Skupina Vědci z Tsinghua University a University of California v Riverside vyvinuli nový typ útoku že umožňuje nahrazení falešných údajů v mezipaměti serveru DNS, které lze použít k zfalšování IP adresy libovolné domény a přesměrování hovorů do domény na server útočníka.
Útok obchází přidanou ochranu serverů DNS blokovat klasickou metodu otravy mezipaměti DNS navrženou v roce 2008 Danem Kaminskym.
Kaminská metoda manipuluje se zanedbatelnou velikostí pole ID dotazu DNS, což je pouze 16 bitů. Chcete-li najít správný identifikátor potřebný k zfalšování názvu hostitele, stačí odeslat přibližně 7.000 140.000 požadavků a simulovat přibližně XNUMX XNUMX falešných odpovědí.
Útok se scvrkává na odesílání velkého počtu falešných paketů vázaných na IP k překladači DNS s různými ID transakcí DNS. Aby se zabránilo ukládání první odpovědi do mezipaměti, je v každé falešné odpovědi uveden mírně upravený název domény.
Chránit před tímto typem útoku, Výrobci serverů DNS implementoval náhodné rozdělení čísel síťových portů zdroj, ze kterého jsou odesílány žádosti o rozlišení, což kompenzovalo nedostatečně velkou velikost identifikátoru (pro odeslání fiktivní odpovědi bylo kromě výběru 16bitového identifikátoru nutné vybrat jeden ze 64 tisíc portů, což zvýšilo počet možnosti výběru na 2 ^ 32).
Útok SAD DNS dramaticky zjednodušuje identifikaci portů využitím filtrované aktivity na síťových portech. Problém se projevuje ve všech operačních systémech (Linux, Windows, macOS a FreeBSD) a při použití různých serverů DNS (BIND, Unbound, dnsmasq).
Tvrdí se, že 34% všech otevřených řešitelů je napadeno, stejně jako 12 z top 14 testovaných služeb DNS, včetně služeb 8.8.8.8 (Google), 9.9.9.9 (Quad9) a 1.1.1.1 (CloudFlare), stejně jako 4 ze 6 testovaných routerů od renomovaných prodejců.
Problém je způsoben zvláštností tvorby paketů odpovědi ICMP, že umožňuje určit přístup k aktivním síťovým portům a nepoužívá se přes UDP. Tato funkce umožňuje velmi rychle skenovat otevřené porty UDP a účinně obcházet ochranu na základě náhodného výběru zdrojových síťových portů, čímž se snižuje počet možností hrubé síly na 2 ^ 16 + 2 ^ 16 namísto 2 ^ 32.
Zdrojem problému je mechanismus omezující intenzitu zásilky počet paketů ICMP na síťovém zásobníku, který používá předvídatelnou hodnotu čítače, od které začíná škrcení vpřed. Tento čítač je společný pro veškerý provoz, včetně falešného provozu od útočníka a skutečného provozu. Ve výchozím stavu, v systému Linux jsou odpovědi ICMP omezeny na 1000 XNUMX paketů za sekundu. Pro každý požadavek, který dosáhne uzavřeného síťového portu, síťový zásobník zvýší čítač o 1 a odešle paket ICMP s daty z nedosažitelného portu.
Pokud tedy posíláte 1000 paketů na různé síťové porty, z nichž všechny jsou uzavřeny, server omezí odesílání odpovědí ICMP na vteřinu a útočník si může být jistý, že mezi 1000 prohledávanými porty nejsou žádné otevřené porty. Pokud je paket odeslán na otevřený port, server nevrátí odpověď ICMP a nezmění to hodnotu čítače, to znamená, že po odeslání 1000 paketů nebude dosaženo limitu rychlosti odezvy.
Vzhledem k tomu, že falešné pakety jsou prováděny z falešné IP, útočník nemůže přijímat odpovědi ICMP, ale díky celkovému čítači může po každých 1000 falešných paketech odeslat požadavek na neexistující port ze skutečné IP a vyhodnotit příchod odpovědi; pokud přišla odpověď, pak v jednom z 1000 balíčků. Útočník může každou sekundu odeslat 1000 falešných paketů na různé porty a rychle určit, ve kterém bloku je otevřený port, poté zúžit výběr a určit konkrétní port.
Linuxové jádro řeší problém pomocí opravy, která náhodně rozděluje parametry omezit intenzitu odesílání paketů ICMP, což zavádí šum a minimalizuje únik dat bočními kanály.
zdroj: https://www.saddns.net/