聲明：該文章由作者（婭米）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁(yè)鏈接。。

來(lái)自加利福尼亞大學(xué)和清華大學(xué)的一群學(xué)者發(fā)現(xiàn)了一系列嚴(yán)重的安全漏洞，這些漏洞可能導(dǎo)致DNS緩存中毒攻擊死灰復(fù)燃。

這種技術(shù)被稱(chēng)為“SAD DNS攻擊”（Side-channel AttackeD DNS的縮寫(xiě)），該技術(shù)使攻擊者可以進(jìn)行路徑外攻擊，將最初發(fā)往特定域的所有流量重新路由到其控制下的服務(wù)器，從而允許他們竊聽(tīng)和篡改通信。

研究人員表示：“這是一個(gè)重要的里程碑，這是第一個(gè)可武器化的網(wǎng)絡(luò)側(cè)通道攻擊，具有嚴(yán)重的安全影響。”“這使攻擊者可以將惡意DNS記錄注入DNS緩存中。”

這一發(fā)現(xiàn)被追蹤為CVE-2020-25705。該漏洞影響操作系統(tǒng)Linux 3.18-5.10，Windows Server 2019（版本1809）和更高版本，macOS 10.15和更高版本以及FreeBSD 12.1.0和更高版本。

DNS轉(zhuǎn)發(fā)器成為新的攻擊面

DNS解析器通常將對(duì)IP地址查詢(xún)的響應(yīng)緩存特定時(shí)間段，以提高網(wǎng)絡(luò)中響應(yīng)性能。但可以利用這種機(jī)制來(lái)毒化緩存，方法是為給定網(wǎng)站模擬IP地址DNS條目，并將嘗試訪問(wèn)該網(wǎng)站的用戶(hù)重定向到攻擊者選擇的其他站點(diǎn)。

但是，此類(lèi)攻擊的有效性受到了一定程度的影響，因?yàn)橹T如DNSSEC（域名系統(tǒng)安全擴(kuò)展）之類(lèi)的協(xié)議通過(guò)在現(xiàn)有DNS記錄中添加加密簽名和允許DNS的基于隨機(jī)化的防御來(lái)創(chuàng)建安全的域名系統(tǒng)解析程序?yàn)槊總€(gè)查詢(xún)使用不同的源端口和事務(wù)ID（TxID）。?

一種新穎的Side-Channel攻擊

研究人員指出，由于“激勵(lì)和兼容性”的原因，這兩種緩解措施還遠(yuǎn)未得到廣泛應(yīng)用，因此他們?cè)O(shè)計(jì)了一種Side-Channel攻擊，可以成功地用于最流行的DNS軟件堆棧。所以，像Cloudflare的1.1.1.1和Google的8.8.8.8這樣的公共DNS解析程序易受攻擊。

SAD DNS攻擊的工作原理是利用任何網(wǎng)絡(luò)中的一臺(tái)受損機(jī)器，該網(wǎng)絡(luò)能夠觸發(fā)DNS轉(zhuǎn)發(fā)器或解析器的請(qǐng)求，例如咖啡館、購(gòu)物中心或機(jī)場(chǎng)中由無(wú)線路由器管理的公共無(wú)線網(wǎng)絡(luò)。

然后，它利用網(wǎng)絡(luò)協(xié)議棧中的一個(gè)側(cè)信道來(lái)掃描并發(fā)現(xiàn)哪些源端口用于啟動(dòng)DNS查詢(xún)，隨后通過(guò)暴力強(qiáng)制TxIDs注入大量偽造的DNS應(yīng)答。

更具體地說(shuō)，研究人員使用域名請(qǐng)求中使用的一個(gè)通道，通過(guò)向受害者服務(wù)器發(fā)送每個(gè)具有不同IP地址的偽造UDP數(shù)據(jù)包來(lái)縮小確切的源端口號(hào)，并根據(jù)收到的ICMP響應(yīng)（或沒(méi)有響應(yīng)）來(lái)推斷是否已命中正確的源端口。

這種端口掃描方法達(dá)到每秒1000個(gè)端口的掃描速度，累計(jì)需要60秒多一點(diǎn)的時(shí)間來(lái)枚舉由65536個(gè)端口組成的整個(gè)端口范圍。然后，攻擊者所要做的就是插入一個(gè)惡意IP地址來(lái)重定向網(wǎng)站流量，并成功地完成DNS緩存中毒攻擊。

減輕SAD DNS攻擊

除了演示如何擴(kuò)展攻擊窗口（允許攻擊者掃描更多端口并注入額外的惡意錄來(lái)攻擊DNS緩存）外，該研究還發(fā)現(xiàn)，互聯(lián)網(wǎng)上超過(guò)34%的開(kāi)放解析程序易受攻擊，其中85%由流行的DNS服務(wù)（如Google和Cloudflare）組成。

為了應(yīng)對(duì)SAD DNS，研究人員建議禁用傳出的ICMP響應(yīng)，并更積極地設(shè)置DNS查詢(xún)的超時(shí)。

研究人員還提供了一種工具來(lái)檢查容易受到此攻擊的DNS服務(wù)器。此外，該小組與Linux內(nèi)核安全團(tuán)隊(duì)合作開(kāi)發(fā)了一個(gè)補(bǔ)丁，該補(bǔ)丁隨機(jī)化ICMP全局速率限制，從而將噪聲引入旁通道。

研究人員得出結(jié)論：“這項(xiàng)研究提出了一種基于全球ICMP速率限制的側(cè)通道，所有現(xiàn)代操作系統(tǒng)都普遍采用這種限制?！薄斑@可以有效掃描DNS查詢(xún)中的UDP源端口。結(jié)合擴(kuò)展攻擊窗口的技術(shù)，可以導(dǎo)致DNS緩存中毒攻擊死灰復(fù)燃?！?/p>

消息來(lái)源：The Hacker News?；封面來(lái)自網(wǎng)絡(luò)；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/