Israel cybersecurity para peneliti telah mengungkapkan rincian baru tentang cacat berdampak DNS protokol yang dapat dimanfaatkan untuk melancarkan diperkuat, skala besar distributed denial-of-service (DDoS) serangan untuk takedown website yang ditargetkan.

Disebut NXNSAttack, cacat bergantung pada DNS delegasi mekanisme untuk memaksa DNS resolver untuk menghasilkan lebih banyak query DNS ke server otoritatif dari penyerang pilihan, berpotensi menyebabkan botnet skala gangguan ke layanan online.

“Kami menunjukkan bahwa jumlah DNS pesan yang dipertukarkan dalam resolusi khas proses mungkin akan jauh lebih tinggi dalam praktek dari apa yang diharapkan dalam teori, terutama karena proaktif resolusi nama-server’ alamat IP,” para peneliti mengatakan di atas kertas.

“Kami menunjukkan bagaimana inefisiensi ini menjadi hambatan yang terjadi dan dapat digunakan untuk me-mount sebuah serangan yang menghancurkan terhadap salah satu atau keduanya, rekursif resolvers dan berwibawa server.”

Berikut pengungkapan yang bertanggung jawab dari NXNSAttack, beberapa perusahaan yang bertanggung jawab atas infrastruktur internet, termasuk PowerDNS (CVE-2020-10995), CZ.NIC (CVE-2020-12667), Cloudflare, Google, Amazon, Microsoft, Oracle milik Dyn, Verisign, dan IBM Quad9, telah ditambal perangkat lunak mereka untuk mengatasi masalah.

DNS infrastruktur yang sebelumnya telah di akhir menerima ruam serangan DDoS melalui terkenal Mirai botnet, termasuk terhadap Dyn DNS service pada tahun 2016, melumpuhkan beberapa situs terbesar, termasuk Twitter, Netflix, Amazon, dan Spotify.

Yang NXNSAttack Metode

Yang rekursif DNS lookup terjadi ketika sebuah DNS server berkomunikasi dengan beberapa authoritative DNS server yang secara hirarki urutan untuk menemukan alamat IP yang terkait dengan domain (misalnya, www.google.com) dan kembali ke klien.

Resolusi ini biasanya dimulai dengan DNS resolver dikontrol oleh Isp atau public DNS server, seperti Cloudflare (1.1.1.1) atau Google (8.8.8.8), mana yang dikonfigurasi dengan sistem anda.

Resolver melewati permintaan ke authoritative DNS server nama jika itu tidak dapat menemukan alamat IP untuk mengingat nama domain.

Tapi jika yang pertama authoritative DNS name server juga tidak tahan diinginkan catatan, itu kembali delegasi pesan dengan alamat ke depan berwibawa server untuk yang DNS resolver dapat query.

Dengan kata lain, server otoritatif menceritakan rekursif penyelesai: “saya tidak tahu jawabannya, pergi dan permintaan ini dan ini nama server, misalnya, ns1, ns2, dll., bukan”.

Hirarki ini proses berjalan sampai DNS resolver mencapai yang benar berwibawa server yang menyediakan alamat IP domain, yang memungkinkan pengguna untuk mengakses situs web yang diinginkan.

Para peneliti menemukan bahwa ini besar yang tidak diinginkan overhead dapat dimanfaatkan untuk mengelabui rekursif ke resolvers tegas terus menerus mengirimkan sejumlah besar paket yang ditargetkan domain yang bukan sah berwibawa server.

Dalam rangka untuk me-mount serangan melalui rekursif resolver, penyerang harus memiliki server yang berwibawa, kata para peneliti.

“Ini dapat dengan mudah dicapai dengan membeli nama domain. Musuh yang bertindak sebagai server yang berwibawa dapat kerajinan setiap NS rujukan respon sebagai jawaban yang berbeda DNS query,” kata para peneliti.

Yang NXNSAttack bekerja dengan mengirimkan permintaan untuk seorang penyerang yang dikendalikan domain (misalnya, “attacker.com”) hingga yang rentan DNS resolving server, yang akan meneruskan permintaan DNS untuk penyerang yang dikendalikan server otoritatif.

Bukannya kembali alamat yang sebenarnya berwibawa server, penyerang yang dikendalikan berwibawa server merespon permintaan DNS dengan daftar palsu nama server atau subdomain yang dikendalikan oleh ancaman aktor yang menunjuk ke korban DNS domain.

DNS server, kemudian, meneruskan permintaan ke semua tidak ada subdomain, membuat lonjakan besar dalam lalu lintas untuk korban situs.

Para peneliti mengatakan, serangan dapat memperkuat jumlah paket yang ditukar oleh rekursif penyelesai sebanyak faktor lebih dari 1,620, sehingga luar biasa tidak hanya DNS resolver dengan permintaan mereka bisa menangani, tetapi juga banjir target domain dengan berlebihan permintaan dan bawa ke bawah.

Terlebih lagi, dengan menggunakan botnet seperti Mirai sebagai DNS client dapat lebih meningkatkan skala serangan.

“Mengendalikan dan memperoleh sejumlah besar klien dan sejumlah besar otoritatif NSs oleh penyerang lebih mudah dan murah dalam praktek,” kata para peneliti.

“Tujuan awal kami adalah untuk menyelidiki efisiensi rekursif resolvers dan perilaku mereka di bawah serangan yang berbeda, dan kami akhirnya menemukan baru serius mencari kerentanan, NXNSAttack,” para peneliti menyimpulkan.

“Bahan utama dari serangan baru adalah (i) kemudahan dengan mana satu dapat memiliki atau mengontrol server nama otoritatif, dan (ii) penggunaan tidak ada nama domain untuk nama server dan (iii) tambahan redundansi ditempatkan dalam struktur DNS untuk mencapai toleransi kesalahan dan waktu respon yang cepat,” tambah mereka.

Hal ini sangat dianjurkan bahwa administrator jaringan yang memiliki server DNS update DNS resolver perangkat lunak ke versi terbaru.