攻击者可以将新公开的域名服务器(DNS)漏洞(称为TsuNAME)用作针对权威DNS服务器的大规模基于反射的分布式拒绝服务(DDoS)攻击的放大向量。
简单来说,权威的DNS服务器会将Web域转换为IP地址,并将此信息传递给递归DNS服务器,当试图连接到特定网站时,递归DNS服务器会被普通用户的网络浏览器查询。
权威DNS服务器通常由政府和私人组织(包括Internet服务提供商(ISP)和全球科技巨头)进行管理。
使用DNS查询DDoS权威服务器
试图利用TsuNAME DNS漏洞的攻击者将目标锁定为易受攻击的递归解析器,并导致其使用大量恶意DNS查询使权威服务器不堪重负。
研究人员在其安全公告中解释说:“易受TsuNAME攻击的解析器将向具有周期性依赖记录的权威服务器发送不间断查询。” [PDF]
“尽管一个解析器不太可能使权威服务器不堪重负,但许多循环的,易受攻击的递归解析器的综合影响也可能会带来影响。”
受到此类攻击后可能产生的影响可能是直接影响到的权威DNS服务器的拆除,如果国家代码顶级域(ccTLD)受到影响,则可能导致全国范围的Internet中断。
“是什么让TsuNAME特别危险的是,它可以被利用来进行反像大顶级域名或国家代码顶级域的关键基础设施的DNS DDoS攻击,可能会影响到国家的具体服务,”一个研究报告披露后公布[PDF]解释。
根据研究人员的说法,通俗的DNS解析程序(例如Unbound,BIND和KnotDNS)不受TsuNAME DNS错误的影响。
可以采取的缓解措施
研究人员补充说:“我们观察到由于Tsunz产生的.nz流量中流量增加了50%,这是由于配置错误而不是真正的攻击所致。”
报告还提到了TsuNAME事件,该事件影响了一个基于欧盟的ccTLD,由于仅有两个域具有周期性依赖性错误配置,因此将传入DNS流量增加了10倍。
但是,拥有多个域和一个僵尸网络访问权限的攻击者如果误配置其域并开始探索开放的解析器,则可能造成更大的损失。
幸运的是,可以使用TsuNAME缓解措施,并且需要“通过包含循环检测代码和缓存循环相关记录”来更改递归解析器软件。
权威的服务器运营商还可以使用开源CycleHunter 工具来减少TsuNAME攻击的影响,该 工具通过检测并抢先修复其DNS区域中的循环依赖性来帮助防止此类事件。
研究人员已经使用CycleHunter在七个TLD中检查了约1.84亿个域,这使他们能够检测到大约1400个可能在攻击中滥用的域名的44个循环依赖的NS记录(可能是由错误配置引起的波动)。
*编译:Domino
*来自:securityaffairs