SAD DNS:DNSキャッシュ内の偽のデータを置き換える攻撃

Darkcrizt

4分

のグループ 清華大学とカリフォルニア大学リバーサイド校の研究者が新しいタイプの攻撃を開発した その DNS サーバー キャッシュ内の偽のデータの置き換えを許可します。 これを使用すると、任意のドメインの IP アドレスを偽装し、そのドメインへの呼び出しを攻撃者のサーバーにリダイレクトできます。

DNS サーバーに追加された保護を回避する攻撃 2008 年に Dan Kaminsky によって提案された古典的な DNS キャッシュ ポイズニング手法をブロックします。

カミンスキー法 DNS クエリの ID フィールドのわずかなサイズを操作します。 それはわずか 16 ビットです。 ホスト名を偽装するために必要な正しい識別子を見つけるには、約 7.000 件のリクエストを送信し、約 140.000 件の誤った応答をシミュレートするだけで十分です。

この攻撃は、要約すると、偽の IP リンクされたパケットを大量に送信するというものです。 異なる DNS トランザクション ID を持つ DNS リゾルバーに送信します。 最初の応答がキャッシュされるのを防ぐために、各偽の応答ではわずかに変更されたドメイン名が指定されます。

この種の攻撃から保護するには、DNSサーバーメーカー ネットワークポート番号のランダムな配布を実装しました これにより、識別子のサイズが不十分であることが補われました(ダミー応答を送信するには、16 ビットの識別子の選択に加えて、64 個のポートの中から 2 つを選択する必要があり、ポート数が増加しました)。 32^XNUMX までの選択オプション)。

攻撃 SAD DNS はポート識別を大幅に簡素化します ネットワーク ポート上のフィルタリングされたアクティビティを利用することによって。 この問題はすべてのオペレーティング システムで発生します。 (Linux、Windows、macOS、FreeBSD)、および異なる DNS サーバー (BIND、Unbound、dnsmasq) を使用する場合。

すべてのオープン ソルバーの 34% が攻撃されていると言われています。 12 (Google)、14 (Quad8.8.8.8)、9.9.9.9 (CloudFlare) サービスを含む 9 の主要な DNS サービスのうち 1.1.1.1 サービスがテスト済みであり、有名メーカーのテスト済みルーター 4 台のうち 6 台も含まれています。

この問題は、ICMP 応答パケットの形成の特殊性によるものです。 その アクティブなネットワーク ポートへのアクセスを決定できます。 UDP では使用されません。 この機能により、オープン UDP ポートの非常に高速なスキャンが可能になり、送信元ネットワーク ポートのランダムな選択に基づいて保護を効果的にバイパスできるため、ブルート フォース オプションの数が 2^16 ではなく 2^16 + 2^32 に減ります。

問題の原因は送信強度を制限するメカニズムにある 予測可能なカウンタ値を使用して、ネットワーク スタック内の ICMP パケットの数を調べ、そこから順方向スロットリングが開始されます。 このカウンタはすべてのトラフィックに共通です、偽の攻撃者のトラフィックと実際のトラフィックを含みます。 デフォルトでは、 Linux では、ICMP 応答は 1000 秒あたり XNUMX パケットに制限されます。 閉じたネットワーク ポートに到着するリクエストごとに、ネットワーク スタックはカウンタを 1 つインクリメントし、ポート到達不能データを含む ICMP パケットを送信します。

したがって、1000 個のパケットを別のネットワーク ポートに送信すると、 すべてが閉じられている場合、サーバーは ICMP 応答の送信を制限します。 これで攻撃者は、検索された 1000 個のポートの中に開いているポートがないことを確認できます。 開いているポートにパケットが送信された場合、サーバーは ICMP 応答を返しません。 また、カウンターの値は変化しません。つまり、1000 パケットが送信された後でも、応答速度の制限に達しません。

偽のパケットは偽の IP から実行されるため、攻撃者は ICMP 応答を受信できませんが、トータル カウンタのおかげで、1000 個の偽のパケットごとに、実際の IP から存在しないポートにリクエストを送信し、応答の到着を評価できます。 応答が来た場合は、1000 パケットのうちの 1000 つで返されます。 攻撃者は毎秒 XNUMX 個の偽のパケットをさまざまなポートに送信し、開いているポートがどのブロックにあるかを迅速に判断し、選択を絞り込んで特定のポートを決定します。

Linux カーネルはパラメータをランダム化するパッチで問題を解決します ICMP パケットの送信強度を制限するため、ノイズが発生し、サイド チャネルを介したデータ漏洩が最小限に抑えられます。

出典 https://www.saddns.net/


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。