Rühm Tsinghua ülikooli ja Riverside'i California ülikooli teadlased on välja töötanud uut tüüpi rünnakud et võimaldab DNS-serveri vahemälus valeandmete asendamist, mida saab kasutada suvalise domeeni IP-aadressi võltsimiseks ja kõnedele domeeni suunamiseks ründaja serverisse.
Rünnak möödub DNS-serverite lisakaitsest blokeerida Dan Kaminsky 2008. aastal välja pakutud klassikaline DNS-i vahemälumürgituse meetod.
Kaminsky meetod manipuleerib DNS-i päringu ID välja tühise suurusega, mis on ainult 16-bitine. Hosti nime võltsimiseks vajaliku õige identifikaatori leidmiseks saatke lihtsalt umbes 7.000 taotlust ja simuleerige umbes 140.000 XNUMX vale vastust.
Rünnak taandub suure hulga võltsitud IP-ga seotud pakettide saatmisele erinevate DNS-i tehingute ID-dega DNS-i lahendajale. Esimese vastuse vahemällu salvestamise vältimiseks määratakse igas valevastuses veidi muudetud domeeninimi.
Kaitsmiseks seda tüüpi rünnakute eest, DNS-serverite tootjad rakendas võrgupordi numbrite juhuslikku jaotust allikas, kust saadetakse lahendustaotlused, mis kompenseeris ebapiisavalt suurt identifikaatori suurust (fiktiivse vastuse saatmiseks oli lisaks 16-bitise identifikaatori valimisele vaja valida üks 64 tuhande pordi hulgast, mis suurendas valikud 2 ^ 32).
Rünnak SAD DNS lihtsustab dramaatiliselt sadama tuvastamist kasutades ära filtreeritud tegevust võrgupordides. Probleem avaldub kõigis opsüsteemides (Linux, Windows, macOS ja FreeBSD) ning erinevate DNS-serverite kasutamisel (BIND, Unbound, dnsmasq).
Väidetavalt rünnatakse 34% kõigist avatud lahendajatest, samuti testitud top 12-st DNS-teenusest 14, sealhulgas 8.8.8.8 (Google), 9.9.9.9 (Quad9) ja 1.1.1.1 (CloudFlare) teenused, samuti 4 kuuest testitud ruuterist mainekate müüjate käest.
Probleem tuleneb ICMP vastusepakettide moodustamise eripärast, et võimaldab määrata juurdepääsu aktiivsetele võrgupordidele ja ei kasutata üle UDP. See funktsioon võimaldab teil väga kiiresti skannida avatud UDP-porte ja tõhusalt mööduda kaitsest lähtekoodivõrgu pordide juhusliku valiku põhjal, vähendades toore jõu valikute arvu 2 ^ 16 asemel 2 ^ 16 + 2 ^ 32-le.
Probleemi allikaks on saadetise intensiivsuse piiramise mehhanism ICMP-pakettide arv võrgupakis, mis kasutab ennustatavat loenduriväärtust, millest algab edasijõudmine. See loendur on tavaline kogu liikluse jaoks, sealhulgas ründaja võltsliiklus ja tegelik liiklus. Algselt, Linuxis on ICMP vastused piiratud 1000 paketiga sekundis. Iga suletud võrguporti jõudva päringu korral suurendab võrgupakk loendurit 1 võrra ja saadab kättesaamatu pordi andmetega ICMP-paketi.
Nii et kui saadate 1000 paketti erinevatesse võrgupordidesse, mis kõik on suletud, piirab server ICMP-vastuste saatmist ühe sekundi jooksul ja ründaja võib olla kindel, et 1000 otsitud pordi hulgas pole ühtegi avatud porti. Kui pakett saadetakse avatud porti, ei tagasta server ICMP vastust ja see ei muuda loenduri väärtust, see tähendab, et pärast 1000 paketi saatmist ei saavutata vastuse määra piiri.
Kuna võltspaketid viiakse läbi võlts-IP-lt, ei saa ründaja ICMP-vastuseid vastu võtta, kuid tänu koguarvule saab ta pärast iga 1000 võltspaketti saata päringu reaalsest IP-st olematu porti ja hinnata vastuse saabumine; kui vastus tuli, siis ühes 1000 pakendist. Iga sekund võib ründaja saata erinevatesse pordidesse 1000 võltspaketti ja kiiresti kindlaks teha, millises plokis avatud port on, seejärel kitsendada valikut ja määrata konkreetne port.
Linuxi tuum lahendab probleemi plaastriga, mis parameetrid randomiseerib piirata ICMP-pakettide saatmise intensiivsust, mis tekitab müra ja minimeerib andmete lekkimist külgkanalite kaudu.
allikas: https://www.saddns.net/