Grupė Tyrėjai iš Tsinghua universiteto ir Kalifornijos universiteto Riverside'e sukūrė naujo tipo atakas kad leidžia pakeisti klaidingus duomenis DNS serverio talpykloje, kuris gali būti naudojamas apsimetant savavališko domeno IP adresą ir nukreipiant skambučius į domeną į užpuoliko serverį.
Ataka apeina papildomą DNS serverių apsaugą blokuoti klasikinį apsinuodijimo DNS talpykla metodą, kurį 2008 m. pasiūlė Danas Kaminsky.
Kaminskio metodas manipuliuoja nereikšmingu DNS užklausos ID lauko dydžiu, kuris yra tik 16 bitų. Norėdami rasti teisingą identifikatorių, kurio reikia norint suklaidinti pagrindinio kompiuterio vardą, tiesiog išsiųskite apie 7.000 užklausų ir imituokite apie 140.000 XNUMX fiktyvių atsakymų.
Ataka virsta tuo, kad siunčiama daugybė padirbtų IP prijungtų paketų į DNS sprendiklį su skirtingais DNS operacijų ID. Kad pirmasis atsakymas nebūtų laikomas talpykloje, kiekviename fiktyviame atsakyme nurodomas šiek tiek modifikuotas domeno vardas.
Apsaugoti nuo tokio tipo atakų, DNS serverių gamintojai įgyvendino atsitiktinį tinklo prievado numerių paskirstymą iš kurių siunčiami sprendimo prašymai, kurie kompensavo nepakankamai didelį identifikatoriaus dydį (norint išsiųsti fiktyvų atsakymą, be 16 bitų identifikatoriaus pasirinkimo, reikėjo pasirinkti vieną iš 64 tūkstančių prievadų, o tai padidino parinkčių skaičių atrankai iki 2 ^ 32).
Ataka BAD DNS labai supaprastina uosto identifikavimą pasinaudojant filtruota veikla tinklo uostuose. Problema pasireiškia visose operacinėse sistemose („Linux“, „Windows“, „macOS“ ir „FreeBSD“) ir naudojant skirtingus DNS serverius (BIND, Neribotas, dnsmasq).
Teigiama, kad 34% visų atvirų sprendėjų yra užpulti, taip pat 12 iš 14 geriausių išbandytų DNS paslaugų, įskaitant 8.8.8.8 („Google“), 9.9.9.9 („Quad9“) ir 1.1.1.1 („CloudFlare“) paslaugas, taip pat 4 iš 6 išbandytų žymių pardavėjų maršrutizatorių.
Problema kyla dėl ICMP atsakymo paketų formavimo ypatumų, kad leidžia nustatyti prieigą prie aktyvių tinklo prievadų ir nenaudojamas per UDP. Ši funkcija leidžia labai greitai nuskaityti atvirus UDP prievadus ir efektyviai apeiti apsaugą, remiantis atsitiktiniu šaltinio tinklo prievadų pasirinkimu, sumažinant grubios jėgos parinkčių skaičių iki 2 ^ 16 + 2 ^ 16 vietoj 2 ^ 32.
Problemos šaltinis yra siuntimo intensyvumo ribojimo mechanizmas tinklo kamino ICMP paketų skaičius, kuris naudoja nuspėjamą skaitiklio vertę, nuo kurios prasideda droseliavimas į priekį. Šis skaitiklis yra įprastas visam srautui, įskaitant netikrą užpuoliko srautą ir tikrąjį srautą. Pagal numatytuosius nustatymus „Linux“ sistemoje ICMP atsakymai ribojami iki 1000 paketų per sekundę. Kiekvienai užklausai, pasiekiančiai uždarą tinklo prievadą, tinklo kaminas padidina skaitiklį 1 ir išsiunčia ICMP paketą su duomenimis iš nepasiekiamo prievado.
Taigi, jei siunčiate 1000 paketų į skirtingus tinklo prievadus, visi jie uždaryti, serveris apribos ICMP atsakymų siuntimą vieną sekundę ir užpuolikas gali būti tikras, kad tarp 1000 ieškomų uostų nėra atvirų uostų. Jei paketas siunčiamas į atvirą prievadą, serveris negrąžins ICMP atsakymo ir tai nepakeis skaitiklio vertės, tai yra po to, kai bus išsiųsta 1000 paketų, atsakymo dažnio riba nebus pasiekta.
Kadangi netikri paketai vykdomi naudojant netikrą IP, užpuolikas negali gauti ICMP atsakymų, tačiau viso skaitiklio dėka, po kiekvieno 1000 padirbtų paketų jis gali išsiųsti užklausą į neegzistuojantį prievadą iš tikro IP ir įvertinti atsakymo atvykimas; jei atsakymas atėjo, tada vienoje iš 1000 pakuočių. Kiekvieną sekundę užpuolikas gali išsiųsti 1000 fiktyvių paketų į skirtingus uostus ir greitai nustatyti, kuriame bloke yra atviras uostas, tada susiaurinti pasirinkimą ir nustatyti konkretų prievadą.
„Linux“ branduolys problemą išsprendžia pleistru, kuris atsitiktinai parinkia parametrus apriboti ICMP paketų siuntimo intensyvumą, kuris sukelia triukšmą ir sumažina duomenų nutekėjimą šoniniais kanalais.
Fuente: https://www.saddns.net/