حملہ آور کی درخواست پر، حل کرنے والا NS میزبانوں کا تعین کرنے کے لیے بڑی تعداد میں درخواستیں بھیجے گا۔ چونکہ NS سرور کے نام تصادفی طور پر تیار کیے جاتے ہیں اور غیر موجود ذیلی ڈومینز کا حوالہ دیتے ہیں، اس لیے وہ کیشے سے بازیافت نہیں ہوتے ہیں اور حملہ آور کی ہر درخواست کے نتیجے میں متاثرہ کے ڈومین کی خدمت کرنے والے DNS سرور کو درخواستوں کی بھرمار ہوتی ہے۔
محققین نے اس مسئلے کے عوامی DNS حل کرنے والوں کی کمزوری کی ڈگری کا مطالعہ کیا اور طے کیا کہ CloudFlare حل کرنے والے (1.1.1.1) کو سوالات بھیجتے وقت، پیکٹوں کی تعداد (PAF، Packet Amplification Factor) کو 48 گنا بڑھانا ممکن ہے، گوگل (8.8.8.8) - 30 بار، FreeDNS (37.235.1.174) - 50 بار، OpenDNS (208.67.222.222) - 32 بار۔ کے لیے زیادہ قابل توجہ اشارے دیکھے جاتے ہیں۔
Level3 (209.244.0.3) - 273 بار، Quad9 (9.9.9.9) - 415 بار
SafeDNS (195.46.39.39) - 274 بار، Verisign (64.6.64.6) - 202 بار،
الٹرا (156.154.71.1) - 405 بار، Comodo Secure (8.26.56.26) - 435 بار، DNS.Watch (84.200.69.80) - 486 بار، اور Norton ConnectSafe (199.85.126.10 بار)۔ BIND 569 پر مبنی سرورز کے لیے، درخواستوں کے متوازی ہونے کی وجہ سے، نفع کی سطح 9.12.3 تک پہنچ سکتی ہے۔ Knot Resolver 1000 میں، حاصل کی سطح تقریباً کئی دس گنا (5.1.0-24) ہے، جب سے NS نام ترتیب وار انجام دیے جاتے ہیں اور ایک درخواست کے لیے اجازت دیے گئے ناموں کے حل کے مراحل کی تعداد کی اندرونی حد پر منحصر ہوتے ہیں۔
دو اہم دفاعی حکمت عملی ہیں۔ DNSSEC والے سسٹمز کے لیے
ماخذ: opennet.ru