Grupa Pētnieki no Tsinghua universitātes un Kalifornijas universitātes Riversaidā ir izstrādājuši jauna veida uzbrukumus ka ļauj DNS servera kešatmiņā aizstāt nepatiesus datus, ko var izmantot, lai izkrāptu patvaļīga domēna IP adresi un novirzītu zvanus uz domēnu uz uzbrucēja serveri.
Uzbrukums apiet papildu serveru aizsardzību DNS serveriem lai bloķētu klasisko DNS kešatmiņas saindēšanās metodi, ko 2008. gadā ierosināja Dans Kaminskis.
Kaminsky metode manipulē ar nenozīmīgo DNS vaicājuma ID lauka lielumu, kas ir tikai 16 biti. Lai atrastu pareizo identifikatoru, kas nepieciešams, lai maldinātu resursdatora nosaukumu, vienkārši nosūtiet apmēram 7.000 pieprasījumu un simulējiet aptuveni 140.000 XNUMX viltus atbildes.
Uzbrukums noved pie tā, ka tiek nosūtīts liels skaits viltotu ar IP saistītu pakešu uz DNS risinātāju ar dažādiem DNS darījumu ID. Lai novērstu pirmās atbildes kešatmiņu, katrā viltus atbildē tiek norādīts nedaudz modificēts domēna nosaukums.
Lai pasargātu no šāda veida uzbrukumiem, DNS serveru ražotāji ieviesa nejaušu tīkla porta numuru sadalījumu avots, no kura tiek sūtīti izšķirtspējas pieprasījumi, kas kompensēja nepietiekami lielo identifikatora izmēru (lai nosūtītu fiktīvu atbildi, papildus 16 bitu identifikatora izvēlei bija jāizvēlas viena no 64 tūkstošiem portu, kas palielināja portālu skaitu izvēles iespējas līdz 2 ^ 32).
Uzbrukums VAD DNS ievērojami vienkāršo ostas identifikāciju izmantojot filtrēto darbību tīkla ostās priekšrocības. Problēma izpaužas visās operētājsistēmās (Linux, Windows, macOS un FreeBSD) un izmantojot dažādus DNS serverus (BIND, Nav saistību, dnsmasq).
Tiek apgalvots, ka tiek uzbrukts 34% no visiem atklātajiem risinātājiem, kā arī 12 no 14 pārbaudītajiem DNS pakalpojumiem, tostarp 8.8.8.8 (Google), 9.9.9.9 (Quad9) un 1.1.1.1 (CloudFlare) pakalpojumi, kā arī 4 no 6 pārbaudītajiem maršrutētājiem no cienījamiem pārdevējiem.
Problēma ir saistīta ar ICMP atbildes pakešu veidošanas īpatnībām, ka ļauj noteikt piekļuvi aktīvajām tīkla ostām un netiek izmantots pār UDP. Šī funkcija ļauj ļoti ātri skenēt atvērtos UDP portus un efektīvi apiet aizsardzību, pamatojoties uz nejaušu avota tīkla portu izvēli, samazinot brutālā spēka opciju skaitu līdz 2 ^ 16 + 2 ^ 16, nevis 2 ^ 32.
Problēmas avots ir sūtījuma intensitātes ierobežošanas mehānisms ICMP pakešu skaits tīkla kaudzē, kas izmanto paredzamu skaitītāja vērtību, no kuras sākas droselēšana uz priekšu. Šis skaitītājs ir kopīgs visai satiksmei, tostarp viltus satiksme no uzbrucēja un reālā satiksme. Pēc noklusējuma, operētājsistēmā Linux ICMP atbildes ir ierobežotas līdz 1000 paketēm sekundē. Katram pieprasījumam, kas sasniedz slēgta tīkla portu, tīkla kaudze palielina skaitītāju par 1 un nosūta ICMP paketi ar datiem no nepieejamā porta.
Tātad, ja jūs sūtāt 1000 paketes uz dažādām tīkla portiem, visi no tiem ir slēgti, serveris ierobežos ICMP atbilžu sūtīšanu vienu sekundi, un uzbrucējs var būt drošs, ka starp 1000 meklētajām ostām nav atvērtu ostu. Ja pakete tiek nosūtīta uz atvērtu portu, serveris neatdos ICMP atbildi un tas nemainīs skaitītāja vērtību, tas ir, pēc 1000 pakešu nosūtīšanas atbildes līmeņa ierobežojums netiks sasniegts.
Tā kā viltotās paketes tiek veiktas no viltus IP, uzbrucējs nevar saņemt ICMP atbildes, taču, pateicoties kopējam skaitītājam, viņš pēc katrām 1000 viltotām paketēm var nosūtīt pieprasījumu uz neesošu portu no reāla IP un novērtēt atbildes pienākšana; ja atbilde nāca, tad vienā no 1000 iepakojumiem. Katru sekundi uzbrucējs var nosūtīt 1000 viltus paketes uz dažādām ostām un ātri noteikt, kurā blokā atrodas atvērtais ports, pēc tam sašaurināt atlasi un noteikt konkrētu portu.
Linux kodols atrisina problēmu ar plāksteri, kas randomizē parametrus lai ierobežotu ICMP pakešu sūtīšanas intensitāti, kas rada troksni un samazina datu noplūdi caur sānu kanāliem.
Fuente: https://www.saddns.net/