রিভারসাইডের ক্যালিফোর্নিয়া বিশ্ববিদ্যালয়ের একদল গবেষক এই তথ্য প্রকাশ করেছেন কিছু দিন আগে SAD DNS আক্রমণের একটি নতুন রূপ যা গত বছর ব্লক করার জন্য সুরক্ষা যোগ করা সত্ত্বেও কাজ করে CVE-2020-25705 দুর্বলতা।
নতুন পদ্ধতি সাধারণত গত বছরের দুর্বলতার অনুরূপ এবং শুধুমাত্র একটি ভিন্ন ধরনের প্যাকেজ ব্যবহার করে পার্থক্য করা হয়েছে সক্রিয় UDP পোর্ট যাচাই করতে ICMP. প্রস্তাবিত হামলা একটি DNS সার্ভারের ক্যাশে ডামি ডেটা প্রতিস্থাপন করা সম্ভব করে তোলে, যা ক্যাশে একটি নির্বিচারে ডোমেনের আইপি ঠিকানা স্পুফ করতে এবং আক্রমণকারীর সার্ভারে ডোমেনে কল পুনঃনির্দেশ করতে ব্যবহার করা যেতে পারে।
প্রস্তাবিত পদ্ধতিটি শুধুমাত্র লিনাক্স নেটওয়ার্ক স্ট্যাকের উপর কার্যকর লিনাক্সে ICMP প্যাকেট প্রসেসিং মেকানিজমের বিশেষত্বের সাথে সংযোগের কারণে, এটি ডেটা ফাঁসের একটি উৎস হিসেবে কাজ করে যা সার্ভার দ্বারা বহিরাগত অনুরোধ পাঠানোর জন্য ব্যবহৃত UDP পোর্ট নম্বর নির্ধারণকে সহজ করে।
সমস্যা চিহ্নিতকারী গবেষকদের মতে, দুর্বলতা নেটওয়ার্কের প্রায় 38% খোলা সমাধানকে প্রভাবিত করে, জনপ্রিয় DNS পরিষেবা সহ OpenDNS এবং Quad9 এর মত (9.9.9.9)। সার্ভার সফ্টওয়্যারের জন্য, লিনাক্স সার্ভারে BIND, Unbound, এবং dnsmasq-এর মতো প্যাকেজ ব্যবহার করে আক্রমণ করা যেতে পারে। উইন্ডোজ এবং বিএসডি সিস্টেমে চলমান ডিএনএস সার্ভারগুলি সমস্যা দেখায় না। একটি আক্রমণ সফলভাবে সম্পূর্ণ করতে আইপি স্পুফিং ব্যবহার করা আবশ্যক। এটা নিশ্চিত করা প্রয়োজন যে আক্রমণকারীর আইএসপি একটি স্পুফড সোর্স আইপি ঠিকানা সহ প্যাকেটগুলি ব্লক করে না।
একটি অনুস্মারক হিসাবে, আক্রমণ SAD DNS ক্লাসিক DNS ক্যাশে বিষক্রিয়া পদ্ধতি ব্লক করতে DNS সার্ভারে বাইপাস সুরক্ষা যোগ করার অনুমতি দেয় ড্যান কামিনস্কি 2008 সালে প্রস্তাব করেছিলেন।
কামিনস্কির পদ্ধতিটি ডিএনএস ক্যোয়ারী আইডি ফিল্ডের নগণ্য আকারকে ম্যানিপুলেট করে, যা মাত্র 16 বিট। হোস্টের নাম ফাঁকি দেওয়ার জন্য প্রয়োজনীয় সঠিক DNS লেনদেন শনাক্তকারী খুঁজে পেতে, প্রায় 7.000 অনুরোধ পাঠান এবং প্রায় 140.000 জাল প্রতিক্রিয়া অনুকরণ করুন৷ আক্রমণটি সিস্টেমে প্রচুর পরিমাণে জাল আইপি-বাউন্ড প্যাকেট পাঠানোর জন্য উত্থিত হয় বিভিন্ন DNS লেনদেন শনাক্তকারীর সাথে DNS রেজোলিউশন।
এই ধরনের আক্রমণ থেকে রক্ষা করার জন্য, DNS সার্ভার নির্মাতারা নেটওয়ার্ক পোর্ট নম্বরগুলির একটি এলোমেলো বিতরণ বাস্তবায়ন করেছে যে উত্স থেকে রেজোলিউশন অনুরোধ পাঠানো হয়, যা অপর্যাপ্তভাবে বড় হ্যান্ডেল আকারের জন্য ক্ষতিপূরণ দেয়। একটি ডামি প্রতিক্রিয়া পাঠানোর জন্য সুরক্ষা বাস্তবায়নের পরে, একটি 16-বিট শনাক্তকারী নির্বাচনের পাশাপাশি, 64 হাজার পোর্টের মধ্যে একটি নির্বাচন করা প্রয়োজন হয়ে পড়ে, যা নির্বাচনের বিকল্পের সংখ্যা বাড়িয়ে 2^32 করেছে।
পদ্ধতি SAD DNS আপনাকে আমূলভাবে নেটওয়ার্ক পোর্ট নম্বর নির্ধারণ এবং আক্রমণ কমাতে দেয় ক্লাসিক্যাল কামিনস্কি পদ্ধতিতে। একজন আক্রমণকারী ICMP প্রতিক্রিয়া প্যাকেটগুলি প্রক্রিয়া করার সময় নেটওয়ার্ক পোর্ট কার্যকলাপ সম্পর্কে ফাঁস হওয়া তথ্যের সুবিধা গ্রহণ করে অব্যবহৃত এবং সক্রিয় UDP পোর্টগুলিতে অ্যাক্সেস নির্ধারণ করতে পারে।
তথ্য ফাঁস যা আপনাকে সক্রিয় UDP পোর্টগুলিকে দ্রুত শনাক্ত করতে দেয় তা ফ্র্যাগমেন্টেশন (ICMP ফ্র্যাগমেন্টেশন প্রয়োজনীয় ফ্ল্যাগ) বা রিডাইরেক্ট (ICMP রিডাইরেক্ট পতাকা) অনুরোধ সহ ICMP প্যাকেটগুলি পরিচালনা করার জন্য কোডের ত্রুটির কারণে। এই ধরনের প্যাকেট পাঠানোর ফলে নেটওয়ার্ক স্ট্যাকের ক্যাশে অবস্থার পরিবর্তন হয়, সার্ভারের প্রতিক্রিয়ার উপর ভিত্তি করে কোন UDP পোর্ট সক্রিয় এবং কোনটি নয় তা নির্ধারণ করা সম্ভব হয়।
আগস্টের শেষে লিনাক্স কার্নেলে তথ্য ফাঁসকে ব্লক করে এমন পরিবর্তনগুলি গ্রহণ করা হয়েছিল (কারনেলের LTS শাখার কার্নেল 5.15 এবং সেপ্টেম্বর আপডেটে ফিক্সটি অন্তর্ভুক্ত ছিল।) সমাধান হল জেনকিন্স হ্যাশের পরিবর্তে নেটওয়ার্ক ক্যাশে সিপহ্যাশ হ্যাশ অ্যালগরিদম ব্যবহার করা।
অবশেষে, আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন তবে আপনি এই বিষয়ে পরামর্শ নিতে পারেন নিম্নলিখিত লিঙ্কে বিশদ।