آسیب‌پذیری جدید DNS به مهاجمان اجازه می‌دهد تا حملات منع سرویس توزیع‌شده در مقیاس بزرگ راه‌اندازی کنند

پژوهش‌گران جزئیات مربوط به یک آسیب‌پذیری جدید را منتشر کردند که پروتکل DNS را تحت تأثیر قرار می‌دهد و برای راه‌اندازی حملات منع سرویس توزیع‌شده در مقیاس بزرگ به‌منظور از کار انداختن وب‌گاه‌های هدف  می‌توان از آن بهره‌برداری کرد.

این آسیب‌پذیری که NXNSAttack نامیده می‌شود، بر سازوکار DNS delegation تکیه می‌کند تا DNS resolverها را مجبور کند کوئری‌های DNS بیشتری برای سرورهای معتبر انتخابی مهاجم تولید کنند و باعث ایجاد یک اختلال در مقیاس بات‌نت در سرویس‌های آنلاین می‌شود.

پژوهش‌گران نشان دادند که تعداد پیام‌های DNS مبادله‌شده در یک فرآیند resolution عادی در عمل بسیار بیشتر از چیزی است که از نظر تئوری انتظار می‌رود.

آن‌ها نشان دادند که چگونه این ناکارآمدی ممکن است برای انجام حملات ویران‌گر علیه resolverهای بازگشتی و سرورهای معتبر استفاده شود.

در پی افشای مسئولانه‌ی NXNSAttack، بسیاری از شرکت‌های مسئول زیرساخت اینترنت، ازجمله PowerDNS، CZ.NIC، Cloudflare، گوگل، آمازون، مایکروسافت، Dyn اوراکل، Verisign و IBM Quad9 به‌منظور رفع این مشکل نرم‌افزار خود را وصله کرده‌اند.

زیرساخت DNS پیش از این نیز از طریق بات‌نت Mirai در معرض حملات منع سرویس توزیع‌شده قرار گرفته بود و برخی از وب‌گاه‌های بزرگ جهان ازجمله توییتر، Netflix، آمازون و Spotify از کار افتاده بودند.

جستجوی بازگشتی DNS زمانی اتفاق می‌افتد که یک سرور DNS با چندین سرور DNS معتبر در یک دنباله‌ی سلسله مراتبی ارتباط برقرار کند تا آدرس IP مربوط به یک دامنه را پیدا کند و آن را به کلاینت بازگرداند.

این فرآیند resolution به‌طور معمول با DNS resolver تحت کنترل IPS کاربر یا سرورهای DNS عمومی مانند Cloudflare (1.1.1.1) یا گوگل (۸٫۸٫۸٫۸) آغاز می‌شود  که هر کدام با سیستم کاربر پیکربندی می‌شود.

درصورتی‌که resolver قادر به یافتن آدرس IP مربوط به نام دامنه‌ی مذکور نباشد، درخواست را به یک سرور نام DNS معتبر ارسال می‌کند. اما درصورتی‌که اولین سرور نام DNS معتبر نیز رکوردهای موردنظر را در اختیار نداشته باشد، پیام delegation را به‌همراه آدرس سرورهای معتبر بعدی که DNS resolver می‌تواند برای آن‌ها کوئری ارسال کند، باز می‌گرداند.

به عبارت دیگر، یک سرور معتبر به resolver بازگشتی اعلام می‌کند که جواب کوئری را نمی‌داند و این کوئری‌ها باید به سرورهای نام دیگری ارسال شوند.

این فرآیند سلسله مراتبی تا زمانی ادامه می‌یابد که DNS solver به سرور معتبر درستی برسد که آدرس IP دامنه را ارائه می‌دهد و به کاربر اجازه می‌دهد تا به وب‌گاه موردنظر دسترسی یابد.

پژوهش‌گران متوجه شدند که این سربارهای بزرگ ممکن است برای فریب resolverهای بازگشتی به‌منظور ارسال مداوم تعداد زیادی بسته به یک دامنه‌ی هدف به جای سرورهای قانونی مورد بهره‌برداری قرار گیرند.

پژوهش‌گران بیان کردند که به‌منظور انجام این حمله از طریق یک resolver بازگشتی، مهاجم باید یک سرور معتبر در اختیار داشته باشد. با خرید یک نام دامنه می‌توان به‌راحتی به آن دست یافت. مهاجمی که به‌عنوان یک سرور معتبر عمل می‌کند، می‌تواند هر پاسخ بازگشتی NS را به‌عنوان پاسخی برای کوئری‌های DNS مختلف دست‌کاری کند.

NXNSAttack با ارسال درخواست دامنه‌ی تحت کنترل مهاجم به یک سرور resolving DNS آسیب‌پذیر کار می‌کند که کوئری DNS را به سرور معتبر تحت کنترل مهاجم ارسال می‌کند.

سرور معتبر تحت کنترل مهاجم به جای بازگرداندن آدرس‌ها به سرورهای معتبر واقعی، با فهرستی از نام سرورهای جعلی یا زیردامنه‌های تحت کنترل عامل تهدید که به یک دامنه‌ی DNS قربانی اشاره می‌کند، به کوئری DNS پاسخ می‌دهد.

منبع

پست‌های مشابه

Leave a Comment