Isang pangkat ng Ang mga mananaliksik mula sa Tsinghua University at University of California sa Riverside ay nakabuo ng isang bagong uri ng pag-atake ito Pinapayagan ang pagpapalit ng maling data sa cache ng DNS server, na maaaring magamit upang spoof ang IP address ng isang di-makatwirang domain at i-redirect ang mga tawag sa domain sa server ng umaatake.
Ang pag-atake ng bypass ay nagdagdag ng proteksyon sa mga DNS server upang harangan ang klasikong pamamaraang pagkalason sa cache ng DNS na iminungkahi noong 2008 ni Dan Kaminsky.
Ang pamamaraan ng Kaminsky manipulahin ang hindi bayang sukat ng patlang ng id ng query ng DNS, na 16 lamang. Upang hanapin ang tamang pagkakakilanlan na kinakailangan upang mambula ang hostname, magpadala lamang ng halos 7.000 mga kahilingan at gayahin ang tungkol sa 140.000 mga bogus na tugon.
Ang pag-atake ay kumulo sa pagpapadala ng isang malaking bilang ng mga pekeng mga pack na IP-bound sa resolver ng DNS na may iba't ibang mga id ng transaksyon sa DNS. Upang maiwasan ang unang tugon mula sa pag-cache, isang maliit na binagong pangalan ng domain ang tinukoy sa bawat maling tugon.
Upang maprotektahan laban sa ganitong uri ng pag-atake, Mga tagagawa ng DNS server nagpatupad ng isang random na pamamahagi ng mga numero ng network port kung saan ipinadala ang mga kahilingan sa resolusyon, na nagbabayad para sa hindi sapat na laki ng pagkakakilanlan (upang magpadala ng isang kathang-isip na tugon, bilang karagdagan sa pagpili ng isang 16-bit na pagkakakilanlan, kinakailangan upang pumili ng isa sa 64 libong mga port, na tumaas sa bilang ng mga pagpipilian para sa pagpili sa 2 ^ 32).
Ang pag-atake Dramatikong pinapasimple ng SAD DNS ang pagkakakilanlan sa port sa pamamagitan ng pagsasamantala sa na-filter na aktibidad sa mga port ng network. Ang problema ay nagpapakita ng sarili sa lahat ng mga operating system (Linux, Windows, macOS at FreeBSD) at kapag gumagamit ng iba't ibang mga DNS server (BIND, Unbound, dnsmasq).
Inaangkin na 34% ng lahat ng mga bukas na solver ay inaatake, pati na rin ang 12 sa nangungunang 14 mga serbisyo sa DNS na nasubok, kasama ang 8.8.8.8 (Google), 9.9.9.9 (Quad9), at 1.1.1.1 (CloudFlare), pati na rin ang 4 sa 6 na nasubok na mga router mula sa kagalang-galang na mga tagagawa.
Ang problema ay dahil sa pagiging kakaiba ng pagbuo ng packet ng pagtugon sa ICMP, ito Pinapayagan kang matukoy ang pag-access sa mga aktibong network port at hindi ginamit sa paglipas ng UDP. Pinapayagan ka ng tampok na ito na mabilis mong i-scan ang mga bukas na port ng UDP at mabisang laktawan ang proteksyon batay sa isang random na pagpipilian ng mga port ng mapagkukunan ng network, binabawasan ang bilang ng mga pagpipilian ng brute force sa 2 ^ 16 + 2 ^ 16 sa halip na 2 ^ 32.
Ang pinagmulan ng problema ay ang mekanismo upang limitahan ang tindi ng kargamento bilang ng mga ICMP packet sa network stack, na gumagamit ng isang mahuhulaan na halaga ng counter, kung saan nagsisimula ang throttling sa unahan. Karaniwan ang counter na ito para sa lahat ng trapiko, kabilang ang pekeng trapiko mula sa umaatake at tunay na trapiko. Bilang default, sa Linux, ang mga tugon sa ICMP ay limitado sa 1000 mga pakete bawat segundo. Para sa bawat kahilingan na umaabot sa isang saradong port ng network, ang stack ng network ay nagdaragdag ng counter ng 1 at nagpapadala ng isang packet ng ICMP na may data mula sa hindi maabot na port.
Kaya't kung magpapadala ka ng 1000 mga packet sa iba't ibang mga port ng network, lahat ng ito ay sarado, paghihigpitan ng server ang pagpapadala ng mga tugon sa ICMP para sa isang segundo at ang magsasalakay ay maaaring siguraduhin na walang bukas na port sa gitna ng 1000 na hinanap na mga port. Kung ang isang packet ay ipinadala sa isang bukas na port, hindi ibabalik ng server ang isang tugon sa ICMP at hindi nito babaguhin ang halaga ng counter, iyon ay, pagkatapos na maipadala ang 1000 packet, hindi maaabot ang limitasyon sa rate ng tugon.
Dahil ang mga pekeng packet ay isinasagawa mula sa isang pekeng IP, ang tumatanggap ay hindi makakatanggap ng mga tugon sa ICMP, ngunit salamat sa kabuuang counter, pagkatapos ng bawat 1000 pekeng packet, maaari siyang magpadala ng isang kahilingan sa isang walang port na mula sa isang tunay na IP at suriin ang pagdating ng sagot; kung ang sagot ay dumating, pagkatapos ay sa isa sa mga 1000 na pakete. Tuwing segundo, ang isang magsasalakay ay maaaring magpadala ng 1000 mga bogus packet sa iba't ibang mga port at mabilis na matukoy kung aling mga bloke ang bukas na port ang nasa, pagkatapos ay paliitin ang pagpipilian at matukoy ang isang tukoy na port.
Nalulutas ng kernel ng Linux ang problema sa isang patch na na-randomize ang mga parameter upang limitahan ang tindi ng pagpapadala ng mga ICMP packet, na nagpapakilala ng ingay at pinapaliit ang pagtagas ng data sa pamamagitan ng mga channel sa gilid.
Fuente: https://www.saddns.net/