Radware:DNS理会器惊爆安详裂痕NXNSAttack
|
2020年5月19日,特拉维夫大学和以色列跨学科中心的学者们发明,DNS递归理会器在实验进程中存在裂痕,可以被用于提倡针对恣意受害者的粉碎性DDoS进攻。研究职员将操作此裂痕的进攻称为NXNSAttack,并在研究论文中举办了具体声名。 差异于直接以主机或处事为方针并对其造成影响的DDoS大水进攻或应用层DDoS进攻,NXNSAttack的进攻方针是受害者的域名理会手段。与NXDOMAIN或DNS水刑进攻一样,这种DDoS进攻的方针是通过递归DNS理会器,操作回收了随机域名哀求大水的无效哀求重载势力巨子域名处事器,从而粉碎这些势力巨子域名处事器。因为哀求来自正当的递归DNS处事器,因此在势力巨子处事器上很难检测并缓解这一进攻。通过粉碎域名理会,进攻者可以有用拦截对此域名下全部处事的会见。遭到进攻后,新的客户端无法找到毗连随处事的IP地点,因此无法理会处事的主机名。 与数据包放大系数仅为3倍的NXDOMAIN进攻差异,NXNSAttack提供的数据包放大系数从进攻子域(victim.com)时的74倍到针对递归理会器的1621倍不等。带宽放大系数则在进攻子域的21倍和针对递归理会器的163倍之间。针对根域名处事器和一级域名处事器的数据包放大系数为1071倍,带宽放大系数为99倍。NXNSAttack具有较高的放大率和机动的内容匹配成果,是一种可以用于提倡大局限进攻的进攻矢量。 随后,研究职员果真了这一裂痕,并打仗了已经修复了软件和处事的供给商。裂痕披露时,以下这些DNS处事器已有可用补丁:ISC BIND (CVE-2020-8616)、NLnet labs Unbound (CVE-2020-12662)、PowerDNS (CVE-2020-10995)和CZ.NIC Knot Resolver (CVE-2020-12667)。另外,以下这些开放DNS递归理会器提供商已更新了处事,以缓解操作此裂痕的DDoS进攻:Cloudflare、Google、Amazon、Microsoft、Oracle (DYN)、Verisign、IBM Quad9以及ICANN。其他软件和处事提供商也随之举办了修复。然而,也可以做出这样的假设,并非全部的私有和公有递归理会器都已经获得了修复或即将被修复。 蒙受到进攻或裂痕滥用不只限于公有递归理会器,也会影响到位于ISP、云中或企业内部的私有递归理会器。已往,恶意进攻者可以操作差异的呆板人措施提倡随机域名大水进攻,此刻也可以操作沟通的呆板人措施提倡粉碎理会器全部者之外的恣意受害者的NXNSAttack。Mirai等提供了“开箱即用”随机域大水支持的僵尸收集源代码可以轻松得到,这就增进了执行这些粉碎性DDoS进攻的也许性。 受害者没有掌握实时应对他们所面对的风险。任何势力巨子DNS基本架构组件都可觉得其节制之外的递归DNS理会器所粉碎,包罗二级域名(victim.com)、一级域名(.com, .info, …)和根域名处事器(‘.’)。受害者只能任由DNS处事提供商摆布。 递归DNS提供商可以通过应用DNS软件供给商提供的修复措施或陈设研究职员在论文中提出的Max1Fetch办理方案,来掩护自身基本架构,并掩护互联网免遭进攻。可能,递归DNS提供商可以通过起劲回收经DNSSEC验证的缓存(RFC8198)或操作Radware DefensePro来举办DDoS防护,掩护自身基本架构免遭随机域名大水的扰乱。 HTTPS上的DNS (DOH)或TLS上的DNS (DOT)不能提供针对NXNSAttack的防护法子。DOH和DOT协议的目标是提供客户端域名理会的隐私性,而不能掩护DNS基本架构的授权端。最糟糕的环境就是,DOH和DOT被用作规避技能,潜匿来自上游收集传感器的随机域名大水和TLS加密数据流内的防护法子,进而无法检测并缓解恶意DNS进攻。 增进域名空间的保留时刻(TTL)值将进步域名下处事抵挡势力巨子域名处事器间断的手段,价钱则是捐躯域名的机动性。另外,这只能为在潜匿在理会器之后的且在更早的时辰就已经缓存了理会的客户端提供办理方案,不能在蒙受进攻时提供完备或不确定的办理方案。 足智多谋且无处不在的进攻者可以建设针对任何子域(victim.com)的进攻基本架构,进而影响沟通域名处事器或处事提供商提供的其他子域。假若有足够资源,进攻还可以针对‘.com’、‘.info’、‘.us’、‘.ca’、‘.de’等一级域名,乃至可以实行间断互联网的根域名处事器。 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
