以色列網(wǎng)絡(luò)安全研究人員披露了有關(guān)影響DNS協(xié)議的新缺陷的詳細(xì)信息，該缺陷可被利用來(lái)發(fā)起放大DDoS攻擊，以擊倒目標(biāo)網(wǎng)站。

該漏洞稱為NXNSAttack，缺陷在于DNS委派機(jī)制迫使解析器向攻擊者選擇的權(quán)威服務(wù)器生成更多DNS查詢，從而可能導(dǎo)致僵尸網(wǎng)絡(luò)規(guī)模的在線服務(wù)中斷。

“我們發(fā)現(xiàn)，在一個(gè)典型的解決過(guò)程中交換的DNS信息的數(shù)量可能在實(shí)踐中比預(yù)計(jì)的理論更多，主要是由于名稱服務(wù)器的IP地址的主動(dòng)分辨率更高，”該研究人員說(shuō)。

“我們展示了這種低效率如何成為瓶頸，并可能被用來(lái)對(duì)遞歸解析器和權(quán)威服務(wù)器之一或兩者發(fā)起毀滅性攻擊?！?

在負(fù)責(zé)地披露NXNSAttack之后，負(fù)責(zé)互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)的幾家公司做出了行動(dòng)：

包括PowerDNS(CVE-2020-10995)，CZ.NIC(CVE-2020-12667)，Cloudflare，谷歌，亞馬遜，微軟，甲骨文擁有的Dyn ，Verisign和IBM Quad9已對(duì)其軟件進(jìn)行了修補(bǔ)，以解決該問(wèn)題。

DNS基礎(chǔ)設(shè)施以前一直是通過(guò)臭名昭著的Mirai僵尸網(wǎng)絡(luò)(包括2016年針對(duì)Dyn DNS服務(wù)類型的網(wǎng)絡(luò)攻擊)發(fā)動(dòng)DDoS攻擊，破壞了包括Twitter，Netflix，Amazon和Spotify在內(nèi)的一些世界上最大的站點(diǎn)。

NXNS攻擊方法

一個(gè)遞歸DNS查找發(fā)生在一個(gè)層次序列與多個(gè)權(quán)威DNS服務(wù)器DNS服務(wù)器進(jìn)行通信，以定位(例如www.google.com)與域關(guān)聯(lián)的IP地址，并將其返回給客戶端。

該解決方案通常從由您的ISP或Cloudflare(1.1.1.1)或Google(8.8.8.8)之類的公共DNS服務(wù)器控制的DNS解析器開(kāi)始，無(wú)論您使用系統(tǒng)中的哪種配置。

如果解析器無(wú)法找到給定域名的IP地址，則它將請(qǐng)求傳遞給權(quán)威DNS名稱服務(wù)器。

但是，如果第一個(gè)權(quán)威DNS名稱服務(wù)器也不保存所需的記錄，則它將帶有地址的委托消息返回到下一個(gè)DNS解析器可以查詢的權(quán)威服務(wù)器。

換句話說(shuō)，權(quán)威服務(wù)器告訴遞歸解析器：“我不知道答案，去查詢這些以及這些名稱服務(wù)器，例如ns1，ns2等”。

這個(gè)分層過(guò)程一直進(jìn)行到DNS解析器到達(dá)提供域IP地址的正確的權(quán)威服務(wù)器為止，從而允許用戶訪問(wèn)所需的網(wǎng)站。

研究人員發(fā)現(xiàn)，可以利用這些不希望的大開(kāi)銷來(lái)誘使遞歸解析器強(qiáng)制將大量數(shù)據(jù)包連續(xù)不斷地發(fā)送到目標(biāo)域，而不是合法的權(quán)威服務(wù)器。

研究人員說(shuō)，為了通過(guò)遞歸解析器發(fā)起攻擊，攻擊者必須擁有一臺(tái)權(quán)威服務(wù)器。

研究人員說(shuō)：“這可以通過(guò)購(gòu)買域名來(lái)輕松實(shí)現(xiàn)。作為權(quán)威服務(wù)器的對(duì)手可以制作任何NS推薦響應(yīng)，作為對(duì)不同DNS查詢的答案。”

NXNSAttack通過(guò)向易受攻擊的DNS解析服務(wù)器發(fā)送攻擊者控制的域(例如attacker.com)的請(qǐng)求工作，該請(qǐng)求會(huì)將DNS查詢轉(zhuǎn)發(fā)到攻擊者控制的權(quán)威服務(wù)器。

攻擊者控制的權(quán)威服務(wù)器沒(méi)有將地址返回到實(shí)際的權(quán)威服務(wù)器，而是用于指向受害者DNS域中，受威脅者控制的偽造服務(wù)器名稱或子域的列表，來(lái)響應(yīng)DNS查詢。

然后，DNS服務(wù)器將查詢轉(zhuǎn)發(fā)到所有不存在的子域，從而導(dǎo)致到受害站點(diǎn)的流量激增。

研究人員說(shuō)，這種攻擊可以將遞歸解析器交換的數(shù)據(jù)包數(shù)量放大多達(dá)1,620倍，不僅使DNS解析器無(wú)法處理更多請(qǐng)求，最終目標(biāo)是淹沒(méi)目標(biāo)域。

而且，使用Mirai等僵尸網(wǎng)絡(luò)作為DNS客戶端可以進(jìn)一步擴(kuò)大攻擊范圍。

研究人員總結(jié)說(shuō)：“我們的最初目標(biāo)是研究遞歸解析器的效率及其在不同攻擊下的行為，最終找到了一個(gè)新的，看上去很有說(shuō)服力的漏洞NXNSAttack。”

“新攻擊的關(guān)鍵要素是

(i)擁有或控制權(quán)威名稱服務(wù)器

(ii)名稱服務(wù)器使用不存在的域名

(iii)放置在DNS中的額外冗余，實(shí)現(xiàn)容錯(cuò)和快速響應(yīng)時(shí)間的結(jié)構(gòu)

強(qiáng)烈建議運(yùn)行自己的DNS服務(wù)器的網(wǎng)絡(luò)管理員將其DNS解析器軟件更新為最新版本。