Ẹgbẹ kan ti awọn oniwadi lati Ile-ẹkọ giga Tel Aviv ati Ile-iṣẹ Interdisciplinary ni Herzliya (Israel) titun kolu ọna (), gbigba ọ laaye lati lo eyikeyi awọn ipinnu DNS bi awọn ampilifaya ijabọ, pese iwọn ampilifaya ti o to awọn akoko 1621 ni awọn ofin ti nọmba awọn apo-iwe (fun ibeere kọọkan ti a firanṣẹ si olupinnu, o le ṣaṣeyọri awọn ibeere 1621 ti a firanṣẹ si olupin olufaragba) ati ki o to 163 igba ni awọn ofin ti ijabọ.
Iṣoro naa ni ibatan si awọn iyasọtọ ti ilana naa ati pe o kan gbogbo awọn olupin DNS ti o ṣe atilẹyin sisẹ ibeere loorekoore, pẹlu (CVE-2020-8616) (CVE-2020-12667) (CVE-2020-10995) и (CVE-2020-12662), bakanna bi awọn iṣẹ DNS ti gbogbo eniyan ti Google, Cloudflare, Amazon, Quad9, ICANN ati awọn ile-iṣẹ miiran. Atunṣe naa jẹ ipoidojuko pẹlu awọn olupilẹṣẹ olupin DNS, ti o ṣe idasilẹ awọn imudojuiwọn nigbakanna lati ṣatunṣe ailagbara ninu awọn ọja wọn. Idaabobo ikọlu ti a ṣe ni awọn idasilẹ
, , , .
Ikọlu naa da lori ikọlu naa nipa lilo awọn ibeere ti o tọka si nọmba nla ti awọn igbasilẹ NS airotẹlẹ ti a ko rii tẹlẹ, eyiti o jẹ aṣoju orukọ, ṣugbọn laisi asọye awọn igbasilẹ lẹ pọ pẹlu alaye nipa awọn adirẹsi IP ti awọn olupin NS ni idahun. Fun apẹẹrẹ, ikọlu kan ran ibeere kan lati yanju orukọ sd1.attacker.com nipa ṣiṣakoso olupin DNS ti o ni iduro fun agbegbe attacker.com. Ni idahun si ibeere olupinnu si olupin DNS ti olukapa, esi kan ti gbejade ti o ṣe aṣoju ipinnu ti adirẹsi sd1.attacker.com si olupin DNS ti olufaragba nipa fifi awọn igbasilẹ NS han ni idahun laisi alaye awọn olupin IP NS. Niwọn igba ti olupin NS ti a mẹnuba ko ti ni alabapade ṣaaju ati pe adiresi IP rẹ ko ni pato, olupinu ngbiyanju lati pinnu adiresi IP ti olupin NS nipa fifiranṣẹ ibeere kan si olupin DNS ti olufaragba ti n ṣiṣẹ agbegbe ibi-afẹde (victim.com).
Iṣoro naa ni pe ikọlu le dahun pẹlu atokọ nla ti awọn olupin NS ti kii ṣe atunwi pẹlu awọn orukọ subdomain olufaragba ti kii ṣe tẹlẹ (fake-1.victim.com, fake-2.victim.com,... fake-1000. njiya.com). Olupin yoo gbiyanju lati firanṣẹ ibeere kan si olupin DNS ti olufaragba, ṣugbọn yoo gba esi pe a ko rii agbegbe naa, lẹhin eyi yoo gbiyanju lati pinnu olupin NS atẹle ninu atokọ naa, ati bẹbẹ lọ titi ti o fi gbiyanju gbogbo NS igbasilẹ akojọ si nipasẹ awọn attacker. Nitorinaa, fun ibeere ikọlu kan, olupinu yoo firanṣẹ nọmba nla ti awọn ibeere lati pinnu awọn agbalejo NS. Niwọn igba ti awọn orukọ olupin NS ti wa ni ipilẹṣẹ laileto ati tọka si awọn subdomains ti ko si tẹlẹ, wọn ko gba wọn pada lati kaṣe ati ibeere kọọkan lati ọdọ awọn abajade ikọlu ni iru awọn ibeere si olupin DNS ti n ṣiṣẹ ni agbegbe olufaragba naa.
Awọn oniwadi ṣe iwadi iwọn ailagbara ti awọn ipinnu DNS gbangba si iṣoro naa ati pinnu pe nigba fifiranṣẹ awọn ibeere si ipinnu CloudFlare (1.1.1.1), o ṣee ṣe lati mu nọmba awọn apo-iwe pọ si (PAF, Factor Amplification Factor) nipasẹ awọn akoko 48, Google (8.8.8.8) - 30 igba, FreeDNS (37.235.1.174) - 50 igba, OpenDNS (208.67.222.222) - 32 igba. Awọn afihan diẹ sii ti o ṣe akiyesi ni a ṣe akiyesi fun
Ipele 3 (209.244.0.3) - awọn akoko 273, Quad9 (9.9.9.9) - awọn akoko 415
SafeDNS (195.46.39.39) - 274 igba, Verisign (64.6.64.6) - 202 igba,
Ultra (156.154.71.1) - 405 igba, Comodo Secure (8.26.56.26) - 435 igba, DNS.Watch (84.200.69.80) - 486 igba, ati Norton ConnectSafe (199.85.126.10) - 569 igba. Fun awọn olupin ti o da lori BIND 9.12.3, nitori parallelization ti awọn ibeere, ipele ere le de ọdọ 1000. Ni Knot Resolver 5.1.0, ipele ere jẹ isunmọ ọpọlọpọ awọn mewa ti awọn igba (24-48), niwon ipinnu ti Awọn orukọ NS ni a ṣe lẹsẹsẹ ati pe o wa lori opin inu lori nọmba awọn igbesẹ ipinnu ipinnu orukọ ti o gba laaye fun ibeere kan.
Awọn ọgbọn aabo akọkọ meji wa. Fun awọn ọna ṣiṣe pẹlu DNSSEC lilo lati ṣe idiwọ kaṣe DNS nitori a fi awọn ibeere ranṣẹ pẹlu awọn orukọ laileto. Koko-ọrọ ti ọna naa ni lati ṣe awọn idahun odi laisi kan si awọn olupin DNS ti o ni aṣẹ, ni lilo ṣiṣayẹwo iwọn nipasẹ DNSSEC. Ọna ti o rọrun ni lati fi opin si nọmba awọn orukọ ti o le ṣe asọye nigbati o ba n ṣiṣẹ ibeere aṣoju kan, ṣugbọn ọna yii le fa awọn iṣoro pẹlu diẹ ninu awọn atunto to wa nitori awọn opin ko ni asọye ninu ilana naa.
orisun: opennet.ru