پژوهشگران جزئیات مربوط به یک آسیبپذیری جدید را منتشر کردند که پروتکل DNS را تحت تأثیر قرار میدهد و برای راهاندازی حملات منع سرویس توزیعشده در مقیاس بزرگ بهمنظور از کار انداختن وبگاههای هدف میتوان از آن بهرهبرداری کرد.
این آسیبپذیری که NXNSAttack نامیده میشود، بر سازوکار DNS delegation تکیه میکند تا DNS resolverها را مجبور کند کوئریهای DNS بیشتری برای سرورهای معتبر انتخابی مهاجم تولید کنند و باعث ایجاد یک اختلال در مقیاس باتنت در سرویسهای آنلاین میشود.
پژوهشگران نشان دادند که تعداد پیامهای DNS مبادلهشده در یک فرآیند resolution عادی در عمل بسیار بیشتر از چیزی است که از نظر تئوری انتظار میرود.
آنها نشان دادند که چگونه این ناکارآمدی ممکن است برای انجام حملات ویرانگر علیه resolverهای بازگشتی و سرورهای معتبر استفاده شود.
در پی افشای مسئولانهی NXNSAttack، بسیاری از شرکتهای مسئول زیرساخت اینترنت، ازجمله PowerDNS، CZ.NIC، Cloudflare، گوگل، آمازون، مایکروسافت، Dyn اوراکل، Verisign و IBM Quad9 بهمنظور رفع این مشکل نرمافزار خود را وصله کردهاند.
زیرساخت DNS پیش از این نیز از طریق باتنت Mirai در معرض حملات منع سرویس توزیعشده قرار گرفته بود و برخی از وبگاههای بزرگ جهان ازجمله توییتر، Netflix، آمازون و Spotify از کار افتاده بودند.
جستجوی بازگشتی DNS زمانی اتفاق میافتد که یک سرور DNS با چندین سرور DNS معتبر در یک دنبالهی سلسله مراتبی ارتباط برقرار کند تا آدرس IP مربوط به یک دامنه را پیدا کند و آن را به کلاینت بازگرداند.
این فرآیند resolution بهطور معمول با DNS resolver تحت کنترل IPS کاربر یا سرورهای DNS عمومی مانند Cloudflare (1.1.1.1) یا گوگل (۸٫۸٫۸٫۸) آغاز میشود که هر کدام با سیستم کاربر پیکربندی میشود.
درصورتیکه resolver قادر به یافتن آدرس IP مربوط به نام دامنهی مذکور نباشد، درخواست را به یک سرور نام DNS معتبر ارسال میکند. اما درصورتیکه اولین سرور نام DNS معتبر نیز رکوردهای موردنظر را در اختیار نداشته باشد، پیام delegation را بههمراه آدرس سرورهای معتبر بعدی که DNS resolver میتواند برای آنها کوئری ارسال کند، باز میگرداند.
به عبارت دیگر، یک سرور معتبر به resolver بازگشتی اعلام میکند که جواب کوئری را نمیداند و این کوئریها باید به سرورهای نام دیگری ارسال شوند.
این فرآیند سلسله مراتبی تا زمانی ادامه مییابد که DNS solver به سرور معتبر درستی برسد که آدرس IP دامنه را ارائه میدهد و به کاربر اجازه میدهد تا به وبگاه موردنظر دسترسی یابد.
پژوهشگران متوجه شدند که این سربارهای بزرگ ممکن است برای فریب resolverهای بازگشتی بهمنظور ارسال مداوم تعداد زیادی بسته به یک دامنهی هدف به جای سرورهای قانونی مورد بهرهبرداری قرار گیرند.
پژوهشگران بیان کردند که بهمنظور انجام این حمله از طریق یک resolver بازگشتی، مهاجم باید یک سرور معتبر در اختیار داشته باشد. با خرید یک نام دامنه میتوان بهراحتی به آن دست یافت. مهاجمی که بهعنوان یک سرور معتبر عمل میکند، میتواند هر پاسخ بازگشتی NS را بهعنوان پاسخی برای کوئریهای DNS مختلف دستکاری کند.
NXNSAttack با ارسال درخواست دامنهی تحت کنترل مهاجم به یک سرور resolving DNS آسیبپذیر کار میکند که کوئری DNS را به سرور معتبر تحت کنترل مهاجم ارسال میکند.
سرور معتبر تحت کنترل مهاجم به جای بازگرداندن آدرسها به سرورهای معتبر واقعی، با فهرستی از نام سرورهای جعلی یا زیردامنههای تحت کنترل عامل تهدید که به یک دامنهی DNS قربانی اشاره میکند، به کوئری DNS پاسخ میدهد.