En grupp av forskare från Tsinghua University och University of California vid Riverside har utvecklat en ny typ av attack que tillåter ersättning av falsk data i DNS-serverns cache, som kan användas för att förfalska IP-adressen för en godtycklig domän och omdirigera anrop till domänen till angriparens server.
Attack kringgår skydd som lagts till DNS-servrar att blockera den klassiska DNS-cacheförgiftningsmetoden som föreslogs 2008 av Dan Kaminsky.
Kaminskys metod manipulerar den obetydliga storleken på id-fältet för DNS-frågan, som bara är 16 bitar. För att hitta rätt identifierare som behövs för att förfalska värdnamnet räcker det med att skicka cirka 7.000 140.000 förfrågningar och simulera cirka XNUMX XNUMX falska svar.
Attacken går ut på att skicka ett stort antal falska IP-länkade paket till DNS-resolvern med olika DNS-transaktionsidentifierare. För att förhindra att det första svaret cachelagras anger varje falskt svar ett något modifierat domännamn.
För att skydda mot denna typ av attack, DNS-servertillverkare implementerat en slumpmässig distribution av nätverksportnummer från vilken upplösningsförfrågningar skickas, vilket kompenserade för den otillräckligt stora identifierarstorleken (för att skicka ett dummysvar, förutom att välja en 16-bitars identifierare, blev det nödvändigt att välja en av 64 tusen portar, vilket ökade antalet alternativ för val till 2^32).
Attacken SAD DNS förenklar portidentifieringen drastiskt genom att dra fördel av filtrerad aktivitet på nätverksportar. Problemet visar sig i alla operativsystem (Linux, Windows, macOS och FreeBSD) och vid användning av olika DNS-servrar (BIND, Unbound, dnsmasq).
Det påstås att 34% av alla öppna lösare attackeras, samt 12 av 14 större DNS-tjänster som testades, inklusive 8.8.8.8 (Google), 9.9.9.9 (Quad9) och 1.1.1.1 (CloudFlare) tjänster, samt 4 av 6 testade routrar från välkända tillverkare.
Problemet beror på det speciella med bildandet av ICMP-svarspaket, que Låter dig bestämma åtkomst till aktiva nätverksportar och används inte över UDP. Med den här funktionen kan du mycket snabbt söka efter öppna UDP-portar och effektivt kringgå skydd baserat på ett slumpmässigt urval av källnätverksportar, vilket minskar antalet brute force-alternativ till 2^16 + 2^16 istället för 2^32.
Källan till problemet är mekanismen för att begränsa sändningsintensiteten av ICMP-paket i nätverksstacken, med användning av ett förutsägbart räknarvärde, från vilket framåtstrykning börjar. Denna räknare är gemensam för all trafik, inklusive falsk angripartrafik och verklig trafik. Som standard, på Linux är ICMP-svar begränsade till 1000 paket per sekund. För varje begäran som anländer på en stängd nätverksport ökar nätverksstacken räknaren med 1 och skickar ett ICMP-paket med port oåtkomlig data.
Så om du skickar 1000 paket till olika nätverksportar, som alla är stängda, kommer servern att begränsa sändningen av ICMP-svar en sekund och angriparen kan vara säker på att det inte finns några öppna portar bland de 1000 sökta portarna. Om ett paket skickas till en öppen port kommer servern inte att returnera ett ICMP-svar. och räknarens värde kommer inte att ändras, det vill säga efter att 1000 paket har skickats kommer svarsfrekvensgränsen inte att nås.
Eftersom de falska paketen utförs från en falsk IP kan angriparen inte ta emot ICMP-svar, men tack vare den totala räknaren kan han efter var 1000:e förfalskade paket skicka en begäran till en obefintlig port från en riktig IP och utvärdera ankomsten av svaret; om svaret kom, då i ett av de 1000 paketen. Varje sekund kan en angripare skicka 1000 falska paket till olika portar och snabbt avgöra vilket block den öppna porten är i, sedan begränsa urvalet och bestämma en specifik port.
Linux-kärnan löser problemet med en patch som randomiserar parametrarna för att begränsa intensiteten av att skicka ICMP-paket, vilket introducerar brus och minimerar dataläckage genom sidokanaler.
Fuente: https://www.saddns.net/