Rühm Riverside'i California ülikooli teadlasi avaldas Mõned päevad tagasi SAD DNS-i rünnaku uus variant mis töötab vaatamata eelmisel aastal blokeerimiseks lisatud kaitsele haavatavus CVE-2020-25705.
Uus meetod on üldiselt sarnane eelmise aasta haavatavusega ja eristub ainult teist tüüpi pakettide kasutamisest ICMP aktiivsete UDP-portide kontrollimiseks. Kavandatud rünnak võimaldab asendada valeandmeid DNS-serveri vahemälus, mida saab kasutada vahemälus oleva suvalise domeeni IP-aadressi võltsimiseks ja domeeni kõnede ümbersuunamiseks ründaja serverisse.
Pakutud meetod töötab ainult Linuxi võrgupinus Seoses Linuxi ICMP paketttöötlusmehhanismi iseärasustega toimib see andmelekete allikana, mis lihtsustab serveri poolt välise päringu saatmiseks kasutatava UDP-pordi numbri määramist.
Probleemi tuvastanud teadlaste sõnul haavatavus mõjutab ligikaudu 38% võrgu avatud lahendajatest, sealhulgas populaarsed DNS-teenused nagu OpenDNS ja Quad9 (9.9.9.9). Serveritarkvara puhul saab rünnaku läbi viia selliste pakettide abil nagu BIND, Unbound ja dnsmasq Linuxi serveris. Windowsis ja BSD-süsteemides töötavad DNS-serverid probleemi ei näita. Rünnaku edukaks lõpuleviimiseks tuleb kasutada IP võltsimist. On vaja tagada, et ründaja Interneti-teenuse pakkuja ei blokeeriks võltsitud lähte-IP-aadressiga pakette.
Meeldetuletuseks, rünnak SAD DNS võimaldab DNS-serveritele lisada möödaviigukaitset, et blokeerida klassikaline DNS-i vahemälu mürgistusmeetod pakkus välja 2008. aastal Dan Kaminsky.
Kaminsky meetod manipuleerib DNS-päringu ID välja tühise suurusega, mis on vaid 16 bitti. Hostinime võltsimiseks vajaliku õige DNS-tehingu identifikaatori leidmiseks saatke lihtsalt umbes 7.000 päringut ja simuleerige umbes 140.000 XNUMX võltsvastust. Rünnak taandub suure hulga võltsitud IP-ga seotud pakettide saatmisele süsteemi DNS-i lahendaja erinevate DNS-tehingu identifikaatoritega.
Seda tüüpi rünnakute eest kaitsmiseks DNS-serveri tootjad rakendas võrgupordi numbrite juhuslikku jaotust allikas, kust eraldustaotlusi saadetakse, mis korvas ebapiisavalt suure identifikaatori suuruse. Pärast fiktiivse vastuse saatmise kaitse rakendamist tekkis lisaks 16-bitise identifikaatori valikule vaja valida üks 64 tuhandest pordist, mis suurendas valikuvõimaluste arvu 2-ni ^ 32.
Meetod SAD DNS võimaldab teil radikaalselt lihtsustada võrgupordi numbri määramist ja vähendada rünnakuid klassikalise Kaminsky meetodile. Ründaja saab määrata juurdepääsu kasutamata ja aktiivsetele UDP-portidele, kasutades ICMP vastusepakettide töötlemisel võrgupordi tegevuse kohta lekkinud teavet.
Teabeleke, mis võimaldab teil kiiresti tuvastada aktiivseid UDP-porte, on tingitud koodi veast, mis käsitleb ICMP-pakette koos killustatuse (ICMP fragmentatsiooni nõutav lipp) või ümbersuunamise (ICMP ümbersuunamislipp) taotlustega. Selliste pakettide saatmine muudab vahemälu olekut võrgupinus, võimaldades serveri vastuse põhjal kindlaks teha, milline UDP-port on aktiivne ja milline mitte.
Infolekkeid blokeerivad muudatused võeti Linuxi kernelisse augusti lõpus (Parandus lisati kerneli versiooni 5.15 ja kerneli LTS-i harude septembri värskendustesse.) Lahenduseks on minna üle SipHashi räsialgoritmi kasutamisele võrgu vahemälu Jenkins Hashi asemel.
Lõpuks, kui olete huvitatud selle kohta lisateabest, võite pöörduda üksikasjad järgmisel lingil.