Skupina Raziskovalci z univerze Tsinghua in kalifornijske univerze v Riversideu so razvili novo vrsto napada da omogoča nadomeščanje lažnih podatkov v predpomnilniku strežnika DNS, ki se lahko uporablja za ponarejanje naslova IP poljubne domene in preusmerjanje klicev v domeno na strežnik napadalca.
Napad obide dodatno zaščito strežnikov DNS za blokiranje klasične metode zastrupitve predpomnilnika DNS, ki jo je leta 2008 predlagal Dan Kaminsky.
Metoda Kaminsky manipulira zanemarljivo velikost polja ID poizvedbe DNS, kar je le 16 bitov. Če želite najti pravi identifikator, ki je potreben za ponarejanje imena gostitelja, preprosto pošljite približno 7.000 zahtev in simulirajte približno 140.000 XNUMX lažnih odgovorov.
Napad se nanaša na pošiljanje velikega števila lažnih paketov, vezanih na IP na razreševalnik DNS z različnimi ID-ji transakcij DNS. Da bi preprečili predpomnjenje prvega odziva, je v vsakem lažnem odgovoru določeno nekoliko spremenjeno ime domene.
Za zaščito pred tovrstnimi napadi, Proizvajalci strežnikov DNS izvedli naključno porazdelitev številk omrežnih vrat vir, iz katerega se pošiljajo zahteve za ločljivost, kar je nadomestilo premalo velikost identifikatorja (za pošiljanje fiktivnega odgovora je bilo treba poleg izbire 16-bitnega identifikatorja izbrati eno od 64 tisoč vrat, kar je povečalo število možnosti za izbiro do 2 ^ 32).
Napad SAD DNS dramatično poenostavlja identifikacijo vrat z izkoriščanjem filtrirane dejavnosti na omrežnih vratih. Težava se kaže v vseh operacijskih sistemih (Linux, Windows, macOS in FreeBSD) in pri uporabi različnih strežnikov DNS (BIND, Unbound, dnsmasq).
Trdi se, da je napadenih 34% vseh odprtih reševalcev, kot tudi 12 od 14 najbolj preizkušenih storitev DNS, vključno s storitvami 8.8.8.8 (Google), 9.9.9.9 (Quad9) in 1.1.1.1 (CloudFlare) ter 4 od 6 preizkušenih usmerjevalnikov uglednih prodajalcev.
Težava je zaradi posebnosti oblikovanja odzivnega paketa ICMP, da omogoča določitev dostopa do aktivnih omrežnih vrat in se ne uporablja prek UDP. Ta funkcija vam omogoča zelo hitro skeniranje odprtih vrat UDP in učinkovito izogibanje zaščiti, ki temelji na naključnem izboru izvornih omrežnih vrat, in zmanjša število možnosti surove sile na 2 ^ 16 + 2 ^ 16 namesto na 2 ^ 32.
Vir problema je mehanizem za omejevanje intenzivnosti pošiljke število paketov ICMP v omrežnem skladu, ki uporablja predvidljivo vrednost števca, od katere se začne dušenje naprej. Ta števec je običajen za ves promet, vključno z lažnim prometom napadalca in dejanskim prometom. Privzeto, v Linuxu so odzivi ICMP omejeni na 1000 paketov na sekundo. Za vsako zahtevo, ki doseže zaprta omrežna vrata, omrežni sklad števec poveča za 1 in pošlje paket ICMP s podatki iz nedosegljivih vrat.
Torej, če pošljete 1000 paketov v različna omrežna vrata, vsi so zaprti, bo strežnik omejil pošiljanje odgovorov ICMP za sekundo in napadalec je lahko prepričan, da med 1000 iskanimi vrati ni odprtih vrat. Če je paket poslan na odprta vrata, strežnik ne bo vrnil odgovora ICMP in vrednost števca se ne bo spremenila, to je po tem, ko je poslanih 1000 paketov, omejitev hitrosti odziva ne bo dosežena.
Ker se ponarejeni paketi izvajajo iz lažnega IP-ja, napadalec ne more prejeti odgovorov ICMP, vendar lahko po zaslugi celotnega števca po vsakih 1000 lažnih paketih pošlje zahtevo na neobstoječa vrata iz pravega IP-ja in oceni prihod odgovora; če je odgovor prišel, potem v enem od 1000 paketov. Vsako sekundo lahko napadalec pošlje 1000 lažnih paketov v različna vrata in hitro ugotovi, v katerem bloku so odprta vrata, nato zoži izbor in določi določeno vrata.
Jedro Linuxa reši težavo s popravkom, ki randomizira parametre za omejevanje intenzivnosti pošiljanja paketov ICMP, kar povzroča šum in zmanjšuje uhajanje podatkov po stranskih kanalih.