Група от Изследователи от университета Цингхуа и Калифорнийския университет в Ривърсайд са разработили нов тип атака че позволява заместване на фалшиви данни в кеша на DNS сървъра, което може да се използва за подправяне на IP адреса на произволен домейн и пренасочване на повикванията към домейна към сървъра на нападателя.
Атаката заобикаля допълнителна защита на DNS сървърите за блокиране на класическия метод за отравяне на DNS кеша, предложен през 2008 г. от Дан Камински.
Методът на Камински манипулира незначителния размер на полето за идентификация на DNS заявка, което е само 16 бита. За да намерите правилния идентификатор, необходим за фалшифициране на името на хоста, просто изпратете около 7.000 заявки и симулирайте около 140.000 XNUMX фалшиви отговора.
Атаката се свежда до изпращане на голям брой фалшиви IP-обвързани пакети към DNS преобразувателя с различни идентификатори на DNS транзакции. За да се предотврати кеширането на първия отговор, във всеки фалшив отговор се посочва леко модифицирано име на домейн.
За защита срещу този тип атака, Производители на DNS сървъри внедри случайно разпределение на номера на мрежови портове източник, от който се изпращат исканията за резолюция, който компенсира недостатъчно големия размер на идентификатора (за да се изпрати фиктивен отговор, в допълнение към избора на 16-битов идентификатор, беше необходимо да се избере и един от 64 хиляди порта, което увеличи броя на опции за избор до 2 ^ 32).
Атаката SAD DNS драстично опростява идентификацията на порта като се възползвате от филтрираната дейност на мрежовите портове. Проблемът се проявява във всички операционни системи (Linux, Windows, macOS и FreeBSD) и при използване на различни DNS сървъри (BIND, Unbound, dnsmasq).
Твърди се, че 34% от всички отворени решения са атакувани, както и 12 от топ 14 тествани DNS услуги, включително 8.8.8.8 (Google), 9.9.9.9 (Quad9) и 1.1.1.1 (CloudFlare) услуги, както и 4 от 6 тествани рутери от реномирани доставчици.
Проблемът се дължи на особеността на формирането на ICMP пакет за отговор, че позволява да се определи достъп до активни мрежови портове и не се използва през UDP. Тази функция ви позволява много бързо да сканирате отворени UDP портове и ефективно да заобикаляте защитата въз основа на произволен избор на мрежови портове източник, намалявайки броя на опциите за груба сила до 2 ^ 16 + 2 ^ 16 вместо 2 ^ 32.
Източникът на проблема е механизмът за ограничаване на интензивността на пратката брой ICMP пакети в мрежовия стек, който използва предсказуема броячна стойност, от която започва регулиране напред. Този брояч е общ за целия трафик, включително фалшив трафик от нападателя и реален трафик. По подразбиране, на Linux, ICMP отговорите са ограничени до 1000 пакета в секунда. За всяка заявка, която достига до затворен мрежов порт, мрежовият стек увеличава брояча с 1 и изпраща ICMP пакет с данни от недостижимия порт.
Така че, ако изпратите 1000 пакета до различни мрежови портове, всички от които са затворени, сървърът ще ограничи изпращането на ICMP отговори за една секунда и нападателят може да бъде сигурен, че няма отворени портове измежду 1000 търсени портове. Ако пакет е изпратен до отворен порт, сървърът няма да върне ICMP отговор и стойността на брояча няма да се промени, тоест след изпращане на 1000 пакета, ограничението на скоростта на отговор няма да бъде достигнато.
Тъй като фалшивите пакети се извършват от фалшив IP, нападателят не може да получи ICMP отговори, но благодарение на общия брояч, след всеки 1000 фалшиви пакета, той може да изпрати заявка до несъществуващ порт от реален IP и да оцени пристигането на отговора; ако отговорът дойде, тогава в един от 1000 пакета. Всяка секунда нападателят може да изпрати 1000 фалшиви пакета до различни портове и бързо да определи в кой блок се намира отвореният порт, след което да стесни избора и да определи конкретен порт.
Ядрото на Linux решава проблема с кръпка, която рандомизира параметрите за ограничаване на интензивността на изпращане на ICMP пакети, което въвежда шум и минимизира изтичането на данни през странични канали.
Fuente: https://www.saddns.net/