مجموعة من طور باحثون من جامعة تسينغهوا وجامعة كاليفورنيا في ريفرسايد نوعًا جديدًا من الهجوم أن يسمح باستبدال البيانات الخاطئة في ذاكرة التخزين المؤقت لخادم DNS ، التي يمكن استخدامها لانتحال عنوان IP لمجال عشوائي وإعادة توجيه المكالمات إلى المجال إلى خادم المهاجم.
يتجاوز الهجوم الحماية الإضافية لخوادم DNS لحظر طريقة إفساد ذاكرة التخزين المؤقت لنظام أسماء النطاقات الكلاسيكية التي اقترحها دان كامينسكي عام 2008.
طريقة كامينسكي يعالج الحجم الضئيل لحقل معرف استعلام DNS ، وهو 16 بت فقط. للعثور على المعرف الصحيح اللازم لانتحال اسم المضيف ، ما عليك سوى إرسال حوالي 7.000 طلب ومحاكاة حوالي 140.000 رد وهمي.
يتلخص الهجوم في إرسال عدد كبير من حزم IP المزيفة إلى محلل DNS بمعرفات معاملات DNS مختلفة. لمنع الاستجابة الأولى من التخزين المؤقت ، يتم تحديد اسم مجال تم تعديله قليلاً في كل استجابة زائفة.
للحماية من هذا النوع من الهجوم، مصنعي خادم DNS نفذت توزيعًا عشوائيًا لأرقام منافذ الشبكة المصدر الذي يتم من خلاله إرسال طلبات الحل ، والذي عوض عن حجم المعرف الكبير غير الكافي (لإرسال رد وهمي ، بالإضافة إلى تحديد معرف 16 بت ، كان من الضروري تحديد واحد من 64 ألف منفذ ، مما أدى إلى زيادة عدد خيارات للاختيار حتى 2 ^ 32).
الهجوم يبسط SAD DNS تحديد المنفذ بشكل كبير من خلال الاستفادة من النشاط الذي تمت تصفيته على منافذ الشبكة. تتجلى المشكلة في جميع أنظمة التشغيل (Linux و Windows و macOS و FreeBSD) وعند استخدام خوادم DNS مختلفة (BIND و Unbound و dnsmasq).
يُزعم أن 34٪ من جميع أدوات الحل المفتوحة يتعرضون للهجوم ، بالإضافة إلى 12 من أفضل 14 خدمة DNS تم اختبارها ، بما في ذلك خدمات 8.8.8.8 (Google) و 9.9.9.9 (Quad9) و 1.1.1.1 (CloudFlare) ، بالإضافة إلى 4 من أصل 6 أجهزة توجيه تم اختبارها من بائعين مرموقين.
ترجع المشكلة إلى خصوصية تكوين حزمة استجابة ICMP ، أن يسمح بالوصول إلى منافذ الشبكة النشطة ليتم تحديدها ولا تستخدم عبر UDP. تتيح لك هذه الميزة إجراء مسح سريع لمنافذ UDP المفتوحة وتجاوز الحماية بشكل فعال استنادًا إلى التحديد العشوائي لمنافذ الشبكة المصدر ، مما يقلل عدد خيارات القوة الغاشمة إلى 2 ^ 16 + 2 ^ 16 بدلاً من 2 ^ 32.
مصدر المشكلة هو آلية الحد من كثافة الشحنة عدد حزم ICMP على مكدس الشبكة ، والذي يستخدم قيمة عداد يمكن التنبؤ بها ، والتي يبدأ منها الاختناق إلى الأمام. هذا العداد شائع لجميع حركة المرور، بما في ذلك حركة المرور الوهمية من المهاجم وحركة المرور الحقيقية. بشكل افتراضي، في نظام Linux ، تقتصر استجابات ICMP على 1000 حزمة في الثانية. لكل طلب يصل إلى منفذ شبكة مغلق ، يزيد مكدس الشبكة العداد بمقدار 1 ويرسل حزمة ICMP تحتوي على بيانات من المنفذ غير القابل للوصول.
لذلك إذا قمت بإرسال 1000 حزمة إلى منافذ شبكة مختلفة ، وكلها مغلقة ، سيقوم الخادم بتقييد إرسال استجابات ICMP لثانية واحدة ويمكن للمهاجم التأكد من عدم وجود منافذ مفتوحة بين 1000 منفذ تم تفتيشها. إذا تم إرسال حزمة إلى منفذ مفتوح ، فلن يقوم الخادم بإرجاع استجابة ICMP ولن يغير قيمة العداد ، أي بعد إرسال 1000 حزمة ، لن يتم الوصول إلى حد معدل الاستجابة.
نظرًا لأن الحزم المزيفة يتم تنفيذها من عنوان IP مزيف ، لا يمكن للمهاجم تلقي ردود ICMP ، ولكن بفضل العداد الإجمالي ، بعد كل 1000 حزمة مزيفة ، يمكنه إرسال طلب إلى منفذ غير موجود من IP حقيقي وتقييم وصول الجواب إذا جاء الجواب ، في واحدة من 1000 حزمة. في كل ثانية ، يمكن للمهاجم إرسال 1000 حزمة زائفة إلى منافذ مختلفة وتحديد المنفذ المفتوح بسرعة ، ثم تضييق نطاق التحديد وتحديد منفذ معين.
يحل Linux kernel المشكلة عن طريق التصحيح الذي يقوم بترتيب المعلمات عشوائيًا للحد من كثافة إرسال حزم ICMP ، مما يؤدي إلى حدوث ضوضاء وتقليل تسرب البيانات عبر القنوات الجانبية.
مصدر: https://www.saddns.net/