Уязвимость в DNS-серверах позволяет в тысячу раз усилить мощность DDoS-атаки
Группа исследователей из Тель-Авивского университета и Междисциплинарного центра в Герцлии (Израиль) обнаружила в DNS-серверах уязвимость, позволяющую осуществлять DDoS-атаки с фактором усиления 1620x. По словам специалистов, уязвимость, получившая название NXNSAttack, затрагивает рекурсивные DNS-серверы и процесс делегирования.
Рекурсивные DNS-серверы представляют собой системы DNS, передающие DNS-запросы в восходящем направлении, чтобы их можно было разрешить и преобразовать из доменного имени в IP-адрес. Эти операции происходят на авторитетных DNS-серверах, где хранится копия записи DNS. Однако, как часть механизма безопасности протокола DNS, авторитетные DNS-серверы также могут делегировать операцию альтернативным DNS-серверам.
Группе исследователей удалось найти способ использования вышеупомянутого процесса делегирования для осуществления DDoS-атак. У NXNSAttack существует множество вариаций, однако основной принцип атаки заключается в следующем:
1. Атакующий отправляет DNS-запрос на рекурсивный DNS-сервер. Запрос предназначается для домена вида attacker.com, управляемого с помощью подконтрольного злоумышленнику авторитетного DNS-сервера;
2. Поскольку рекурсивный DNS-сервер не авторизован для разрешения этого доменного имени, он делегирует операцию подконтрольному злоумышленнику авторитетному DNS-серверу;
3. Вредоносный DNS-сервер отправляет в ответ рекурсивному DNS-серверу сообщение, буквально означающее "я делегирую эту операцию разрешения доменного имени большому списку серверов". Список содержит тысячи поддоменов атакуемого web-сайта;
4. Рекурсивный DNS-сервер переадресовывает DNS-запрос всем поддоменам из списка, тем самым вызывая всплеск трафика для авторитетного DNS-сервера жертвы.
В течение нескольких последних месяцев исследователи вместе с производителями ПО для DNS-серверов, сетями доставки контента и провайдерами управляемых DNS работали над исправлением проблемы по всему миру. В список затронутого уязвимостью ПО входят: ISC BIND (CVE-2020-8616), NLnet labs Unbound (CVE-2020-12662), PowerDNS (CVE-2020-10995), CZ.NIC Knot Resolver (CVE-2020-12667), а также коммерческие сервисы DNS от Cloudflare, Google, Amazon, Microsoft, Oracle (DYN), Verisign, IBM Quad9 и ICANN. Администраторам собственных DNS-серверов рекомендуется установить последние версии ПО.