NXNSAttack: 深刻なDNSの脆弱性は、DDoS攻撃を引き起こす可能性があります

別の日, 脆弱性の別の発見. DNS再帰リゾルバーの動作方法を悪用する新しい悪意のある攻撃が発見されました.

詳細に, この攻撃は、ネームサーバーを含み、対応するIPアドレスを含まないNS紹介応答を受信するときに、リゾルバーが機能する方法を悪用します。. 素人の言葉で, この新しい攻撃, NXNSAttackと呼ばれています, 再帰DNSサーバーとDNS委任のプロセスに影響を与えます.

NXNSAttack: それはどのように機能しますか?

初めに, 再帰DNSサーバーとは何ですか? これは、DNSクエリを解決し、ドメイン名からIPアドレスに変換する目的でDNSクエリをアップストリームに渡すDNSシステムです。. 変換は信頼できるDNSサーバーで行われています, DNSレコードのコピーを含み、それを解決する権限があります. がある, でも, 権限のあるDNSサーバーがこの操作を代替DNSサーバーに委任できるようにするDNSプロトコル内の安全メカニズム.

ここで、新しいNXNSAttackが登場します. テルアビブ大学とヘルズリヤの学際的センターの研究者によると, イスラエル, 委任プロセスを悪用してDDoS攻撃に展開する方法があります. この発見に続いて, 研究者は「責任ある調整された開示手順」, そして彼らの詳細なレポートをリリースしました. この開示の結果として, 多くのDNSソフトウェアベンダーとサービスプロバイダーは、NXNSAttackの破壊的な対策から保護するための対策を採用しています。.

によると レポート:

NXNSAttackは、ネームサーバーを含むが対応するIPアドレスを含まないNS紹介応答を受信するときに、DNS再帰リゾルバーが動作する方法を悪用する新しい脆弱性です。 (すなわち, 接着剤の記録がありません). 通常の解決プロセスで交換されるDNSメッセージの数は、実際には理論上予想される数よりもはるかに多い可能性があります。, 主にネームサーバーのIPアドレスのプロアクティブな解決によるもの. この非効率性がボトルネックになり、いずれかまたは両方に対して壊滅的な攻撃を仕掛けるために使用される可能性があります, 再帰的リゾルバーと権限のあるサーバー.

2つの理由により、NXNSAttackがNXDomain攻撃よりも効果的であるように見えることは注目に値します。. 初め, 攻撃は、再帰的リゾルバによって交換されるパケット数の1620倍を超える増幅率に達します。. そして2番目, ネガティブキャッシュに加えて, 攻撃は「NS」リゾルバーキャッシュも飽和させます.

研究者たちは、いくつかのDNSソフトウェアベンダーと何ヶ月も精力的に取り組んできました。, コンテンツ配信ネットワーク, およびマネージドDNSプロバイダーは、グローバル規模でDNSサーバーに緩和策を適用します.

NXNSAttackの影響を受けるソフトウェア?

脆弱性はISCBINDにあります, CVE-2020-8616として知られています); NLnetラボアンバウンド, CVE-2020-12662として知られています; PowerDNS, CVE-2020-10995として知られています, およびCZ.NICノットリゾルバ, またはCVE-2020-12667. でも, Cloudflareによる商用DNSサービス, グーグル, アマゾン, オラクル (DYN), マイクロソフト, IBM Quad9, ICANN, とVerisignも影響を受けます.

良いニュースは、問題に対処するパッチがすでに利用可能になっていることです. それらを適用することによって, サーバー管理者は、攻撃者がDNS委任プロセスを悪用して他のDNSサーバーを氾濫させるのを防ぎます.

---

の 2015, a インターネットのDNSルートサーバー上のまれなDDoS 登録された. 攻撃により、DNSルートネームサーバーごとに1秒あたり約500万のクエリが発生しました. DDoSの背後にある脅威アクターは不明でした, IP送信元アドレスが簡単になりすまされたため. 加えて, 攻撃に適用された送信元IPアドレスは、IPv4アドレス空間全体に巧妙かつ恣意的に拡散されました.