主页 > 行业动态 > 新的DNS漏洞(NXNSAttack)可导致大型DDoS攻击

新的DNS漏洞(NXNSAttack)可导致大型DDoS攻击

时间 : 2020-05-21

        DNS服务和软件的多个主要提供商正在修复一个严重的DNS漏洞,恶意攻击者可利用该漏洞发动严重的分布式拒绝服务(DDoS)攻击。

        该漏洞被称为NXNSAttack,是由以色列特拉维夫大学和赫兹利亚跨学科研究中心的研究人员发现的。

        该漏洞存在于DNS协议中,影响所有的递归DNS解析器。DNS软件,例如NLnetLabs的Unbound,BIND,Knot Resolver和PowerDNS,以及Google,Microsoft,Cloudflare,Amazon,Oracle(DYN),Verisign,IBM,Quad9和ICANN提供的DNS服务,已被证实受到影响。

        受影响的组织已经修复了其软件和服务器中的漏洞,以防止漏洞遭到利用。然而,运行自己的DNS解析器的实体需要尽快更新软件,以防止攻击。

        受影响的厂商已经为该漏洞分配了多个CVE编号,包括CVE-2020-8616(BIND),CVE-2020-12662(Unbound),CVE-2020-12667(Knot)和CVE-2020-10995(PowerDNS)。

        DNS放大攻击是DDoS攻击,攻击者利用DNS服务器中的漏洞将小查询转变成可干扰目标服务器的更大的payload。

        在NXNSAttack的场景中,远程攻击者可通过向脆弱的解析器发送DNS查询放大网络流量,该解析器会查询由攻击者控制的授权服务器控制器。攻击者的服务器授予虚假的服务器名称,该名称指向受害者的DNS域,造成解析器生成对受害者DNS服务器的查询。该攻击会造成放大系数超过1620。

d1e3cfd8-96ee-4996-a3de-ddcf991b9388.png

        DNS基础设施以前一直是通过臭名昭著的Mirai僵尸网络(包括2016年针对Dyn DNS服务类型的网络攻击)发动DDoS攻击,破坏了包括Twitter,Netflix,Amazon和Spotify在内的一些世界上最大的站点。


NXNS攻击方法

        一个递归DNS查找发生在一个层次序列与多个权威DNS服务器DNS服务器进行通信,以定位(例如www.google.com)与域关联的IP地址,并将其返回给客户端。该解决方案通常从由您的ISP或Cloudflare(1.1.1.1)或Google(8.8.8.8)之类的公共DNS服务器控制的DNS解析器开始,无论您使用系统中的哪种配置。

        如果解析器无法找到给定域名的IP地址,则它将请求传递给权威DNS名称服务器。

        但是,如果第一个权威DNS名称服务器也不保存所需的记录,则它将带有地址的委托消息返回到下一个DNS解析器可以查询的权威服务器。

914252a3-ecd1-4ab9-9e67-ec58116e27ee.jpg

        换句话说,权威服务器告诉递归解析器:“我不知道答案,去查询这些以及这些名称服务器,例如ns1,ns2等”。

        这个分层过程一直进行到DNS解析器到达提供域IP地址的正确的权威服务器为止,从而允许用户访问所需的网站。

        研究人员发现,可以利用这些不希望的大开销来诱使递归解析器强制将大量数据包连续不断地发送到目标域,而不是合法的权威服务器。

        研究人员说,为了通过递归解析器发起攻击,攻击者必须拥有一台权威服务器。

        研究人员说:“这可以通过购买域名来轻松实现。作为权威服务器的对手可以制作任何NS推荐响应,作为对不同DNS查询的答案。”

        NXNSAttack通过向易受攻击的DNS解析服务器发送攻击者控制的域(例如attacker.com)的请求工作,该请求会将DNS查询转发到攻击者控制的权威服务器。

        攻击者控制的权威服务器没有将地址返回到实际的权威服务器,而是用于指向受害者DNS域中,受威胁者控制的伪造服务器名称或子域的列表,来响应DNS查询。

        然后,DNS服务器将查询转发到所有不存在的子域,从而导致到受害站点的流量激增。

f1f6314c-491f-42fa-b0ea-94cdde0dd5d5.png

        研究人员说,这种攻击可以将递归解析器交换的数据包数量放大多达1,620倍,不仅使DNS解析器无法处理更多请求,最终目标是淹没目标域。

        而且,使用Mirai等僵尸网络作为DNS客户端可以进一步扩大攻击范围。

        研究人员总结说:“我们的最初目标是研究递归解析器的效率及其在不同攻击下的行为,最终找到了一个新的,看上去很有说服力的漏洞NXNSAttack。”

        

“新攻击的关键要素是

        (i)拥有或控制权威名称服务器

        (ii)名称服务器使用不存在的域名

        (iii)放置在DNS中的额外冗余,实现容错和快速响应时间的结构

        强烈建议运行自己的DNS服务器的网络管理员将其DNS解析器软件更新为最新版本。


上一篇 下一篇