Peneliti keamanan siber Israel telah mengungkapkan rincian tentang protokol
DNS berdampak baru yang cacat yang dapat
dieksploitasi untuk meluncurkan serangan
denial-of-service (DDoS) terdistribusi skala besar yang disebarluaskan ke
situs-situs web yang menjadi sasaran pencopotan.
Kami menunjukkan bahwa jumlah pesan DNS yang dipertukarkan dalam proses
resolusi yang khas mungkin jauh lebih tinggi dalam praktik daripada apa
yang diharapkan dalam teori, terutama karena resolusi proaktif dari alamat
IP server-nama," kata para para peneliti di koran.
Kami menunjukkan bagaimana inefisiensi ini menjadi hambatan dan dapat
digunakan untuk melakukan serangan yang menghancurkan terhadap salah satu
atau keduanya, resolver rekursif dan server otoritatif.
Menyusul pengungkapan NXNSAttack yang bertanggung jawab, beberapa
perusahaan yang bertanggung jawab atas infrastruktur internet, termasuk
PowerDNS ( CVE ), (CVE-2020-12667), Cloudflare, Google, Amazon, Microsoft, Dyn yang
dimiliki Oracle , Verisign, dan IBM Quad9, telah menambal perangkat lunak
mereka untuk mengatasi masalah tersebut.
Infrastruktur DNS sebelumnya berada di ujung penerima serangan DDoS
melalui botnet Mirai yang terkenal , termasuk yang terhadap layanan Dyn
DNS pada 2016, melumpuhkan beberapa situs terbesar di dunia, termasuk
Twitter, Netflix, Amazon, dan Spotify
-
Sebuah DNS lookup rekursif terjadi ketika server DNS
berkomunikasi dengan beberapa server DNS otoritatif dalam
urutan hirarkis untuk menemukan alamat IP yang terkait
dengan domain (misalnya, www.google.com) dan
mengembalikannya ke klien.
Resolusi ini biasanya dimulai dengan resolver DNS yang
dikendalikan oleh ISP Anda atau server DNS publik, seperti
Cloudflare (1.1.1.1) atau Google (8.8.8.8), yang mana saja yang dikonfigurasi dengan sistem Anda.
Dengan kata lain, server otoritatif memberi tahu resolver
rekursif: "Saya tidak tahu jawabannya, buka dan tanyakan ini dan
server nama ini, misalnya, ns1, ns2, dll., Sebagai
gantinya".
Proses hierarkis ini berlangsung hingga resolver DNS mencapai
server otoritatif yang benar yang menyediakan alamat IP domain,
yang memungkinkan pengguna untuk mengakses situs web yang
diinginkan.
Para peneliti menemukan bahwa overhead besar yang tidak
diinginkan ini dapat dieksploitasi untuk mengelabui resolver
rekursif agar secara terus menerus mengirimkan sejumlah besar
paket ke domain yang ditargetkan alih-alih server resmi yang
sah.
Untuk meningkatkan serangan melalui resolver rekursif, penyerang
harus memiliki server otoritatif, kata para peneliti.
"Ini dapat dengan mudah dicapai dengan membeli nama domain.
Seorang musuh yang bertindak sebagai server otoritatif dapat
menyusun tanggapan rujukan NS sebagai jawaban untuk berbagai
pertanyaan DNS," kata para peneliti.
NXNSAttack berfungsi dengan mengirimkan permintaan untuk domain
yang dikontrol penyerang (mis., "Attacker.com") ke server
penyelesaian DNS yang rentan, yang akan meneruskan permintaan DNS
ke server otoritatif yang dikendalikan penyerang.
Alih-alih mengembalikan alamat ke server otoritatif yang
sebenarnya, server otoritatif yang dikendalikan penyerang
merespons permintaan DNS dengan daftar nama server atau subdomain
palsu yang dikendalikan oleh aktor ancaman yang menunjuk ke domain
DNS korban.
Server DNS, kemudian, meneruskan kueri ke semua subdomain yang
tidak ada, menciptakan lonjakan besar lalu lintas ke situs
korban.
Para peneliti mengatakan serangan itu dapat memperkuat jumlah
paket yang dipertukarkan oleh resolver rekursif sebanyak faktor
lebih dari 1.620, sehingga tidak hanya resolver DNS dengan lebih
banyak permintaan yang dapat mereka tangani, tetapi juga
membanjiri domain target dengan permintaan berlebihan. dan
jatuhkan itu.
-
Terlebih lagi, menggunakan botnet seperti Mirai
sebagai klien DNS dapat lebih meningkatkan skala
serangan.
"Mengontrol dan mendapatkan klien dalam jumlah besar dan
sejumlah besar NS yang otoritatif oleh penyerang itu mudah dan
murah dalam praktiknya," kata para peneliti.
"Tujuan awal kami adalah untuk menyelidiki efisiensi penyelesai
rekursif dan perilaku mereka di bawah serangan yang berbeda, dan
kami akhirnya menemukan kerentanan baru yang tampak serius,
NXNSAttack," para peneliti menyimpulkan.
"Bahan-bahan utama dari serangan baru adalah (i) kemudahan
seseorang dapat memiliki atau mengendalikan server nama resmi,
dan (ii) penggunaan nama domain yang tidak ada untuk server nama
dan (iii) redundansi tambahan yang ditempatkan dalam DNS
struktur untuk
mencapai toleransi kesalahan dan waktu respon yang cepat,
Sangat disarankan agar administrator jaringan yang
menjalankan server DNS mereka sendiri memperbarui perangkat
lunak resolver DNS mereka ke versi terbaru.
Comments
Post a Comment