Radware:DNS解析器曝出网络安全问题NXNSAttack
介绍
2020年5月19日,特拉维夫高校和非洲交叉学科管理中心的专家学者们发觉,DNS递归解析器在执行全过程中存有系统漏洞,能够被用以进行对于随意受害人的毁灭性DDoS攻击。科学研究工作人员将利用此系统漏洞的攻击称之为NXNSAttack,并在科学研究毕业论文中开展了详细描述。
有别于立即以服务器或服务项目为总体目标并对其导致危害的DDoS水灾攻击或网络层DDoS攻击,NXNSAttack的攻击总体目标是受害人的解析域名工作能力。与NXDOMAIN或DNS水刑攻击一样,这类DDoS攻击的总体目标是根据递归DNS解析器,利用选用了任意网站域名要求水灾的失效要求轻载权威性域名服务器,进而毁坏这种权威性域名服务器。因为要求来源于合理合法的递归DNS网络服务器,因而在权威性网络服务器上难以检验并减轻这一攻击。根据毁坏解析域名,攻击者能够合理阻拦对于此事网站域名下全部服务项目的浏览。遭受攻击后,新的手机客户端无法找到联接到服务项目的IP地址,因而没法分析服务项目的IP地址。
与数据文件放大系数仅为3倍的NXDOMAIN攻击不一样,NXNSAttack出示的数据文件放大系数从攻击子域名(victim.com)时的74倍到对于递归解析器的1621倍不一。网络带宽放大系数则在攻击子域名的21倍和对于递归解析器的163倍中间。对于根域名服务器和一级域名服务器的数据文件放大系数为1071倍,网络带宽放大系数为99倍。NXNSAttack具备较高的放大率和灵便的內容配对作用,是一种能够用以进行规模性攻击的攻击矢量素材。
接着,科学研究工作人员公布了这一系统漏洞,并触碰了早已修补了手机软件和服务项目的经销商。系统漏洞公布时,下列这种DNS网络服务器现有能用补丁下载:ISC BIND (CVE-2020-8616)、NLnet labs Unbound (CVE-2020-12662)、PowerDNS (CVE-2020-10995)和CZ.NIC Knot Resolver (CVE-2020-12667)。除此之外,下列这种对外开放DNS递归解析器服务提供商已升级了服务项目,以减轻利用此系统漏洞的DDoS攻击:Cloudflare、Google、Amazon、Microsoft、Oracle (DYN)、Verisign、IBM Quad9及其ICANN。第三方软件和服务供应商也随着开展了修补。殊不知,还可以作出那样的假定,并不是全部的独享和公有制递归解析器都早已获得了修补或将要被修补。
遭到到攻击或系统漏洞乱用不但仅限于公有制递归解析器,也会危害到坐落于ISP、云间或企业内部的独享递归解析器。以往,故意攻击者能够利用不一样的智能机器人程序流程进行任意网站域名水灾攻击,如今还可以利用同样的智能机器人程序流程进行毁坏解析器使用者以外的随意受害人的NXNSAttack。Mirai等出示了“拆箱即用”任意域水灾适用的拒绝服务攻击源码能够轻轻松松得到,这就提升了实行这种毁灭性DDoS攻击的概率。
受害人沒有掌握立即解决她们所遭遇的风险性。一切权威性DNS基础架构部件都能够为其操纵以外的递归DNS解析器所毁坏,包含二级域名(victim.com)、一级域名(.com, .info, …)和根域名服务器(‘.’)。受害人只有任凭DNS服务供应商摆弄。
递归DNS服务提供商能够根据运用DNS手机软件经销商出示的修补程序流程或布署科学研究工作人员在毕业论文中明确提出的Max1Fetch解决方法,来维护本身基础架构,并维护互联网技术免受攻击。或是,递归DNS服务提供商能够根据积极主动选用经DNSSEC认证的缓存文件(RFC8198)或利用Radware DefensePro来开展DDoS安全防护,维护本身基础架构免受任意网站域名水灾的侵犯。
HTTPS上的DNS (DOH)或TLS上的DNS (DOT)不可以出示对于NXNSAttack的防护措施。DOH和DOT协议书的目地是出示手机客户端解析域名的隐私保护性,而不可以维护DNS基础架构的受权端。最槽糕的状况便是,DOH和DOT被作为避开技术性,掩藏来源于上下游互联网感应器的任意网站域名水灾和TLS数据加密数据流分析内的防护措施,从而没法检验并减轻故意DNS攻击。
提升域名和空间的存活時间(TTL)值将提升网站域名下服务项目抵御权威性域名服务器终断的工作能力,成本则是放弃网站域名的协调能力。除此之外,这只有为在掩藏在解析器以后的且在更早的情况下就早已缓存文件了分析的手机客户端出示解决方法,不可以在遭到攻击时出示详细或不确定性的解决方法。
雄才大略且无所不在的攻击者能够建立对于一切子域名(victim.com)的攻击基础架构,从而危害同样域名服务器或服务供应商出示的别的子域名。如果有充足資源,攻击还能够对于‘.com’、‘.info’、‘.us’、‘.ca’、‘.de’等一级域名,乃至能够试着终断互联网技术的根域名服务器。
大量详尽內容,请浏览:
零信任:网络信息安全防御力构思的完全转型
Mount Locker勒索病毒方案对于税务部门总体目标进行攻击
应用 TinyCheck 专用工具得到大量的隐私保护操纵
亚信安全:2020年勒索软件导致的财产损失升高50%
春节假期,这种网络信息安全预防方法铭记心头!
