聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

以色列网络安全研究员披露了影响 DNS 协议的一个新缺陷的详情。该缺陷被称为 NXNSAttack，存在于 DNS 分配机制中，强制 DNS 解析器向攻击者选择的权威服务器生成更多的 DNS 查询，从而可能导致在线服务遭僵尸网络般大规模中断。

研究人员在论文中指出，“我们发现实际在典型的解析进程中交换的DNS信息数量要比理论上得更多，这主要是由于主动解析名称服务器的 IP 地址造成的。我们证实了这种低效如何成为瓶颈并可能被用于对递归解析器和权威服务器之一或两者发起毁灭性攻击。”

研究人员负责任地披露 NXNSAttack 攻击后，负责互联网基础设施的多家公司如 PowerDNS (CVE-2020-10995)、CZ.NIC (CVE-2020-12667)、Cloudflare、Google、Amazon、Microsoft、被 Oracle 收购的公司 Dyn、Verisign 和 IBM Quad9 均修复软件解决这个问题。

DNS 基础设施此前曾遭受 Mirai 僵尸网络发动大规模的 DDoS 攻击，包括2016年攻击 Dyn DNS 服务，导致全球规模最大的多个网站如 Twitter、Netflix、Amazon 和 Spotify 服务崩溃。

NXNSAttack 方法

当DNS 服务器和多个权威 DNS 服务器按层次结构顺序通信，查找与域关联的 IP 地址（如 www.google.com）并将其返回给客户端时，就发生了递归 DNS 查找。

这种解析通常从由用户的互联网服务提供商或公开的 DNS 服务器如 Cloudflare (1.1.1.1) 或谷歌 (8.8.8.8) 控制的 DNS 解析器开始。

如果解析器无法找到既定域名的 IP 地址，则它将请求传递给权威 DNS 名称服务器。但如果第一个权威 DNS 名称服务器也不保存所需记录，则它将带有地址的委托消息返回到DNS 服务器能够查询的下一批权威服务器中。换句话说，权威解析器告知递归解析器：“我不知道答案，去查询下这些及这些名称服务器如 ns1、ns2等。”

这个分层过程一直持续到 DNS 解析器达到提供域IP地址的正确的权威服务器为止，从而允许用户访问所需网站。

研究人员发现可以利用这些大量不必要的消耗诱骗递归解析器强制向目标域名而非合法的权威服务器发送大量数据包。

研究人员表示，为了通过递归解析器发动攻击，攻击者必须拥有一台权威服务器。研究人员表示，“这可以通过购买域名轻松实现。作为权威服务器的对手，他可以制作任何NS推荐响应，作为对不同 DNS 查询的回应。”

NXNSAttack 的运作原理是，向易受攻击的 DNS 解析服务器发送受攻击者控制的域名（如 attacker.com）请求，从而将 DNS 查询转发给受攻击者控制的权威服务器。

受攻击者控制的权威服务器并没有将地址返回给实际的权威服务器，而是用指向受害者 DNS 域的受攻击者控制的伪造的虚假服务器名称或子域列表来响应 DNS 查询。之后，DNS 服务器将查询发送给所有不存在的子域名，从而向受害者站点制造大量流量。

研究人员表示，该攻击能够将递归解析器交换的数据包数量的因子扩大了1620倍，从而不仅使DNS 解析器无法处理更多请求，而且使多余的请求淹没目标域，然后将其拿下。而且，使用诸如 Mirai 的僵尸网络作为 DNS 客户端可以进一步扩大攻击范围。

研究人员表示，“在实践中，由攻击者控制和获取大量客户和大量权威 NS 既容易又便宜。”

研究人员总结说，“我们的最初目标是研究递归解析器的效率及其在不同攻击下的行为，不过最终找到一个新的很严重漏洞 NXNSAttack。”

研究人员指出，“这种新型攻击的关键要素是（1）轻松拥有或控制一个权威名称服务器，（2）名称服务器使用不存在的域名，以及（3）在 DNS 中放置冗余结构，从而实现容错和快速的响应时间。”

强烈建议自行运行 DNS 服务器的网络管理员将 DNS 解析器软件更新至最新版本。

推荐阅读

亚马逊部分 AWS DNS 系统遭 DDoS 攻击，已达数小时之久

强大的“海龟”APT 组织潜水两年，通过 DNS 劫持攻击13国40机构

原文链接

https://thehackernews.com/2020/05/dns-server-ddos-attack.html

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 点个 “在看” ，加油鸭~