Sekelompok Para peneliti dari Universitas Tsinghua dan Universitas California di Riverside telah mengembangkan jenis serangan baru bahwa memungkinkan penggantian data palsu di cache server DNS, yang dapat digunakan untuk memalsukan alamat IP dari domain arbitrer dan mengalihkan panggilan ke domain tersebut ke server penyerang.
Serangan itu melewati perlindungan tambahan ke server DNS untuk memblokir metode peracunan cache DNS klasik yang diusulkan pada tahun 2008 oleh Dan Kaminsky.
Metode Kaminsky memanipulasi ukuran bidang id kueri DNS yang dapat diabaikan, yang hanya 16 bit. Untuk menemukan pengenal yang benar yang diperlukan untuk memalsukan nama host, cukup kirim sekitar 7.000 permintaan dan simulasikan sekitar 140.000 tanggapan palsu.
Serangan itu bermuara pada pengiriman sejumlah besar paket IP-terikat palsu ke penyelesai DNS dengan ID transaksi DNS yang berbeda. Untuk mencegah respons pertama dari cache, nama domain yang sedikit diubah ditentukan di setiap respons palsu.
Untuk melindungi dari serangan jenis ini, Produsen server DNS menerapkan distribusi acak nomor port jaringan sumber dari mana permintaan resolusi dikirim, yang mengkompensasi ukuran pengenal yang tidak cukup besar (untuk mengirim tanggapan fiktif, selain memilih pengenal 16-bit, perlu untuk memilih salah satu dari 64 ribu port, yang meningkatkan jumlah pilihan untuk pemilihan ke 2 ^ 32).
Serangan itu SAD DNS secara dramatis menyederhanakan identifikasi port dengan memanfaatkan aktivitas yang difilter pada port jaringan. Masalahnya memanifestasikan dirinya di semua sistem operasi (Linux, Windows, macOS dan FreeBSD) dan saat menggunakan server DNS yang berbeda (BIND, Unbound, dnsmasq).
Diklaim bahwa 34% dari semua pemecah terbuka diserang, serta 12 dari 14 layanan DNS teratas yang diuji, termasuk 8.8.8.8 (Google), 9.9.9.9 (Quad9), dan 1.1.1.1 (CloudFlare), serta 4 dari 6 router yang diuji dari vendor terkemuka.
Masalahnya adalah karena kekhasan pembentukan paket respon ICMP, bahwa memungkinkan Anda untuk menentukan akses ke port jaringan yang aktif dan tidak digunakan melalui UDP. Fitur ini memungkinkan Anda untuk dengan cepat memindai port UDP yang terbuka dan secara efektif melewati perlindungan berdasarkan pemilihan acak dari port jaringan sumber, mengurangi jumlah opsi brute force menjadi 2 ^ 16 + 2 ^ 16 daripada 2 ^ 32.
Sumber masalahnya adalah mekanisme untuk membatasi intensitas pengiriman jumlah paket ICMP di tumpukan jaringan, yang menggunakan nilai penghitung yang dapat diprediksi, tempat pelambatan ke depan dimulai. Penghitung ini umum untuk semua lalu lintas, termasuk lalu lintas palsu dari penyerang dan lalu lintas nyata. Secara default, di Linux, tanggapan ICMP dibatasi hingga 1000 paket per detik. Untuk setiap permintaan yang mencapai port jaringan tertutup, tumpukan jaringan menambah penghitung sebesar 1 dan mengirim paket ICMP dengan data dari port yang tidak dapat dijangkau.
Jadi jika Anda mengirim 1000 paket ke port jaringan yang berbeda, semuanya ditutup, server akan membatasi pengiriman tanggapan ICMP selama satu detik dan penyerang dapat yakin bahwa tidak ada port terbuka di antara 1000 port yang dicari. Jika paket dikirim ke port terbuka, server tidak akan mengembalikan respons ICMP dan nilai penghitung tidak akan berubah, yaitu, setelah 1000 paket dikirim, batas tingkat respons tidak akan tercapai.
Karena paket palsu dilakukan dari IP palsu, penyerang tidak dapat menerima tanggapan ICMP, tetapi berkat penghitung total, setelah setiap 1000 paket palsu, ia dapat mengirim permintaan ke port yang tidak ada dari IP asli dan mengevaluasi kedatangan jawabannya; jika jawabannya datang, maka di salah satu dari 1000 paket. Setiap detik, penyerang dapat mengirim 1000 paket palsu ke port yang berbeda dan dengan cepat menentukan blok mana yang membuka port tersebut, kemudian mempersempit pilihan dan menentukan port tertentu.
Kernel Linux memecahkan masalah dengan tambalan yang mengacak parameter untuk membatasi intensitas pengiriman paket ICMP, yang menimbulkan gangguan dan meminimalkan kebocoran data melalui saluran samping.
sumber: https://www.saddns.net/