En gruppe av Forskere fra Tsinghua University og University of California i Riverside har utviklet en ny type angrep que tillater erstatning av falske data i DNS-serverbufferen, som kan brukes til å forfalske IP-adressen til et vilkårlig domene og omdirigere anrop til domenet til angriperens server.
Angrepet omgår ekstra beskyttelse til DNS-servere å blokkere den klassiske DNS-cache-forgiftningsmetoden som ble foreslått i 2008 av Dan Kaminsky.
Kaminsky-metoden manipulerer den ubetydelige størrelsen på DNS-spørrings-ID-feltet, som bare er 16 bit. For å finne riktig identifikator som trengs for å forfalske vertsnavnet, er det bare å sende rundt 7.000 forespørsler og simulere rundt 140.000 XNUMX falske svar.
Angrepet går ut på å sende et stort antall falske IP-bundne pakker til DNS-resolveren med forskjellige DNS-transaksjons-IDer. For å forhindre at det første svaret blir hurtigbufret, er et litt modifisert domenenavn spesifisert i hvert falske svar.
For å beskytte mot denne typen angrep, DNS-serverprodusenter implementert en tilfeldig fordeling av nettverksportnumre kilde som resolusjonsforespørslene sendes fra, som kompenserte for utilstrekkelig stor identifikasjonsstørrelse (for å sende et fiktivt svar, i tillegg til å velge en 16-biters identifikator, var det nødvendig å velge en av 64 tusen porter, noe som økte antall valg for valg til 2 ^ 32).
Angrepet SAD DNS forenkler portidentifikasjon dramatisk ved å dra nytte av filtrert aktivitet på nettverksporter. Problemet manifesterer seg i alle operativsystemer (Linux, Windows, macOS og FreeBSD) og når du bruker forskjellige DNS-servere (BIND, Ubundet, dnsmasq).
Det hevdes at 34% av alle åpne løsere blir angrepet, samt 12 av de 14 beste testede DNS-tjenestene, inkludert 8.8.8.8 (Google), 9.9.9.9 (Quad9) og 1.1.1.1 (CloudFlare), samt 4 av 6 testede rutere fra anerkjente leverandører.
Problemet skyldes særegenheten ved dannelsen av ICMP-responspakker, que lar deg bestemme tilgangen til aktive nettverksporter og ikke brukt over UDP. Denne funksjonen lar deg raskt skanne åpne UDP-porter og effektivt omgå beskyttelse basert på et tilfeldig utvalg av kildenettverksporter, og redusere antall brute force-alternativer til 2 ^ 16 + 2 ^ 16 i stedet for 2 ^ 32.
Kilden til problemet er mekanismen for å begrense intensiteten på forsendelsen antall ICMP-pakker på nettverksstakken, som bruker en forutsigbar motverdi, hvorfra fremdrift begynner. Denne telleren er vanlig for all trafikk, inkludert falsk trafikk fra angriperen og ekte trafikk. Som standard på Linux er ICMP-svar begrenset til 1000 pakker per sekund. For hver forespørsel som når en lukket nettverksport, øker nettverksstakken telleren med 1 og sender en ICMP-pakke med data fra den ikke tilgjengelige porten.
Så hvis du sender 1000 pakker til forskjellige nettverksporter, som alle er stengt, vil serveren begrense sending av ICMP-svar i ett sekund, og angriperen kan være sikker på at det ikke er åpne porter blant de 1000 søkte porter. Hvis en pakke sendes til en åpen port, vil ikke serveren returnere et ICMP-svar og det vil ikke endre tellerverdien, det vil si at etter at 1000 pakker er sendt, vil ikke svarsfrekvensgrensen bli nådd.
Siden falske pakker blir utført fra en falsk IP, kan angriperen ikke motta ICMP-svar, men takket være den totale telleren, kan han etter hver 1000 falske pakker sende en forespørsel til en ikke-eksisterende port fra en ekte IP og evaluere ankomst av svaret; hvis svaret kom, så i en av de 1000 pakkene. Hvert sekund kan en angriper sende 1000 falske pakker til forskjellige porter og raskt bestemme hvilken blokk den åpne porten er i, og deretter begrense utvalget og bestemme en bestemt port.
Linux-kjernen løser problemet med en oppdatering som randomiserer parametrene for å begrense intensiteten til å sende ICMP-pakker, som introduserer støy og minimerer datalekkasje gjennom sidekanaler.
Fuente: https://www.saddns.net/