新的DNS漏洞允许攻击者对目标站点发起大规模DDoS攻击。该漏洞被称为NXNSAttack,其原因在于DNS委托机制会强制解析器向攻击者选择的权威服务器生成更多DNS查询,这可能导致在线服务的僵尸网络规模中断。“我们发现,在典型解析过程中交换的DNS信息量在实践中可能比理论上预测的要大,这主要是由于名称服务器IP地址的主动解析更高,”研究人员说。“我们展示了这种低效率如何成为瓶颈,并可以被利用来对递归解析器和权威服务器中的一个或两个发起毁灭性攻击。”在负责任地披露NXNSAttack之后,多家负责互联网基础设施的公司采取了行动:包括PowerDNS(CVE-2020-10995)、CZ.NIC(CVE-2020-12667)、Cloudflare、谷歌、亚马逊、微软、甲骨文旗下的Dyn、Verisign和IBMQuad9已对其软件进行修补,以解决此问题。DNS基础设施之前曾受到臭名昭著的Mirai僵尸网络的DDoS攻击(包括2016年对DynDNS服务类型的攻击),该攻击摧毁了一些世界上最大的网站,包括Twitter、Netflix、Amazon和Spotify。NXNS攻击方法递归DNS查找发生在具有多个权威DNS服务器的分层序列中DNS服务器通信以定位(例如www.google.com)与域关联的IP地址并将其返回给客户端。该解决方案通常从您的ISP控制的DNS解析器或Cloudflare(1.1.1.1)或Google(8.8.8.8)等公共DNS服务器开始,无论您在系统中使用哪种配置。如果解析器找不到给定域名的IP地址,它会将请求传递给权威的DNS名称服务器。但是,如果第一个权威DNS名称服务器也没有保存所需的记录,它会向DNS解析器可以查询的下一个权威服务器返回一个带有地址的委托消息。换句话说,权威服务器告诉递归解析器:“我不知道答案,去查询这些和这些名称服务器,例如ns1、ns2等”。这个分层过程一直持续到DNS解析器到达为域提供IP地址的正确权威服务器,允许用户访问所需的网站。研究人员发现,可以利用这些不受欢迎的大开销来欺骗递归解析器,迫使大数据包持续流向目标域而不是合法的权威服务器。研究人员表示,为了通过递归解析器发起攻击,攻击者必须拥有权威服务器。“这可以通过购买域名轻松实现。作为权威服务器的对手可以制作任何NS推荐响应作为对不同DNS查询的答案,”研究人员说。NXNSAttack的工作原理是发送攻击者控制的域(例如attacker.com),该域将DNS查询转发到攻击者控制的权威服务器。攻击者控制的权威服务器不会将地址返回给实际的权威服务器,而是用于指向受害DNS域中威胁行为者控制的虚假服务器名称或子域列表,以响应DNS查询。然后DNS服务器将查询转发到所有不存在的子域,导致受害站点的流量激增。研究人员表示,这种攻击可以将递归解析器交换的数据包数量放大多达1,620倍,不仅使DNS解析器无法处理更多请求,最终目标是淹没目标域。而且,使用Mirai等僵尸网络作为DNS客户端可以进一步扩大攻击范围。“我们最初的目标是研究递归解析器的效率及其在不同攻击下的行为,并最终发现了一个新的、看似引人注目的漏洞,NXNSAttack,”研究人员总结道。“新攻击的关键要素是(i)拥有或控制权威域名服务器(ii)域名服务器使用不存在的域名(iii)在DNS中放置额外的冗余,强烈推荐容错和快速响应时间的结构对于运行自己的DNS服务器的网络管理员,员工可以将他们的DNS解析器软件更新到最新版本。
