您所在的位置: 首頁 >
安全研究 >
安全通告 >
NXNSAttack: DNS協(xié)議安全漏洞通告
0x00 漏洞背景
2020年05月28日, 360CERT監(jiān)測發(fā)現(xiàn) 國外研究團(tuán)隊 發(fā)布了 DNS協(xié)議中實現(xiàn)的邏輯錯誤導(dǎo)致拒絕服務(wù)漏洞的風(fēng)險通告,漏洞等級:高危。
域名系統(tǒng)(服務(wù))協(xié)議(DNS)是一種分布式網(wǎng)絡(luò)目錄服務(wù),主要用于域名與 IP 地址的相互轉(zhuǎn)換,進(jìn)而簡化記憶IP地址的互聯(lián)網(wǎng)連接方式。
DNS協(xié)議 存在 實現(xiàn)上的邏輯錯誤,攻擊者 通過 發(fā)起指向惡意name-server 的DNS查詢請求,可以造成 遞歸服務(wù)器/特定域名服務(wù)器拒絕服務(wù)影響。
對此,360CERT建議廣大用戶及時安裝最新補丁,做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊。
0x01 風(fēng)險等級
360CERT對該漏洞的評定結(jié)果如下
0x02 漏洞詳情
以下內(nèi)容部分引用 NXNSAttack Paper
下面做出如下定義
以 sd1.attacker.com 的 DNS 解析過程為例
在攻擊者觸發(fā)向 惡意的 name-server 服務(wù)器 進(jìn)行對應(yīng)域名解析的時候。
1. 首先會由當(dāng)前網(wǎng)絡(luò)環(huán)境中的上層DNS服務(wù)器(服務(wù)器A)去檢索 attacker.com 的 name-server 服務(wù)(服務(wù)器B)。
2. 攻擊者控制該 nameserver 服務(wù)器(服務(wù)器B)返回特制的響應(yīng)包(該包的主要目的:通知接收服務(wù)器做NS轉(zhuǎn)發(fā)查詢)。
a. 響應(yīng)包中含有復(fù)數(shù)條記錄。
b. 每天記錄都表述 sd1.attacker.com 需要轉(zhuǎn)發(fā)到 {fake-n}.victim.com 的 dns name-server 服務(wù)器(服務(wù)器C)去做查詢。
c. 其中不含對應(yīng)的IP地址。(確保查詢的成立)
3. (服務(wù)器A)接收到該特制的響應(yīng)包后會逐一對響應(yīng)包中的NS記錄進(jìn)行 dns 查詢。
4. 導(dǎo)致(服務(wù)器A)發(fā)送大量的請求包/(服務(wù)器C)接收大量的請求包導(dǎo)致拒絕服務(wù)。
根據(jù)研究報告顯示,NXNSAttack 攻擊比 NXDomain 更加高效,放大倍數(shù)達(dá)到了遞歸解析器交換的包數(shù)的1620倍。
0x03 影響版本
目前已知受到影響的組件和服務(wù)有
組件
UNIX bind 組件
Windows DNS
服務(wù)商
PowerDNS
Microsoft
Amazon
Oracle
Cloudflare
0x04 修復(fù)建議
臨時修補建議:
在流量設(shè)備側(cè)對DNS響應(yīng)包中對滿足如下條件的包進(jìn)行攔截:
含有大量的NS轉(zhuǎn)發(fā)查詢請求
復(fù)數(shù)指向同一服務(wù)器的二級/多級子域名請求
不響應(yīng)非信任服務(wù)器的 DNS 查詢結(jié)果:
同傳統(tǒng)的防護(hù)策略采用流量黑白名單進(jìn)行
0x05 時間線
2020-05-21 國外研究團(tuán)隊發(fā)布NXNSAttack研究論文
2020-05-28 360CERT發(fā)布預(yù)警
0x06 參考鏈接
NXNSAttack
[http://www.nxnsattack.com/]
Debian -- Security Information -- DSA-4689-1 bind9
[https://www.debian.org/security/2020/dsa-4689]
ADV200009 | Windows DNS Server Denial of Service Vulnerability [https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200009]