الأخبار التكنولوجية والاستعراضات والنصائح!

ثغرة DNS الجديدة تتيح للمهاجمين إطلاق هجمات DDoS واسعة النطاق


كشف باحثو الأمن السيبراني الإسرائيليون عن تفاصيل حول بروتوكول DNS الجديد الذي يؤثر على الخلل والذي يمكن استغلاله لشن هجمات حجب الخدمة الموزعة على نطاق واسع (DDoS) على مواقع الإزالة المستهدفة.

يتوقف العيب المسمى NXNSAttack على آلية تفويض DNS لإجبار محللي DNS على إنشاء المزيد من استعلامات DNS للخوادم الموثوقة التي يختارها المهاجم ، مما قد يتسبب في تعطيل على نطاق الروبوتات للخدمات عبر الإنترنت.

وقال الباحثون في الورقة "نظهر أن عدد رسائل DNS المتبادلة في عملية حل نموذجية قد يكون أعلى بكثير من الناحية العملية عما هو متوقع نظريا ، ويرجع ذلك أساسا إلى حل استباقي لعناوين IP لخوادم الأسماء".

"نوضح كيف أن عدم الكفاءة هذا يصبح عنق الزجاجة ويمكن استخدامه لشن هجوم مدمر ضد أي من المحاللين التعاوديين والخوادم الموثوقة أو كليهما."

بعد الكشف المسؤول عن NXNSAttack ، العديد من الشركات المسؤولة عن البنية التحتية للإنترنت ، بما في ذلك PowerDNS (CVE-2020-10995) ، CZ.NIC (CVE-2020-12667) ، Cloudflare ، Google ، Amazon، قامت Microsoft و Dyn و Verisign و IBM Quad9 المملوكة لشركة Oracle بتصحيح برامجهم لمعالجة المشكلة.

كانت البنية التحتية لنظام أسماء النطاقات (DNS) في السابق في نهاية تلقي سلسلة من هجمات DDoS من خلال شبكة الروبوتات Mirai سيئة السمعة ، بما في ذلك تلك ضد خدمة Dyn DNS في عام 2016 ، مما أدى إلى شل بعض أكبر المواقع في العالم ، بما في ذلك Twitter، Netflix ، Amazonو Spotify.

طريقة NXNSAttack

يحدث بحث DNS العودي عندما يتصل خادم DNS بعدة خوادم DNS موثوقة في تسلسل هرمي لتحديد عنوان IP المرتبط بالمجال (على سبيل المثال ، www.google.com) وإعادته إلى العميل.

يبدأ هذا الحل عادةً بمحلل DNS الذي يتحكم به مزودو خدمة الإنترنت أو خوادم DNS العامة ، مثل Cloudflare (1.1.1.1) أو Google (8.8.8.8) ، أيهما تم تكوينه مع نظامك.

يقوم المحلل بتمرير الطلب إلى خادم اسم DNS موثوق إذا كان غير قادر على تحديد عنوان IP لاسم مجال معين.

ولكن إذا كان خادم أسماء DNS الأول المعتمد لا يحتفظ أيضًا بالسجلات المطلوبة ، فإنه يعيد رسالة التفويض بعناوين إلى الخوادم الموثوقة التالية التي يمكن لمحلل DNS الاستعلام عنها.

خادم DNS لمهاجمة DDOS

بمعنى آخر ، يخبر خادم موثوق به المحلل العودي: "لا أعرف الإجابة ، اذهب واستفسر عن خوادم الأسماء هذه ، مثل ns1 ، ns2 ، وما إلى ذلك ، بدلاً من ذلك."

تستمر هذه العملية الهرمية حتى يصل محلل DNS إلى الخادم الموثوق الصحيح الذي يوفر عنوان IP للنطاق ، مما يسمح للمستخدم بالوصول إلى موقع الويب المطلوب.

وجد الباحثون أن هذه النفقات العامة الكبيرة غير المرغوب فيها يمكن استغلالها لخداع المحللون العوديون في إرسال عدد كبير من الحزم بقوة إلى مجال مستهدف بدلاً من الخوادم الموثوقة الشرعية.

وقال الباحثون إنه من أجل شن الهجوم من خلال محلل تعاودي ، يجب أن يمتلك المهاجم خادمًا موثوقًا به.

وقال الباحثون "يمكن تحقيق ذلك بسهولة عن طريق شراء اسم نطاق. يمكن للخصم الذي يعمل كخادم موثوق أن يصوغ أي استجابة إحالة NS كإجابة على استفسارات DNS المختلفة".

يعمل NXNSAttack عن طريق إرسال طلب لنطاق يتحكم فيه المهاجم (على سبيل المثال ، "attacker.com") إلى خادم حل DNS ضعيف ، والذي سيعيد توجيه استعلام DNS إلى الخادم الموثوق الذي يتحكم به المهاجم.

بدلاً من إعادة العناوين إلى الخوادم الموثوقة الفعلية ، يستجيب الخادم الموثوق الذي يتحكم به المهاجم لاستعلام DNS بقائمة بأسماء الخوادم أو النطاقات الفرعية المزيفة التي يتحكم بها الفاعل الذي يشير إلى نطاق DNS الضحية.

ثم يقوم خادم DNS بإعادة توجيه الاستعلام إلى جميع النطاقات الفرعية غير الموجودة ، مما يخلق طفرة هائلة في حركة المرور إلى موقع الضحية.

قال الباحثون إن الهجوم يمكن أن يضخم عدد الحزم التي يتبادلها المحلل العودي بما يزيد عن 1620 عامل ، مما يربك ليس فقط محللي DNS بمزيد من الطلبات التي يمكنهم التعامل معها ، ولكن أيضًا إغراق المجال المستهدف بالطلبات غير الضرورية وانزلها.

هجوم ddos ​​باستخدام خوادم DNS

والأكثر من ذلك ، أن استخدام الروبوتات مثل Mirai كعميل DNS يمكن أن يزيد من نطاق الهجوم.

وقال الباحثون: "إن السيطرة على عدد كبير من العملاء والحصول على عدد كبير من NSs الموثوقة أمر سهل ورخيص في الممارسة العملية".

وخلص الباحثون إلى أن "هدفنا الأولي كان التحقيق في كفاءة المحولين العوديين وسلوكهم في ظل هجمات مختلفة ، وانتهى بنا الأمر إلى اكتشاف ثغرة جديدة تبدو جدية ، NXNSAttack".

"إن المكونات الرئيسية للهجوم الجديد هي (1) سهولة امتلاك أو التحكم في خادم أسماء موثوق به ، و (2) استخدام أسماء نطاقات غير موجودة لخوادم الأسماء و (3) التكرار الإضافي الموضوع في DNS واضاف "ان هيكل لتحقيق التسامح مع الخطأ ووقت استجابة سريع".

يوصى بشدة أن يقوم مسؤولو الشبكة الذين يقومون بتشغيل خوادم DNS الخاصة بهم بتحديث برنامج محلل DNS الخاص بهم إلى أحدث إصدار.