Skupina Vedci z Tsinghua University a University of California v Riverside vyvinuli nový typ útoku že umožňuje nahradenie nepravdivých údajov v pamäti cache servera DNS, pomocou ktorého je možné sfalšovať IP adresu ľubovoľnej domény a presmerovať hovory do domény na server útočníka.
Útok obchádza zvýšenú ochranu serverov DNS blokovať klasickú metódu otravy DNS cache, ktorú v roku 2008 navrhol Dan Kaminsky.
Kaminská metóda manipuluje so zanedbateľnou veľkosťou poľa ID dotazu DNS, čo je iba 16 bitov. Ak chcete nájsť správny identifikátor potrebný na sfalšovanie názvu hostiteľa, stačí poslať asi 7.000 140.000 požiadaviek a simulovať asi XNUMX XNUMX falošných odpovedí.
Útok sa zredukoval na odoslanie veľkého množstva falošných paketov viazaných na IP na prekladača DNS s rôznymi ID transakcií DNS. Aby sa zabránilo uloženiu prvej odpovede do pamäte cache, je v každej falošnej odpovedi zadaný mierne upravený názov domény.
Na ochranu pred týmto typom útoku, Výrobcovia serverov DNS implementoval náhodné rozdelenie čísel sieťových portov zdroj, z ktorého sa odosielajú žiadosti o rozlíšenie, čo kompenzovalo nedostatočne veľkú veľkosť identifikátora (na odoslanie fiktívnej odpovede bolo okrem výberu 16-bitového identifikátora potrebné zvoliť jeden zo 64-tisíc portov, čím sa zvýšil počet možnosti výberu na 2 ^ 32).
Útok SAD DNS dramaticky zjednodušuje identifikáciu portov využitím filtrovanej aktivity na sieťových portoch. Problém sa prejavuje vo všetkých operačných systémoch (Linux, Windows, macOS a FreeBSD) a pri použití rôznych serverov DNS (BIND, Unbound, dnsmasq).
Tvrdí sa, že je napadnutých 34% všetkých otvorených riešiteľov, rovnako ako 12 zo 14 najlepších testovaných služieb DNS, vrátane služieb 8.8.8.8 (Google), 9.9.9.9 (Quad9) a 1.1.1.1 (CloudFlare), ako aj 4 zo 6 testovaných smerovačov od renomovaných dodávateľov.
Problém je spôsobený zvláštnosťou tvorby paketov odpovedí ICMP, že umožňuje určiť prístup k aktívnym sieťovým portom a nepoužíva sa cez UDP. Táto funkcia umožňuje veľmi rýchlo prehľadať otvorené porty UDP a efektívne obísť ochranu na základe náhodného výberu zdrojových sieťových portov, čím sa zníži počet možností brutálnej sily na 2 ^ 16 + 2 ^ 16 namiesto 2 ^ 32.
Zdrojom problému je mechanizmus na obmedzenie intenzity prepravy počet paketov ICMP v sieťovom zásobníku, ktorý používa predvídateľnú hodnotu počítadla, od ktorej začína doškrtávanie. Toto počítadlo je spoločné pre všetku komunikáciu, vrátane falošnej premávky od útočníka a skutočnej premávky. Predvolene, v systéme Linux sú odpovede ICMP obmedzené na 1000 XNUMX paketov za sekundu. Pri každej požiadavke, ktorá sa dostane na uzavretý sieťový port, sieťový zásobník zvýši počítadlo o 1 a odošle paket ICMP s údajmi z nedosiahnuteľného portu.
Takže ak pošlete 1000 paketov na rôzne sieťové porty, ak sú všetky zatvorené, server obmedzí odosielanie odpovedí ICMP na jednu sekundu a útočník si môže byť istý, že medzi 1000 XNUMX prehľadávanými portami nie sú žiadne otvorené porty. Ak sa paket pošle na otvorený port, server nevráti odpoveď ICMP a hodnota počítadla sa nezmení, to znamená, že po odoslaní 1000 XNUMX paketov nebude dosiahnutý limit rýchlosti odozvy.
Pretože falošné pakety sa vykonávajú z falošnej IP, útočník nemôže dostávať odpovede ICMP, ale vďaka celkovému počítadlu môže po každých 1000 falošných paketoch poslať požiadavku na neexistujúci port zo skutočnej IP a vyhodnotiť príchod odpovede; ak prišla odpoveď, tak v jednom z 1000 balíkov Útočník môže každú sekundu poslať 1000 XNUMX falošných paketov na rôzne porty a rýchlo určiť, v ktorom bloku sa otvorený port nachádza, potom výber zúžiť a určiť konkrétny port.
Linuxové jadro problém vyrieši opravou, ktorá náhodne rozdelí parametre obmedziť intenzitu odosielania paketov ICMP, čo spôsobuje šum a minimalizuje únik údajov bočnými kanálmi.
Fuente: https://www.saddns.net/