Ẹgbẹ kan ti awọn oniwadi lati Ile-ẹkọ giga Tel Aviv ati Ile-iṣẹ Interdisciplinary ni Herzliya (Israel)
Iṣoro naa ni ibatan si awọn iyasọtọ ti ilana naa ati pe o kan gbogbo awọn olupin DNS ti o ṣe atilẹyin sisẹ ibeere loorekoore, pẹlu
Ikọlu naa da lori ikọlu naa nipa lilo awọn ibeere ti o tọka si nọmba nla ti awọn igbasilẹ NS airotẹlẹ ti a ko rii tẹlẹ, eyiti o jẹ aṣoju orukọ, ṣugbọn laisi asọye awọn igbasilẹ lẹ pọ pẹlu alaye nipa awọn adirẹsi IP ti awọn olupin NS ni idahun. Fun apẹẹrẹ, ikọlu kan ran ibeere kan lati yanju orukọ sd1.attacker.com nipa ṣiṣakoso olupin DNS ti o ni iduro fun agbegbe attacker.com. Ni idahun si ibeere olupinnu si olupin DNS ti olukapa, esi kan ti gbejade ti o ṣe aṣoju ipinnu ti adirẹsi sd1.attacker.com si olupin DNS ti olufaragba nipa fifi awọn igbasilẹ NS han ni idahun laisi alaye awọn olupin IP NS. Niwọn igba ti olupin NS ti a mẹnuba ko ti ni alabapade ṣaaju ati pe adiresi IP rẹ ko ni pato, olupinu ngbiyanju lati pinnu adiresi IP ti olupin NS nipa fifiranṣẹ ibeere kan si olupin DNS ti olufaragba ti n ṣiṣẹ agbegbe ibi-afẹde (victim.com).
Iṣoro naa ni pe ikọlu le dahun pẹlu atokọ nla ti awọn olupin NS ti kii ṣe atunwi pẹlu awọn orukọ subdomain olufaragba ti kii ṣe tẹlẹ (fake-1.victim.com, fake-2.victim.com,... fake-1000. njiya.com). Olupin yoo gbiyanju lati firanṣẹ ibeere kan si olupin DNS ti olufaragba, ṣugbọn yoo gba esi pe a ko rii agbegbe naa, lẹhin eyi yoo gbiyanju lati pinnu olupin NS atẹle ninu atokọ naa, ati bẹbẹ lọ titi ti o fi gbiyanju gbogbo NS igbasilẹ akojọ si nipasẹ awọn attacker. Nitorinaa, fun ibeere ikọlu kan, olupinu yoo firanṣẹ nọmba nla ti awọn ibeere lati pinnu awọn agbalejo NS. Niwọn igba ti awọn orukọ olupin NS ti wa ni ipilẹṣẹ laileto ati tọka si awọn subdomains ti ko si tẹlẹ, wọn ko gba wọn pada lati kaṣe ati ibeere kọọkan lati ọdọ awọn abajade ikọlu ni iru awọn ibeere si olupin DNS ti n ṣiṣẹ ni agbegbe olufaragba naa.
Awọn oniwadi ṣe iwadi iwọn ailagbara ti awọn ipinnu DNS gbangba si iṣoro naa ati pinnu pe nigba fifiranṣẹ awọn ibeere si ipinnu CloudFlare (1.1.1.1), o ṣee ṣe lati mu nọmba awọn apo-iwe pọ si (PAF, Factor Amplification Factor) nipasẹ awọn akoko 48, Google (8.8.8.8) - 30 igba, FreeDNS (37.235.1.174) - 50 igba, OpenDNS (208.67.222.222) - 32 igba. Awọn afihan diẹ sii ti o ṣe akiyesi ni a ṣe akiyesi fun
Ipele 3 (209.244.0.3) - awọn akoko 273, Quad9 (9.9.9.9) - awọn akoko 415
SafeDNS (195.46.39.39) - 274 igba, Verisign (64.6.64.6) - 202 igba,
Ultra (156.154.71.1) - 405 igba, Comodo Secure (8.26.56.26) - 435 igba, DNS.Watch (84.200.69.80) - 486 igba, ati Norton ConnectSafe (199.85.126.10) - 569 igba. Fun awọn olupin ti o da lori BIND 9.12.3, nitori parallelization ti awọn ibeere, ipele ere le de ọdọ 1000. Ni Knot Resolver 5.1.0, ipele ere jẹ isunmọ ọpọlọpọ awọn mewa ti awọn igba (24-48), niwon ipinnu ti Awọn orukọ NS ni a ṣe lẹsẹsẹ ati pe o wa lori opin inu lori nọmba awọn igbesẹ ipinnu ipinnu orukọ ti o gba laaye fun ibeere kan.
Awọn ọgbọn aabo akọkọ meji wa. Fun awọn ọna ṣiṣe pẹlu DNSSEC
orisun: opennet.ru