Исследователи предупреждают о нефиксированном отказе DNS в обслуживании NXNSAttack
Большинство основных распознавателей DNS нуждаются в исправлении для защиты от NXNSAttack.
Израильские исследователи безопасности обнаружили неустранимую уязвимость в одной из основ всемирной системы доменных имен (DNS), которой можно злоупотреблять для запуска потенциально подавляющих атак типа «отказ в обслуживании».

Лиор Шафир и Иегуда Афек из Тель-Авивского университета и Анат Бремлер-Барр из Междисциплинарного центра Герцлии опубликовали свои выводы об уязвимости DNS, которую они назвали NXNSAttack, после того как они сообщили поставщикам, чтобы дать им время для разработки исправлений.

NXNSAttack использует слабость в так называемом делегировании без связи в DNS, при котором запросы возвращают имена серверов, которые являются авторитетными для домена, но не их адреса интернет-протокола.

Злоумышленник со злонамеренным DNS-сервером может ответить делегированием, которое содержит поддельные случайные имена доверенных серверов.

Эти имена серверов настроены так, чтобы указывать на домен-жертву, что заставляет распознаватель генерировать дополнительные запросы, которые отправляются на целевой DNS-сервер, который не может их разрешить.

Именно так должны работать совместимые со стандартами DNS-серверы, но последствия NXNSAttack могут заключаться в потоке отказа в обслуживании с очень высоким коэффициентом усиления пакетов до 1621 раз.

Серверы с открытым исходным кодом и собственные DNS-серверы, которые в настоящее время обслуживают глобальную интернет-инфраструктуру, подвержены уязвимости и нуждаются в исправлении.

Сюда входят средства распознавания DNS, такие как BIND интернет-консорциума программного обеспечения, а также проприетарные, используемые поставщиками облачных и веб-служб, такими как Google, Microsoft, Amazon Web Services и Cloudflare, которые теперь получили исправления.

Однако исправления не устраняют уязвимость, а только обеспечивают защиту от NXNSAttack, добавляя ограничения на количество повторов для разрешения службы имен.

«К сожалению, NXNSAttack злоупотребляет самым базовым принципом протокола DNS, который практически означает, что нет никаких исправлений, только смягчение», - написал Петр Шпачек из Администратора доменных имен Чешской Республики, который сотрудничал с израильскими исследователями .

Шпачек отметил, что, хотя на поверхности методы смягчения, такие как ограничение количества разрешенных имен, при обработке отдельных делегаций, кажутся простыми в реализации, они могут нарушить разрешение для некоторых доменов.

Добавление произвольных ограничений на повторные попытки разрешения может вызвать проблемы для оцененных четырех процентов доменов второго уровня, у которых есть проблемы с их делегированием из доменов верхнего уровня (TLD), таких как .com и .net.

«В ближайшие дни мы увидим, как успешные продавцы определили свои магические числа и смогут ли они уйти, не взломав ни одного крупного домена», - сказал Шпачек.