Tel-Aviv universiteti va Gerzliyadagi (Isroil) fanlararo markaz tadqiqotchilari guruhi yangi hujum usuli (), har qanday DNS-resolverlarini trafik kuchaytirgichlari sifatida ishlatishga imkon beradi, paketlar soni bo'yicha 1621 martagacha kuchaytirish tezligini ta'minlaydi (resolverga yuborilgan har bir so'rov uchun siz jabrlanuvchi serveriga yuborilgan 1621 so'rovga erishishingiz mumkin) va tirbandlik bo'yicha 163 martagacha.
Muammo protokolning o'ziga xos xususiyatlari bilan bog'liq va rekursiv so'rovlarni qayta ishlashni qo'llab-quvvatlaydigan barcha DNS serverlariga ta'sir qiladi, shu jumladan (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), shuningdek, Google, Cloudflare, Amazon, Quad9, ICANN va boshqa kompaniyalarning ommaviy DNS xizmatlari. Tuzatish DNS server ishlab chiquvchilari bilan muvofiqlashtirildi, ular bir vaqtning o'zida o'z mahsulotlaridagi zaiflikni tuzatish uchun yangilanishlarni chiqardilar. Relizlarda hujumdan himoyalangan
, , , .
Hujum tajovuzkor tomonidan ilgari ko'rilmagan ko'p sonli xayoliy NS yozuvlariga tegishli so'rovlardan foydalanishga asoslangan bo'lib, ular nomini aniqlash vakolati berilgan, ammo javobda NS serverlarining IP manzillari haqidagi ma'lumotlar bilan yopishtiruvchi yozuvlarni ko'rsatmasdan. Masalan, tajovuzkor sd1.attacker.com nomini hal qilish uchun so'rov yuboradi, bu orqali attacker.com domeni uchun mas'ul DNS serverni boshqaradi. Buzg'unchining DNS serveriga hal qiluvchi so'roviga javoban, IP NS serverlarini batafsil ko'rsatmasdan, javobda NS yozuvlarini ko'rsatish orqali sd1.attacker.com manzilini aniqlashni jabrlanuvchining DNS serveriga topshiradigan javob chiqariladi. Yuqorida qayd etilgan NS serveri ilgari uchramaganligi va uning IP-manzili ko'rsatilmaganligi sababli, hal qiluvchi maqsadli domenga (victim.com) xizmat ko'rsatuvchi qurbonning DNS serveriga so'rov yuborish orqali NS serverining IP manzilini aniqlashga harakat qiladi.
Muammo shundaki, tajovuzkor mavjud bo'lmagan xayoliy qurbon subdomen nomlari (fake-1.victim.com, fake-2.victim.com,... soxta-1000) bilan takrorlanmaydigan NS serverlarining katta ro'yxati bilan javob berishi mumkin. qurbon.com). Yechimchi jabrlanuvchining DNS serveriga so'rov yuborishga harakat qiladi, lekin domen topilmadi degan javobni oladi, shundan so'ng u ro'yxatdagi keyingi NS serverini aniqlashga harakat qiladi va hokazo. NS yozuvlari hujumchi tomonidan sanab o'tilgan. Shunga ko'ra, bitta tajovuzkorning so'rovi uchun hal qiluvchi NS xostlarini aniqlash uchun juda ko'p sonli so'rovlarni yuboradi. NS server nomlari tasodifiy yaratilganligi va mavjud bo'lmagan subdomenlarga tegishli bo'lganligi sababli, ular keshdan olinmaydi va tajovuzkorning har bir so'rovi qurbonning domeniga xizmat ko'rsatadigan DNS serveriga so'rovlar ko'p bo'lishiga olib keladi.
Tadqiqotchilar ommaviy DNS-rezolyutsiya vositalarining muammoga zaiflik darajasini o'rganishdi va CloudFlare rezolveriga (1.1.1.1) so'rovlarni yuborishda paketlar sonini (PAF, Packet Amplification Factor) 48 barobarga oshirish mumkinligini aniqladilar, Google (8.8.8.8) - 30 marta, FreeDNS (37.235.1.174) - 50 marta, OpenDNS (208.67.222.222) - 32 marta. uchun ko'proq sezilarli ko'rsatkichlar kuzatiladi
3-darajali (209.244.0.3) - 273 marta, Quad9 (9.9.9.9) - 415 marta
SafeDNS (195.46.39.39) - 274 marta, Verisign (64.6.64.6) - 202 marta,
Ultra (156.154.71.1) - 405 marta, Comodo Secure (8.26.56.26) - 435 marta, DNS.Watch (84.200.69.80) - 486 marta va Norton ConnectSafe (199.85.126.10) - 569 marta. BIND 9.12.3 asosidagi serverlar uchun so'rovlarni parallellashtirish tufayli daromad darajasi 1000 ga yetishi mumkin. Knot Resolver 5.1.0 da daromad darajasi taxminan bir necha o'n marta (24-48), aniqlangandan beri. NS nomlari ketma-ket bajariladi va bitta so'rov uchun ruxsat etilgan nomlarni aniqlash bosqichlari sonining ichki chegarasiga tayanadi.
Ikkita asosiy mudofaa strategiyasi mavjud. DNSSEC bilan tizimlar uchun foydalanish DNS keshini chetlab o'tishni oldini olish uchun, chunki so'rovlar tasodifiy nomlar bilan yuboriladi. Usulning mohiyati DNSSEC orqali diapazonni tekshirish yordamida vakolatli DNS serverlariga murojaat qilmasdan salbiy javoblarni yaratishdir. Oddiyroq yondashuv - bitta vakolatli so'rovni qayta ishlashda aniqlanishi mumkin bo'lgan nomlar sonini cheklash, ammo bu usul ba'zi mavjud konfiguratsiyalar bilan bog'liq muammolarni keltirib chiqarishi mumkin, chunki chegaralar protokolda aniqlanmagan.
Manba: opennet.ru