Grupa Naukowcy z Uniwersytetu Tsinghua i Uniwersytetu Kalifornijskiego w Riverside opracowali nowy typ ataku oferuje nasz konfigurator umożliwia podstawianie fałszywych danych w pamięci podręcznej serwera DNS, które można wykorzystać do sfałszowania adresu IP dowolnej domeny i przekierowania wywołań domeny do serwera atakującego.
Atak omija dodatkową ochronę serwerów DNS zablokować klasyczną metodę zatruwania pamięci podręcznej DNS zaproponowaną w 2008 roku przez Dana Kaminsky'ego.
Metoda Kaminsky'ego manipuluje znikomym rozmiarem pola id zapytania DNS, który jest tylko 16-bitowy. Aby znaleźć poprawny identyfikator potrzebny do sfałszowania nazwy hosta, wystarczy wysłać około 7.000 140.000 żądań i zasymulować około XNUMX XNUMX fałszywych odpowiedzi.
Atak sprowadza się do wysłania dużej liczby fałszywych pakietów związanych z IP do resolwera DNS z różnymi identyfikatorami transakcji DNS. Aby zapobiec buforowaniu pierwszej odpowiedzi, w każdej fałszywej odpowiedzi podawana jest nieznacznie zmodyfikowana nazwa domeny.
Aby chronić się przed tego typu atakami, Producenci serwerów DNS zaimplementowano losową dystrybucję numerów portów sieciowych źródła, z którego wysyłane są żądania rozdzielczości, co zrekompensowało niewystarczająco duży rozmiar identyfikatora (aby wysłać fikcyjną odpowiedź, oprócz wybrania 16-bitowego identyfikatora konieczne było wybranie jednego z 64 tys. portów, co zwiększyło liczbę opcje wyboru do 2 ^ 32).
Atak SAD DNS radykalnie upraszcza identyfikację portów wykorzystując filtrowaną aktywność na portach sieciowych. Problem objawia się we wszystkich systemach operacyjnych (Linux, Windows, macOS i FreeBSD) oraz przy korzystaniu z różnych serwerów DNS (BIND, Unbound, dnsmasq).
Twierdzi się, że 34% wszystkich otwartych solwerów jest atakowanych, a także 12 z 14 najlepiej przetestowanych usług DNS, w tym 8.8.8.8 (Google), 9.9.9.9 (Quad9) i 1.1.1.1 (CloudFlare), a także 4 z 6 przetestowanych routerów od renomowanych dostawców.
Problem wynika ze specyfiki tworzenia pakietów odpowiedzi ICMP, oferuje nasz konfigurator umożliwia określenie dostępu do aktywnych portów sieciowych i nie jest używany przez UDP. Ta funkcja pozwala bardzo szybko skanować otwarte porty UDP i skutecznie ominąć ochronę w oparciu o losowy wybór źródłowych portów sieciowych, zmniejszając liczbę opcji brutalnej siły do 2 ^ 16 + 2 ^ 16 zamiast 2 ^ 32.
Źródłem problemu jest mechanizm ograniczający intensywność transportu liczba pakietów ICMP na stosie sieciowym, która używa przewidywalnej wartości licznika, od której rozpoczyna się dławienie w przód. Ten licznik jest wspólny dla całego ruchu, w tym fałszywy ruch od atakującego i ruch rzeczywisty. Domyślnie, w systemie Linux odpowiedzi ICMP są ograniczone do 1000 pakietów na sekundę. Dla każdego żądania, które dociera do zamkniętego portu sieciowego, stos sieciowy zwiększa licznik o 1 i wysyła pakiet ICMP z danymi z nieosiągalnego portu.
Jeśli więc wyślesz 1000 pakietów do różnych portów sieciowych, z których wszystkie są zamknięte, serwer ograniczy wysyłanie odpowiedzi ICMP przez jedną sekundę, a atakujący może być pewien, że wśród 1000 przeszukiwanych portów nie ma otwartych portów. Jeśli pakiet zostanie wysłany do otwartego portu, serwer nie zwróci odpowiedzi ICMP i nie zmieni wartości licznika, to znaczy po wysłaniu 1000 pakietów limit szybkości odpowiedzi nie zostanie osiągnięty.
Ponieważ fałszywe pakiety są przeprowadzane z fałszywego adresu IP, atakujący nie może otrzymywać odpowiedzi ICMP, ale dzięki licznikowi całkowitemu, po każdych 1000 fałszywych pakietach, może wysłać żądanie do nieistniejącego portu z prawdziwego adresu IP i ocenić nadejście odpowiedzi; jeśli nadeszła odpowiedź, to w jednym z 1000 pakietów. W każdej sekundzie atakujący może wysłać 1000 fałszywych pakietów do różnych portów i szybko określić, w którym bloku znajduje się otwarty port, a następnie zawęzić wybór i określić konkretny port.
Jądro Linuksa rozwiązuje problem za pomocą łatki, która losuje parametry ograniczenie intensywności wysyłania pakietów ICMP, co wprowadza szum i minimalizuje wyciek danych przez kanały boczne.
źródło: https://www.saddns.net/