रिव्हरसाइड येथील कॅलिफोर्निया विद्यापीठातील संशोधकांच्या गटाने प्रसिद्ध केले काही दिवसांपूर्वी SAD DNS हल्ल्याचा एक नवीन प्रकार जे अवरोधित करण्यासाठी गेल्या वर्षी जोडलेले संरक्षण असूनही कार्य करते CVE-2020-25705 असुरक्षा.
नवीन पद्धत सर्वसाधारणपणे आहे गेल्या वर्षीच्या असुरक्षा प्रमाणेच आणि फक्त वेगळ्या प्रकारच्या पॅकेजच्या वापराने वेगळे केले जाते सक्रिय UDP पोर्ट सत्यापित करण्यासाठी ICMP. प्रस्तावित हल्ला DNS सर्व्हरच्या कॅशेमध्ये डमी डेटा बदलणे शक्य करते, ज्याचा वापर कॅशेमधील अनियंत्रित डोमेनचा IP पत्ता स्पूफ करण्यासाठी आणि आक्रमणकर्त्याच्या सर्व्हरवर डोमेनवर कॉल पुनर्निर्देशित करण्यासाठी केला जाऊ शकतो.
प्रस्तावित पद्धत फक्त Linux नेटवर्क स्टॅकवर कार्यान्वित आहे लिनक्समधील ICMP पॅकेट प्रोसेसिंग मेकॅनिझमच्या वैशिष्ट्यांशी त्याच्या कनेक्शनमुळे, ते डेटा लीकचा एक स्रोत म्हणून कार्य करते जे बाह्य विनंती पाठवण्यासाठी सर्व्हरद्वारे वापरलेल्या UDP पोर्ट नंबरचे निर्धारण सुलभ करते.
समस्या ओळखणाऱ्या संशोधकांच्या मते, असुरक्षा नेटवर्कवरील सुमारे 38% ओपन सॉल्व्हर्सवर परिणाम करते, लोकप्रिय DNS सेवांचा समावेश आहे OpenDNS आणि Quad9 सारखे (9.9.9.9). सर्व्हर सॉफ्टवेअरसाठी, लिनक्स सर्व्हरवर BIND, अनबाउंड आणि dnsmasq सारख्या पॅकेजेसचा वापर करून हल्ला केला जाऊ शकतो. विंडोज आणि बीएसडी सिस्टमवर चालणारे DNS सर्व्हर समस्या दर्शवत नाहीत. हल्ला यशस्वीपणे पूर्ण करण्यासाठी IP स्पूफिंग वापरणे आवश्यक आहे. हे सुनिश्चित करणे आवश्यक आहे की आक्रमणकर्त्याचा ISP स्पूफ केलेल्या स्त्रोत IP पत्त्यासह पॅकेट अवरोधित करत नाही.
एक आठवण म्हणून, हल्ला SAD DNS क्लासिक DNS कॅशे विषबाधा पद्धत अवरोधित करण्यासाठी DNS सर्व्हरमध्ये बायपास संरक्षण जोडण्यास अनुमती देते 2008 मध्ये डॅन कामिन्स्की यांनी प्रस्तावित केले होते.
कामिन्स्कीची पद्धत DNS क्वेरी आयडी फील्डच्या नगण्य आकारात फेरफार करते, जे फक्त 16 बिट्स आहे. यजमान नावाची फसवणूक करण्यासाठी आवश्यक असलेला योग्य DNS व्यवहार ओळखकर्ता शोधण्यासाठी, फक्त सुमारे 7.000 विनंत्या पाठवा आणि सुमारे 140.000 बनावट प्रतिसादांचे अनुकरण करा. हा हल्ला सिस्टीमला मोठ्या संख्येने बनावट IP-बाउंड पॅकेट पाठवण्यावर होतो भिन्न DNS व्यवहार अभिज्ञापकांसह DNS रिझोल्यूशन.
या प्रकारच्या हल्ल्यापासून संरक्षण करण्यासाठी, DNS सर्व्हर उत्पादक नेटवर्क पोर्ट क्रमांकांचे यादृच्छिक वितरण लागू केले स्त्रोत ज्यावरून रिझोल्यूशन विनंत्या पाठवल्या जातात, जे अपर्याप्त मोठ्या हँडल आकारासाठी बनलेले आहे. डमी प्रतिसाद पाठविण्याच्या संरक्षणाच्या अंमलबजावणीनंतर, 16-बिट आयडेंटिफायरच्या निवडीव्यतिरिक्त, 64 हजार पोर्टपैकी एक निवडणे आवश्यक झाले, ज्यामुळे निवडीसाठी पर्यायांची संख्या 2 ^ 32 पर्यंत वाढली.
पद्धत एसएडी डीएनएस तुम्हाला नेटवर्क पोर्ट नंबरचे निर्धारण मूलभूतपणे सुलभ करू देते आणि हल्ला कमी करू देते शास्त्रीय कामिन्स्की पद्धतीकडे. ICMP प्रतिसाद पॅकेट्सवर प्रक्रिया करताना नेटवर्क पोर्ट क्रियाकलापांबद्दल लीक झालेल्या माहितीचा फायदा घेऊन आक्रमणकर्ता न वापरलेल्या आणि सक्रिय UDP पोर्ट्समध्ये प्रवेश निश्चित करू शकतो.
ICMP पॅकेट्स विखंडन (ICMP विखंडन आवश्यक ध्वज) किंवा पुनर्निर्देशित (ICMP पुनर्निर्देशित ध्वज) विनंत्या हाताळण्यासाठी कोडमधील त्रुटीमुळे तुम्हाला सक्रिय UDP पोर्ट द्रुतपणे ओळखण्याची परवानगी देणारी माहिती लीक झाली आहे. अशी पॅकेट पाठवल्याने नेटवर्क स्टॅकवरील कॅशेची स्थिती बदलते, सर्व्हरच्या प्रतिसादावर आधारित, कोणता UDP पोर्ट सक्रिय आहे आणि कोणता नाही हे निर्धारित करणे शक्य होते.
ऑगस्टच्या अखेरीस लिनक्स कर्नलमध्ये माहिती गळती रोखणारे बदल स्वीकारले गेले (फिक्स कर्नल 5.15 आणि कर्नलच्या LTS शाखांच्या सप्टेंबर अद्यतनांमध्ये समाविष्ट केले होते.) जेनकिन्स हॅश ऐवजी नेटवर्क कॅशेमध्ये SipHash हॅश अल्गोरिदम वापरणे हा उपाय आहे.
शेवटी, जर आपल्याला त्याबद्दल अधिक जाणून घेण्यास स्वारस्य असेल तर आपण सल्लामसलत घेऊ शकता पुढील लिंकवर तपशील.