BIND DNS سرور 9.11.18 اور 9.16.2 کی مستحکم برانچوں کے ساتھ ساتھ تجرباتی برانچ 9.17.1 کے لیے اصلاحی اپ ڈیٹس، جو ترقی میں ہے۔ نئی ریلیز میں حملوں کے خلاف غیر موثر دفاع سے منسلک سیکورٹی کا مسئلہ"DNS سرور فارورڈنگ کی درخواستوں کے موڈ میں کام کرتے وقت (ترتیبات میں "فارورڈرز" بلاک)۔ اس کے علاوہ، DNSSEC کے لیے میموری میں ذخیرہ شدہ ڈیجیٹل دستخطی اعدادوشمار کے سائز کو کم کرنے کے لیے کام کیا گیا ہے - ہر زون کے لیے ٹریک کردہ کیز کی تعداد 4 کر دی گئی ہے، جو کہ 99% معاملات میں کافی ہے۔
"DNS ری بائنڈنگ" تکنیک، جب کوئی صارف براؤزر میں ایک مخصوص صفحہ کھولتا ہے، تو داخلی نیٹ ورک پر کسی نیٹ ورک سروس سے WebSocket کنکشن قائم کرنے کی اجازت دیتا ہے جو براہ راست انٹرنیٹ کے ذریعے قابل رسائی نہیں ہے۔ موجودہ ڈومین (کراس اوریجن) کے دائرہ کار سے باہر جانے کے خلاف براؤزرز میں استعمال ہونے والے تحفظ کو نظرانداز کرنے کے لیے، DNS میں میزبان کا نام تبدیل کریں۔ حملہ آور کا DNS سرور ایک ایک کر کے دو IP پتے بھیجنے کے لیے ترتیب دیا گیا ہے: پہلی درخواست صفحہ کے ساتھ سرور کا حقیقی IP بھیجتی ہے، اور بعد کی درخواستیں ڈیوائس کا اندرونی پتہ واپس کر دیتی ہیں (مثال کے طور پر، 192.168.10.1)۔
پہلے جواب کے لیے زندہ رہنے کا وقت (TTL) ایک کم از کم قیمت پر مقرر کیا گیا ہے، اس لیے صفحہ کھولتے وقت، براؤزر حملہ آور کے سرور کے حقیقی IP کا تعین کرتا ہے اور صفحہ کے مواد کو لوڈ کرتا ہے۔ صفحہ JavaScript کوڈ چلاتا ہے جو TTL کے ختم ہونے کا انتظار کرتا ہے اور دوسری درخواست بھیجتا ہے، جو اب میزبان کی شناخت 192.168.10.1 کے طور پر کرتا ہے۔ یہ جاوا اسکرپٹ کو مقامی نیٹ ورک کے اندر کسی سروس تک رسائی کی اجازت دیتا ہے، کراس اوریجن پابندی کو نظرانداز کرتے ہوئے۔ BIND میں اس طرح کے حملوں کے خلاف بیرونی سرورز کو موجودہ اندرونی نیٹ ورک کے IP پتوں کو واپس کرنے سے روکنے پر مبنی ہے یا مقامی ڈومینز کے لیے CNAME عرفی نام deny-answer-addresses اور deny-answer-aliases کی ترتیبات کا استعمال کرتے ہوئے۔
ماخذ: opennet.ru