Ein anderer Tag, eine weitere Entdeckung von Schwachstellen. Gerade wurde ein neuer böswilliger Angriff entdeckt, der die Funktionsweise rekursiver DNS-Resolver ausnutzt.
Im Detail, Der Angriff nutzt die Funktionsweise der Resolver aus, wenn eine NS-Überweisungsantwort empfangen wird, die Nameserver enthält, jedoch keine entsprechenden IP-Adressen enthält. In juristischer Hinsicht, dieser neue Angriff, das wurde NXNSAttack genannt, wirkt sich auf rekursive DNS-Server und den Prozess der DNS-Delegierung aus.
NXNSAttack: Wie funktioniert es?
Zunächst, Was ist ein rekursiver DNS-Server?? Es handelt sich um ein DNS-System, das DNS-Abfragen vorgelagert weiterleitet, um sie von einem Domänennamen in eine IP-Adresse aufzulösen und zu konvertieren. Die Konvertierungen finden auf autorisierenden DNS-Servern statt, enthält eine Kopie des DNS-Eintrags und ist berechtigt, diesen aufzulösen. Es gibt, jedoch, Ein Sicherheitsmechanismus innerhalb des DNS-Protokolls, mit dem autorisierende DNS-Server diesen Vorgang an alternative DNS-Server delegieren können.
Hier kommt der neue NXNSAttack ins Spiel. Laut Forschern der Universität Tel Aviv und des Interdisziplinären Zentrums in Herzliya, Israel, Es gibt eine Möglichkeit, den Delegierungsprozess zu missbrauchen und bei DDoS-Angriffen bereitzustellen. Nach dieser Entdeckung, Die Forscher führten eine „verantwortungsbewusstes koordiniertes Offenlegungsverfahren", und veröffentlichten ihren detaillierten Bericht. Als Ergebnis dieser Offenbarung, Eine Reihe von DNS-Softwareanbietern und Dienstanbietern hat Maßnahmen zum Schutz vor den zerstörerischen Maßnahmen des NXNSAttack ergriffen.
Nach der Bericht:
Der NXNSAttack ist eine neue Sicherheitsanfälligkeit, die die Funktionsweise rekursiver DNS-Resolver ausnutzt, wenn eine NS-Überweisungsantwort empfangen wird, die Nameserver enthält, jedoch keine entsprechenden IP-Adressen enthält (d, fehlende Leimaufzeichnungen). Die Anzahl der DNS-Nachrichten, die in einem typischen Auflösungsprozess ausgetauscht werden, kann in der Praxis viel höher sein als theoretisch erwartet, hauptsächlich aufgrund einer proaktiven Auflösung der IP-Adressen von Nameservern. Diese Ineffizienz wird zu einem Engpass und kann verwendet werden, um einen verheerenden Angriff gegen einen oder beide zu starten, rekursive Resolver und autorisierende Server.
Es ist bemerkenswert, dass der NXNSAttack aus zwei Gründen effektiver zu sein scheint als der NXDomain-Angriff. Erste, Der Angriff erreicht einen Verstärkungsfaktor von mehr als 1620x für die Anzahl der vom rekursiven Resolver ausgetauschten Pakete. Und zweitens, neben dem negativen Cache, Der Angriff sättigt auch die NS-Resolver-Caches.
Die Forscher arbeiten seit Monaten unermüdlich mit mehreren DNS-Softwareanbietern zusammen, Content Delivery-Netzwerke, und verwaltete DNS-Anbieter, um Schadensbegrenzungen auf DNS-Server auf globaler Ebene anzuwenden.
Welche Software ist vom NXNSAttack betroffen??
Die Sicherheitsanfälligkeiten befinden sich in ISC BIND, bekannt als CVE-2020-8616); NLnet Labs Ungebunden, bekannt als CVE-2020-12662; PowerDNS, bekannt als CVE-2020-10995, und CZ.NIC Knot Resolver, oder CVE-2020-12667. Jedoch, kommerzielle DNS-Dienste von Cloudflare, Google, Amazonas, Orakel (MANN), Microsoft, IBM Quad9, ICANN, und Verisign sind ebenfalls betroffen.
Die gute Nachricht ist, dass Patches zur Behebung der Probleme bereits verfügbar sind. Indem Sie sie anwenden, Serveradministratoren verhindern, dass Angreifer den DNS-Delegierungsprozess ausnutzen, um andere DNS-Server zu überfluten.
In 2015, ein seltenes DDoS auf den DNS-Stammservern des Internets wurde registriert. Die Angriffe verursachten ungefähr fünf Millionen Abfragen pro Sekunde pro DNS-Stammnamenserver. Die Bedrohungsakteure hinter dem DDoS waren unbekannt, da die IP-Quelladressen leicht gefälscht wurden. Außerdem, Die bei den Angriffen angewendeten Quell-IP-Adressen wurden auf geschickte und willkürliche Weise im gesamten IPv4-Adressraum verteilt.