
DNS服务器软件中的新漏洞可以利用放大倍数为1620的DDoS攻击。
以色列的一个学者小组今天披露了有关NXNSAttack的详细信息,NXNSAttack是DNS服务器中的一个漏洞,可被利用来发起大规模的DDoS攻击。
根据研究小组的说法,NXNSAttack影响了递归DNS服务器和DNS委派的过程。
递归DNS服务器是将DNS查询传递给上游以进行解析并将其从域名转换为IP地址的DNS系统。
这些转换在权威的DNS服务器上进行,这些服务器包含DNS记录的副本,并有权解析该记录。
但是,作为DNS协议的安全机制的一部分,权威DNS服务器也可以将此操作“委派”给他们选择的替代DNS服务器。
新的NXNSATTACK进行了解释
以色列特拉维夫大学和以色列赫兹里亚跨学科中心的学者在今天发表的研究论文中说,他们找到了一种滥用此授权过程进行DDoS攻击的方法。
NXNSAttack技术具有不同的方面和变体,但是下面详细介绍了基本步骤:
1)攻击者将DNS查询发送到递归DNS服务器。该请求针对的是“ attacker.com”之类的域,该域通过攻击者控制的权威DNS服务器进行管理。
2)由于没有授权递归DNS服务器解析此域,因此它将操作转发给攻击者的恶意权威DNS服务器。
3)恶意DNS服务器用一条消息答复递归DNS服务器,该消息等同于“我将这个DNS解析操作委派给这么大的名称服务器列表”。该列表包含受害网站的数千个子域。
4)递归DNS服务器将DNS查询转发到列表中的所有子域,从而为受害者的权威DNS服务器造成流量激增。

NXNSATTACK具有巨大的放大系数
研究团队说,使用NXNSAttack的攻击者可以将简单的DNS查询从原始大小的2倍扩大到1,620倍,从而造成流量激增,从而使受害者的DNS服务器崩溃。
一旦DNS服务器出现故障,这也将阻止用户访问受攻击的网站,因为该站点的域无法再解析。
研究小组说,NXNSAttack数据包放大因子(PAF)取决于递归DNS服务器上运行的DNS软件。但是,在大多数情况下,放大系数比其他DDoS放大(反射)攻击大很多倍,后者的PAF通常介于2到10之间。
如此大的PAF意味着NXNSAttack是迄今为止已知的最危险的DDoS攻击媒介之一,它能够仅使用少量设备和自动DNS查询就发动破坏性攻击。
可用于DNS软件的补丁
以色列研究人员说,过去几个月来,他们一直在与DNS软件,内容交付网络和托管DNS提供商的制造商合作,将缓解措施应用于全球的DNS服务器。
受影响的软件包括ISC BIND(CVE-2020-8616),NLnet Labs Unbound(CVE-2020-12662),PowerDNS(CVE-2020-10995)和CZ.NIC结解析器(CVE-2020-12667)之类的软件,以及Cloudflare,Google,Amazon,Microsoft,Oracle(DYN),Verisign,IBM Quad9和ICANN等公司提供的商业DNS服务。

补丁已于今天和前几周发布。它们包括缓解措施,可以防止攻击者滥用DNS委派过程来泛洪其他DNS服务器。
建议运行自己的DNS服务器的服务器管理员将DNS解析器软件更新到最新版本。
该研究小组的工作已在一篇名为“ NXNSAttack:递归DNS效率低下和漏洞 ” 的学术论文中进行了详细介绍,该文件可以PDF格式下载。
相关文件
*编译:Domino
*来自:ZDNET