Ryhmä Tsinghuan yliopiston ja Riversiden Kalifornian yliopiston tutkijat ovat kehittäneet uuden tyyppisen hyökkäyksen että sallii väärien tietojen korvaamisen DNS-palvelimen välimuistissa, jota voidaan käyttää mielivaltaisen toimialueen IP-osoitteen väärentämiseen ja puheluiden ohjaamiseen toimialueelle hyökkääjän palvelimelle.
Hyökkäys ohittaa lisäsuojan DNS-palvelimille estää Dan Kaminskyn vuonna 2008 ehdottama klassinen DNS-välimuistimyrkytysmenetelmä.
Kaminsky-menetelmä manipuloi DNS-kyselyn id-kentän merkityksetöntä kokoa, mikä on vain 16-bittinen. Löydät isännän väärentämiseen tarvittavan oikean tunnisteen lähettämällä vain noin 7.000 pyyntöä ja simuloimalla noin 140.000 XNUMX väärää vastausta.
Hyökkäys lähtee lähettämään suuren määrän väärennettyjä IP-paketteja DNS-resolveriin, jolla on erilaiset DNS-tapahtumatunnukset. Ensimmäisen vastauksen välimuistiin tallentamisen estämiseksi jokaisessa väärässä vastauksessa määritetään hieman muokattu verkkotunnus.
Suojautua tällaisilta hyökkäyksiltä, DNS-palvelimen valmistajat toteutti satunnaisen verkon porttinumeroiden jakamisen lähde, josta lähetetään tarkistuspyynnöt, joka kompensoi riittämättömän suuren tunnistekoon (fiktiivisen vastauksen lähettämiseksi 16-bittisen tunnisteen valitsemisen lisäksi oli tarpeen valita yksi 64 tuhannesta portista, mikä lisäsi porttien määrää 2 ^ 32).
Hyökkäys SAD DNS yksinkertaistaa porttien tunnistamista dramaattisesti hyödyntämällä suodatettua toimintaa verkkoportteissa. Ongelma ilmenee kaikissa käyttöjärjestelmissä (Linux, Windows, macOS ja FreeBSD) ja kun käytetään eri DNS-palvelimia (BIND, Ei sitoumuksia, dnsmasq).
Väitetään, että 34% kaikista avoimista ratkaisijoista hyökätään, sekä 12 testatusta 14 parhaasta DNS-palvelusta, mukaan lukien 8.8.8.8 (Google), 9.9.9.9 (Quad9) ja 1.1.1.1 (CloudFlare) palvelut, sekä 4 testatusta reitittimestä luotettavilta toimittajilta.
Ongelma johtuu ICMP-vastepakettien muodostamisen erityispiirteistä, että sallii pääsyn aktiivisiin verkkoportteihin eikä sitä käytetä UDP: n kautta. Tämän ominaisuuden avulla voit skannata avoimia UDP-portteja erittäin nopeasti ja ohittaa suojauksen tehokkaasti lähdeverkkoporttien satunnaisen valinnan perusteella vähentämällä raakavoimavaihtoehtojen lukumääräksi 2 ^ 16 + 2 ^ 16 eikä 2 ^ 32.
Ongelman lähde on mekanismi, jolla rajoitetaan lähetyksen intensiteettiä verkkopinossa olevien ICMP-pakettien määrä, joka käyttää ennustettavaa laskuriarvoa, josta eteenpäin kuristus alkaa. Tämä laskuri on yhteinen kaikelle liikenteelle, mukaan lukien hyökkääjän väärennetty liikenne ja todellinen liikenne. Oletuksena, Linuxissa ICMP-vastaukset ovat rajoitettuja 1000 pakettiin sekunnissa. Jokaisesta pyynnöstä, joka saavuttaa suljetun verkkoportin, verkkopino kasvattaa laskuria 1: llä ja lähettää ICMP-paketin, jolla on tietoja tavoittamattomasta portista.
Joten jos lähetät 1000 pakettia eri verkkoportteihin, jotka kaikki ovat kiinni, palvelin rajoittaa ICMP-vastausten lähettämistä yhden sekunnin ajan ja hyökkääjä voi olla varma, että 1000 haetun portin joukossa ei ole avoimia portteja. Jos paketti lähetetään avoimeen porttiin, palvelin ei palauta ICMP-vastausta ja se ei muuta laskurin arvoa, toisin sanoen vasta kun 1000 pakettia on lähetetty, vastausnopeusrajaa ei saavuteta.
Koska väärennetyt paketit suoritetaan väärennetystä IP-osoitteesta, hyökkääjä ei voi vastaanottaa ICMP-vastauksia, mutta kokonaislaskurin ansiosta hän voi lähettää jokaisen 1000 väärennetyn paketin jälkeen pyynnön olemattomalle portille todellisesta IP-osoitteesta ja arvioida vastauksen saapuminen; jos vastaus tuli, niin yhdessä 1000 paketista. Joka sekunti hyökkääjä voi lähettää 1000 väärää pakettia eri portteihin ja selvittää nopeasti, missä lohkossa avoin portti on, kaventaa valintaa ja määrittää tietyn portin.
Linux-ydin ratkaisee ongelman korjaustiedostolla, joka satunnaistaa parametrit ICMP-pakettien lähettämisen voimakkuuden rajoittamiseksi, mikä aiheuttaa melua ja minimoi datavuodot sivukanavien kautta.
lähde: https://www.saddns.net/