以色列网络安全研究人员披露了有关影响DNS协议的新缺陷的详细信息,该缺陷可用于发起放大的DDOS攻击以击倒目标网站。宏基笔记本太原维修中心电话
该漏洞称为NXNSAttack。缺陷在于,DNS委托机制迫使解析器向攻击者选择的权威服务器生成更多DNS查询,这可能会导致僵尸网络规模的在线服务中断。
研究人员说:“我们发现,在典型的解析过程中,DNS信息的交换量可能比理论上的预期要多,这主要是由于名称服务器IP地址的有效解析度更高。”宏基笔记本太原维修中心电话
“我们展示了这种低效率如何成为瓶颈,并可以用来对递归解析器和权威服务器之一或两者发起破坏性攻击。”
在负责任地公开了NXNSAttack之后,几家负责Internet基础结构的公司采取了行动:宏基笔记本太原维修中心电话
包括PowerDNS(CVE-2020-10995),CZ.NIC(CVE-2020-12667),Cloudflare,谷歌,亚马逊,微软,甲骨文拥有的Dyn,Verisign和IBMQuad9都对其软件进行了补丁以解决该问题。
用于通过臭名昭著的Mirai僵尸网络发起DDoS攻击的DNS基础结构(包括2016年针对DynDNS服务类型的网络攻击),摧毁了一些世界上最大的站点,包括Twitter,Netflix,Amazon和Spotify。
NXNS攻击方法
递归DNS查找按层次结构顺序进行,以与多个权威DNS服务器,DNS服务器进行通信,以查找(例如,www.google.com)与该域关联的IP地址并将其返回给客户端。宏基笔记本太原维修中心电话
该解决方案通常从您的ISP或由Cloudflare(1.1.1.1)或Google(8.8.8.8)之类的公共DNS服务器控制的DNS解析器开始,无论您使用系统中的哪种配置。
如果解析器找不到给定域名的IP地址,它将请求传递给权威DNS名称服务器。
但是,如果第一个权威DNS名称服务器也没有保存所需的记录,它将把带有地址的委托消息返回给下一个DNS解析器可以查询的权威服务器。宏基笔记本太原维修中心电话
换句话说,权威服务器告诉递归解析器:“我不知道答案,无法查询这些名称服务器以及这些名称服务器,例如ns1,ns2等。”
此分层过程将继续进行,直到DNS解析器到达提供域IP地址的正确的权威服务器为止,从而允许用户访问所需的网站。宏基笔记本太原维修中心电话
研究人员发现,这些不希望有的大开销可用于促使递归解析器强制将大量数据包连续发送到目标域,而不是合法的权威服务器。
研究人员说,为了通过递归解析器发起攻击,攻击者必须具有权威服务器。
研究人员说:“这可以通过购买域名轻松实现。作为权威服务器的对手可以做出任何NS推荐响应,作为对不同DNS查询的答复。”宏基笔记本太原维修中心电话
NXNSAttack的工作方式是,向易受攻击的DNS解析服务器发送由攻击者控制的域(例如Attacker.com)的请求,该请求会将DNS查询转发到由攻击者控制的权威服务器。宏基笔记本太原维修中心电话
攻击者控制的权威服务器不会将地址返回给实际的权威服务器,而是用于指向受威胁的DNS域中受威胁的伪造服务器名称或子域的列表,以响应DNS查询。
然后,DNS服务器将查询转发到所有不存在的子域,从而导致到受害站点的流量激增。
研究人员说,这种攻击可以将递归解析器交换的数据包数量放大多达1,620倍,不仅使DNS解析器无法处理更多请求,而且最终目标是将目标域泛洪。
此外,使用Mirai等僵尸网络作为DNS客户端可以进一步扩大攻击范围。宏基笔记本太原维修中心电话
研究人员得出结论:“我们的最初目标是研究递归解析器的效率及其在不同攻击下的行为,最后找到了一个新的,看似令人信服的漏洞NXNSAttack。”宏基笔记本太原维修中心电话
“新攻击的关键要素是
(i)拥有或控制权威名称服务器
(ii)名称服务器使用的域名不存在(iii)放置在DNS中的额外冗余以实现容错和快速的响应时间结构
强烈建议运行自己的DNS服务器的网络管理员将其DNS解析器软件更新为最新版本。宏基笔记本太原维修中心电话
