新的DNS漏洞使攻击者可以发起大规模DDoS攻击

作者 : webmaster 发布时间: 2020-06-30 文章热度:29 共1249个字,阅读需4分钟。 本文内容有更新 字体:

 网络安全

以色列网络安全研究人员披露了有关影响DNS协议的新缺陷的详细信息,该缺陷可被利用来发起放大DDoS攻击,以击倒目标网站

新的DNS漏洞使攻击者可以发起大规模DDoS攻击-悠哉网

该漏洞称为NXNSAttack,缺陷在于DNS委派机制迫使解析器向攻击者选择的权威服务器生成更多DNS查询,从而可能导致僵尸网络规模的在线服务中断。

“我们发现,在一个典型的解决过程中交换的DNS信息的数量可能在实践中比预计的理论更多,主要是由于名称服务器的IP地址的主动分辨率更高,”该研究人员说。

“我们展示了这种低效率如何成为瓶颈,并可能被用来对递归解析器和权威服务器之一或两者发起毁灭性攻击。”

在负责地披露NXNSAttack之后,负责互联网基础架构的几家公司做出了行动:

新的DNS漏洞使攻击者可以发起大规模DDoS攻击-悠哉网

包括PowerDNS(CVE-2020-10995),CZ.NIC(CVE-2020-12667),Cloudflare,谷歌,亚马逊,微软,甲骨文拥有的Dyn ,Verisign和IBM Quad9已对其软件进行了修补,以解决该问题。

DNS基础设施以前一直是通过臭名昭著的Mirai僵尸网络(包括2016年针对Dyn DNS服务类型的网络攻击)发动DDoS攻击,破坏了包括Twitter,Netflix,Amazon和Spotify在内的一些世界上最大的站点。

NXNS攻击方法

一个递归DNS查找发生在一个层次序列与多个权威DNS服务器DNS服务器进行通信,以定位(例如www.google.com)与域关联的IP地址,并将其返回给客户端。

该解决方案通常从由您的ISP或Cloudflare(1.1.1.1)或Google(8.8.8.8)之类的公共DNS服务器控制的DNS解析器开始,无论您使用系统中的哪种配置。

如果解析器无法找到给定域名的IP地址,则它将请求传递给权威DNS名称服务器。

但是,如果第一个权威DNS名称服务器也不保存所需的记录,则它将带有地址的委托消息返回到下一个DNS解析器可以查询的权威服务器。

新的DNS漏洞使攻击者可以发起大规模DDoS攻击-悠哉网

换句话说,权威服务器告诉递归解析器:“我不知道答案,去查询这些以及这些名称服务器,例如ns1,ns2等”。

这个分层过程一直进行到DNS解析器到达提供域IP地址的正确的权威服务器为止,从而允许用户访问所需的网站

研究人员发现,可以利用这些不希望的大开销来诱使递归解析器强制将大量数据包连续不断地发送到目标域,而不是合法的权威服务器。

研究人员说,为了通过递归解析器发起攻击,攻击者必须拥有一台权威服务器。

研究人员说:“这可以通过购买域名来轻松实现。作为权威服务器的对手可以制作任何NS推荐响应,作为对不同DNS查询的答案。”

NXNSAttack通过向易受攻击的DNS解析服务器发送攻击者控制的域(例如attacker.com)的请求工作,该请求会将DNS查询转发到攻击者控制的权威服务器。

攻击者控制的权威服务器没有将地址返回到实际的权威服务器,而是用于指向受害者DNS域中,受威胁者控制的伪造服务器名称或子域的列表,来响应DNS查询。

然后,DNS服务器将查询转发到所有不存在的子域,从而导致到受害站点的流量激增。

新的DNS漏洞使攻击者可以发起大规模DDoS攻击-悠哉网

研究人员说,这种攻击可以将递归解析器交换的数据包数量放大多达1,620倍,不仅使DNS解析器无法处理更多请求,最终目标是淹没目标域。

而且,使用Mirai等僵尸网络作为DNS客户端可以进一步扩大攻击范围。

研究人员总结说:“我们的最初目标是研究递归解析器的效率及其在不同攻击下的行为,最终找到了一个新的,看上去很有说服力的漏洞NXNSAttack。”

“新攻击的关键要素是

(i)拥有或控制权威名称服务器

(ii)名称服务器使用不存在的域名

(iii)放置在DNS中的额外冗余,实现容错和快速响应时间的结构

强烈建议运行自己的DNS服务器的网络管理员将其DNS解析器软件更新为最新版本。

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
悠哉网 » 新的DNS漏洞使攻击者可以发起大规模DDoS攻击

发表评论

500+

本站勉强运行

430+

用户总数

3776+

资源总数

8+

今日更新

2020-7-9

最后更新时间