En gruppe af Forskere fra Tsinghua University og University of California i Riverside har udviklet en ny type angreb at tillader udskiftning af falske data i DNS-serverens cache, der kan bruges til at spoofe IP-adressen på et vilkårligt domæne og omdirigere opkald til domænet til angriberens server.
Angrebet omgår tilføjet beskyttelse til DNS-servere at blokere den klassiske DNS-cache-forgiftningsmetode, der blev foreslået i 2008 af Dan Kaminsky.
Kaminsky-metoden manipulerer den ubetydelige størrelse af feltet DNS-forespørgsels-id, hvilket kun er 16 bit. For at finde den korrekte identifikator, der er nødvendig for at falske værtsnavnet, skal du bare sende omkring 7.000 anmodninger og simulere omkring 140.000 falske svar.
Angrebet koger ned til at sende et stort antal falske IP-bundne pakker til DNS-opløseren med forskellige DNS-transaktions-id'er. For at forhindre, at det første svar cachelagres, angives et let ændret domænenavn i hvert falske svar.
For at beskytte mod denne type angreb, DNS-serverproducenter implementeret en tilfældig fordeling af netværksportnumre kilde, hvorfra resolutionsanmodningerne sendes, som kompenserede for den utilstrækkeligt store identifikatorstørrelse (for at sende et fiktivt svar, ud over at vælge en 16-bit identifikator, var det nødvendigt at vælge en af 64 tusinde porte, hvilket øgede antallet af valgmuligheder til 2 ^ 32).
Angrebet SAD DNS forenkler portidentifikation dramatisk ved at drage fordel af filtreret aktivitet på netværksporte. Problemet manifesterer sig i alle operativsystemer (Linux, Windows, macOS og FreeBSD) og når du bruger forskellige DNS-servere (BIND, Ubundet, dnsmasq).
Det hævdes, at 34% af alle åbne løsere bliver angrebet, samt 12 af de top 14 testede DNS-tjenester, herunder 8.8.8.8 (Google), 9.9.9.9 (Quad9) og 1.1.1.1 (CloudFlare) -tjenester, samt 4 ud af 6 testede routere fra velrenommerede leverandører.
Problemet skyldes den særlige egenskab ved dannelse af ICMP-responspakke, at giver dig mulighed for at bestemme adgangen til aktive netværksporte og ikke brugt over UDP. Denne funktion giver dig mulighed for meget hurtigt at scanne åbne UDP-porte og effektivt omgå beskyttelse baseret på et tilfældigt udvalg af kildenetværksporte, hvilket reducerer antallet af brute force-muligheder til 2 ^ 16 + 2 ^ 16 i stedet for 2 ^ 32.
Kilden til problemet er mekanismen til at begrænse forsendelsens intensitet antallet af ICMP-pakker på netværksstakken, der bruger en forudsigelig tællerværdi, hvorfra fremadregulering begynder. Denne tæller er almindelig for al trafik, inklusive falsk trafik fra angriberen og reel trafik. Som standard, på Linux er ICMP-svar begrænset til 1000 pakker pr. sekund. For hver anmodning, der når en lukket netværksport, forøger netværksstakken tælleren med 1 og sender en ICMP-pakke med data fra den ikke-tilgængelige port.
Så hvis du sender 1000 pakker til forskellige netværksporte, som alle er lukket, vil serveren begrænse afsendelsen af ICMP-svar i et sekund, og angriberen kan være sikker på, at der ikke er nogen åbne porte blandt de 1000 søgte porte. Hvis en pakke sendes til en åben port, returnerer serveren ikke et ICMP-svar og tællerens værdi ændres ikke, det vil sige, efter at 1000 pakker er sendt, vil svarsfrekvensgrænsen ikke blive nået.
Da falske pakker udføres fra en falsk IP, kan angriberen ikke modtage ICMP-svar, men takket være den samlede tæller kan han efter hver 1000 falske pakker sende en anmodning til en ikke-eksisterende port fra en rigtig IP og evaluere ankomsten af svaret hvis svaret kom, så i en af de 1000 pakker. Hvert sekund kan en hacker sende 1000 falske pakker til forskellige porte og hurtigt bestemme, hvilken blok den åbne port er i, derefter indsnævre markeringen og bestemme en bestemt port.
Linux-kernen løser problemet med en patch, der randomiserer parametrene for at begrænse intensiteten af at sende ICMP-pakker, som introducerer støj og minimerer datalækage gennem sidekanaler.
kilde: https://www.saddns.net/