研究人员警告无法修复的DNS DoS NXNS攻击

2020-05-21 16:48:39

以色列安全研究人员在全球域名系统(DNS)的一个基本原理中发现了一个无法修复的漏洞,该漏洞可被滥用来发起潜在的压倒性拒绝服务攻击。

特拉维夫大学的Lior Shafir和Herzliya跨学科中心的Anat Bremler-Barr都发表了关于DNS漏洞的发现,他们称之为NXNSAttack,此前他们向供应商披露了这个漏洞,让他们有时间开发补丁。

NXNSAttack利用了DNS中所谓的无缝委派的弱点,在DNS中,查询返回对域具有权威性的服务器的名称,但不返回它们的互联网协议地址。

使用恶意DNS服务器的攻击者可以使用包含假的、随机的权威服务器名称的委派进行响应。

这些服务器名称被设置为指向受害者域,从而强制解析程序生成进一步的查询,这些查询将被发送到无法解析它们的目标DNS服务器。

这是符合标准的DNS服务器的运行方式,但NXNSAttack的后果可能是拒绝服务泛滥,数据包放大倍数高达1621倍。

目前服务于全球互联网基础设施的开源和专有DNS服务器受到影响,需要打补丁。

这包括互联网软件联盟(Internet Software Consortium)的BIND等DNS解析器,也包括谷歌(Google)、微软(Microsoft)、亚马逊网络服务(Amazon Web Services)和Cloudflare等云和网络服务提供商使用的专有DNS解析器,它们现在已经收到了补丁。

但是,补丁程序无法修复该漏洞,仅通过添加对名称服务解析重试次数的限制来缓解NXNSAttack。

不幸的是,NXNSATTACK滥用了DNS协议的最基本原则,这实际上意味着没有修复,只有缓解,与以色列研究人员合作的捷克共和国域名管理员PetrŠpaček写道。

Špaček指出,虽然从表面上看,在处理单个委托时限制解析的名称数量等缓解技术似乎很容易实施,但它们可能会破坏某些域的解析。

对解析重试添加任意限制可能会给估计4%的二级域带来问题,这些二级域的顶级域(TLD)(如.com和.net)的委派存在问题。

Špaček表示:在接下来的几天里,我们将看到供应商在确定他们的魔术数字方面取得了多大的成功,以及他们是否在没有打破任何主要领域的情况下脱颖而出。