Egy csoportja A Tsinghua Egyetem és a Riverside-i Kaliforniai Egyetem kutatói új típusú támadást fejlesztettek ki hogy lehetővé teszi a hamis adatok helyettesítését a DNS-kiszolgáló gyorsítótárában, amely felhasználható egy tetszőleges tartomány IP-címének meghamisítására és a tartományra irányuló hívások átirányítására a támadó szerverére.
A támadás megkerüli a DNS-kiszolgálók védettségét blokkolni a Dan Kaminsky által 2008-ban javasolt klasszikus DNS-gyorsítótár-mérgezési módszert.
A Kaminsky-módszer manipulálja a DNS lekérdezés id mező elhanyagolható méretét, ami csak 16 bites. A gazdagépnév hamisításához szükséges helyes azonosító megtalálásához küldjön csak körülbelül 7.000 kérést, és szimuláljon mintegy 140.000 XNUMX hamis választ.
A támadás nagyszámú hamis, IP-hez kötött csomag elküldésével jár különböző DNS-tranzakcióazonosítókkal rendelkező DNS-megoldóhoz. Az első válasz gyorsítótárazásának megakadályozása érdekében minden hamis válaszban megadunk egy kissé módosított tartománynevet.
Védekezés az ilyen típusú támadások ellen, DNS szerver gyártók a hálózati portszámok véletlenszerű elosztását valósította meg forrás, ahonnan a felbontási kéréseket küldik, amely kompenzálta a nem kellően nagy azonosító méretet (fiktív válasz elküldéséhez a 16 bites azonosító kiválasztása mellett 64 ezer port közül kellett választani, amely növelte a a kiválasztás lehetőségei 2 ^ 32-ig).
A támadás Az SAD DNS drámaian leegyszerűsíti a portok azonosítását kihasználva a hálózati portok szűrt tevékenységét. A probléma minden operációs rendszerben megnyilvánul (Linux, Windows, macOS és FreeBSD) és különböző DNS-kiszolgálók (BIND, Unbound, dnsmasq) használatakor.
Állítólag az összes nyitott megoldó 34% -át támadják meg, valamint a legnépszerűbb 12 tesztelt DNS-szolgáltatás közül 14, köztük a 8.8.8.8 (Google), 9.9.9.9 (Quad9) és 1.1.1.1 (CloudFlare) szolgáltatások, valamint a hat tesztelt útválasztó közül 4 jó hírű szállítótól.
A probléma az ICMP válaszcsomag-készítés sajátosságának tudható be, hogy lehetővé teszi az aktív hálózati portokhoz való hozzáférés meghatározását és nem használják UDP-n. Ez a szolgáltatás lehetővé teszi a nyitott UDP-portok nagyon gyors beolvasását és a védelem hatékony megkerülését a forrás hálózati portok véletlenszerű kiválasztása alapján, csökkentve a nyers erő opcióinak számát 2 ^ 16 helyett 2 ^ 16 + 2 ^ 32-ra.
A probléma forrása a szállítás intenzitásának korlátozására szolgáló mechanizmus ICMP-csomagok száma a hálózati veremben, amely kiszámítható számláló-értéket használ, amelytől kezdődik az előre történő fojtás. Ez a számláló általános az összes forgalom számára, beleértve a támadó hamis forgalmát és a valós forgalmat. Alapértelmezés szerint, Linuxon az ICMP válaszok másodpercenként 1000 csomagra korlátozódnak. Minden olyan kérés esetén, amely eléri a zárt hálózati portot, a hálózati verem 1-gyel növeli a számlálót, és ICMP-csomagot küld az elérhetetlen port adataiból.
Tehát, ha 1000 csomagot küld különböző hálózati portokra, mindez bezárva, a szerver korlátozni fogja az ICMP válaszok küldését egy másodpercig, és a támadó biztos lehet abban, hogy az 1000 keresett port között nincsenek nyitott portok. Ha egy csomagot nyitott portra küldenek, a szerver nem küld ICMP választ és a számláló értéke nem változik, vagyis 1000 csomag elküldése után a válaszarány határértéke nem lesz elérve.
Mivel a hamis csomagokat hamis IP-ről hajtják végre, a támadó nem tud ICMP válaszokat kapni, de a teljes számlálónak köszönhetően minden 1000 hamis csomag után kérést küldhet egy nem létező portra valódi IP-ről, és értékelheti a a válasz érkezése; ha jött a válasz, akkor az 1000 csomag egyikében. A támadó másodpercenként 1000 álcsomagot küldhet különböző portokba, és gyorsan meghatározhatja, melyik blokkban található a nyitott port, majd szűkíti a kijelölést és meghatároz egy adott portot.
A Linux kernel egy olyan javítással oldja meg a problémát, amely véletlenszerűen randomizálja a paramétereket az ICMP-csomagok küldésének intenzitásának korlátozása, ami zajt vezet be és minimalizálja az oldalsó csatornákon keresztüli adatszivárgást.
forrás: https://www.saddns.net/