NXNSAttack באַפאַלן וואָס אַפעקץ אַלע דנס רעסאָלווערס

א גרופּע פון ​​פאָרשער פון תל אביב אוניווערסיטעט און דעם ינטערדיסציפּלין צענטער אין הרצליה (ישראל) האט דעוועלאָפּעד נייַ באַפאַלן אופֿן NXNSAttack (פּדף), אַלאַוינג איר צו נוצן קיין DNS רעסאָלווערז ווי פאַרקער אַמפּלאַפייערז, פּראַוויידינג אַ אַמפּלאַפאַקיישאַן קורס פון אַרויף צו 1621 מאָל אין טערמינען פון די נומער פון פּאַקיץ (פֿאַר יעדער בעטן געשיקט צו די רעסאָלווער, איר קענען דערגרייכן 1621 ריקוועס צו די סערווער פון די קאָרבן) און אַרויף צו 163 מאל אין טערמינען פון פאַרקער.

דער פּראָבלעם איז שייַכות צו די פּיקיוליעראַטיז פון דעם פּראָטאָקאָל און אַפעקץ אַלע דנס סערווערס וואָס שטיצן רעקורסיווע אָנפֿרעג פּראַסעסינג, אַרייַנגערעכנט BIND (CVE-2020-8616) קנאָט (CVE-2020-12667) פּאָווערדנס (CVE-2020-10995) Windows DNS סערווירער и ונבאָונד (CVE-2020-12662), ווי געזונט ווי עפנטלעך דנס באַדינונגס פון Google, Cloudflare, Amazon, Quad9, ICANN און אנדערע קאָמפּאַניעס. די פאַרריכטן איז קאָואָרדאַנייטיד מיט דנס סערווער דעוועלאָפּערס, וואָס סיימאַלטייניאַסלי באפרייט דערהייַנטיקונגען צו פאַרריכטן די וואַלנעראַביליטי אין זייער פּראָדוקטן. באַפאַלן שוץ ימפּלאַמענאַד אין ריליסיז
ניט געבונדן 1.10.1, קנאָט רעסאָלווער 5.1.1, PowerDNS רעקורסאָר 4.3.1, 4.2.2, 4.1.16, בינד 9.11.19, 9.14.12, 9.16.3.

די באַפאַלן איז באזירט אויף די אַטאַקער ניצן ריקוועס וואָס אָפּשיקן צו אַ גרויס נומער פון ביז אַהער ומבאַמערקט פיקטיטיאָוס נס רעקאָרדס, צו וואָס נאָמען פעסטקייַט איז דעלאַגייטאַד, אָבער אָן ספּעציפיצירן קליי רעקאָרדס מיט אינפֿאָרמאַציע וועגן די IP אַדרעסעס פון נס סערווערס אין דער ענטפער. פֿאַר בייַשפּיל, אַ אַטאַקער סענדז אַ אָנפֿרעג צו באַשליסן די נאָמען sd1.attacker.com דורך קאַנטראָולינג די דנס סערווער פאַראַנטוואָרטלעך פֿאַר די attacker.com פעלד. אין ענטפער צו די בקשה פון די רעסאָלווער צו די דנס סערווער פון די אַטאַקער, אַ ענטפער איז ארויס וואָס דעלאַגייץ די באַשטימונג פון די sd1.attacker.com אַדרעס צו די דנס סערווער פון די קאָרבן דורך ינדאַקייטינג NS רעקאָרדס אין דער ענטפער אָן דיטיילינג די IP נס סערווערס. זינט די דערמאנט NS סערווער איז נישט געפּלאָנטערט פריער און זיין IP אַדרעס איז נישט ספּעסיפיעד, דער רעסאָלווער פרוווט צו באַשליסן די IP אַדרעס פון די NS סערווער דורך שיקן אַ אָנפֿרעג צו די קאָרבן ס דנס סערווער סערווינג די ציל פעלד (victim.com).

די פּראָבלעם איז אַז דער אַטאַקער קענען ריספּאַנד מיט אַ ריזיק רשימה פון ניט-ריפּיטינג נס סערווערס מיט ניט-עגזיסטאַנט פיקטישאַס קאָרבן סובדאָמאַין נעמען (פאַקע-1.victim.com, fake-2.victim.com, ... fake-1000. victim.com). דער רעסאָלווער וועט פּרובירן צו שיקן אַ בקשה צו די דנס סערווער פון די קאָרבן, אָבער וועט באַקומען אַ ענטפער אַז די פעלד איז נישט געפונען, נאָך וואָס עס וועט פּרובירן צו באַשליסן די ווייַטער נס סערווער אין דער רשימה, און אַזוי אויף ביז ער האט געפרוווט אַלע די NS רעקאָרדס ליסטעד דורך די אַטאַקער. אַקקאָרדינגלי, פֿאַר איין אַטאַקער ס בקשה, דער רעסאָלווער וועט שיקן אַ ריזיק נומער פון ריקוועס צו באַשליסן NS מחנות. זינט NS סערווער נעמען זענען דזשענערייטאַד ראַנדאַמלי און אָפּשיקן צו ניט-עגזיסטאַנט סובדאָמאַינס, זיי זענען נישט ריטריווד פון די קאַש און יעדער בקשה פון די אַטאַקער רעזולטאטן אין אַ פלערי פון ריקוועס צו די דנס סערווער סערווינג די קאָרבן ס פעלד.

רעסעאַרטשערס געלערנט די גראַד פון וואַלנעראַביליטי פון ציבור דנס רעסאָלווערז צו דעם פּראָבלעם און באשלאסן אַז ווען שיקט פֿראגן צו די CloudFlare רעסאָלווער (1.1.1.1), עס איז מעגלעך צו פאַרגרעסערן די נומער פון פּאַקיץ (PAF, פּאַקאַט אַמפּלאַפאַקיישאַן פאַקטאָר) מיט 48 מאל, Google (8.8.8.8) - 30 מאל, FreeDNS (37.235.1.174) - 50 מאל, OpenDNS (208.67.222.222) - 32 מאל. מער באמערקט ינדיקאַטאָרס זענען באמערקט פֿאַר
לעוועל3 (209.244.0.3) - 273 מאל, קוואַד9 (9.9.9.9) - 415 מאל
סאַפעדנס (195.46.39.39) - 274 מאל, וועריסיגן (64.6.64.6) - 202 מאל,
אַלטראַ (156.154.71.1) - 405 מאל, קאָמאָדאָ סעקורע (8.26.56.26) - 435 מאל, DNS.Watch (84.200.69.80) - 486 מאל, און Norton ConnectSafe (199.85.126.10 מאל) - 569 מאל. פֿאַר סערווערס באזירט אויף BIND 9.12.3, רעכט צו פּאַראַלעליזאַטיאָן פון ריקוועס, די געווינס מדרגה קענען דערגרייכן אַרויף צו 1000. אין Knot Resolver 5.1.0, די געווינס מדרגה איז בעערעך עטלעכע טענס פון מאל (24-48), זינט די פעסטקייַט פון NS נעמען איז דורכגעקאָכט סאַקווענטשאַלי און רעסץ אויף די ינערלעך שיעור אויף די נומער פון נאָמען האַכלאָטע סטעפּס ערלויבט פֿאַר איין בקשה.

עס זענען צוויי הויפּט פאַרטיידיקונג סטראַטעגיעס. פֿאַר סיסטעמען מיט DNSSEC פארגעלייגט נוצן רפק-8198 צו פאַרמייַדן דנס קאַש בייפּאַס ווייַל ריקוועס זענען געשיקט מיט טראַפ נעמען. די עסאַנס פון דעם אופֿן איז צו דזשענערייט נעגאַטיוו רעספּאָנסעס אָן קאָנטאַקט אַטאָראַטייטיוו דנס סערווערס, ניצן קייט קאָנטראָלירונג דורך DNSSEC. א סימפּלער צוגאַנג איז צו באַגרענעצן די נומער פון נעמען וואָס קענען זיין דיפיינד ווען פּראַסעסינג אַ איין דעלאַגייטאַד בעטן, אָבער דעם אופֿן קען פאַרשאַפן פּראָבלעמס מיט עטלעכע יגזיסטינג קאַנפיגיעריישאַנז ווייַל די לימאַץ זענען נישט דיפיינד אין דעם פּראָטאָקאָל.

מקור: opennet.ru