0x00 漏洞背景

　　2020年05月28日， 360CERT監(jiān)測(cè)發(fā)現(xiàn) 國(guó)外研究團(tuán)隊(duì) 發(fā)布了 DNS協(xié)議中實(shí)現(xiàn)的邏輯錯(cuò)誤導(dǎo)致拒絕服務(wù)漏洞的風(fēng)險(xiǎn)通告，漏洞等級(jí)：高危。

　　域名系統(tǒng)(服務(wù))協(xié)議(DNS)是一種分布式網(wǎng)絡(luò)目錄服務(wù)，主要用于域名與 IP 地址的相互轉(zhuǎn)換，進(jìn)而簡(jiǎn)化記憶IP地址的互聯(lián)網(wǎng)連接方式。

　　DNS協(xié)議 存在 實(shí)現(xiàn)上的邏輯錯(cuò)誤，攻擊者 通過 發(fā)起指向惡意name-server 的DNS查詢請(qǐng)求，可以造成 遞歸服務(wù)器/特定域名服務(wù)器拒絕服務(wù)影響。

　　對(duì)此，360CERT建議廣大用戶及時(shí)安裝最新補(bǔ)丁，做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

　　0x01 風(fēng)險(xiǎn)等級(jí)

　　360CERT對(duì)該漏洞的評(píng)定結(jié)果如下

　　0x02 漏洞詳情

　　以下內(nèi)容部分引用 NXNSAttack Paper

　　下面做出如下定義

　　以 sd1.attacker.com 的 DNS 解析過程為例

　　在攻擊者觸發(fā)向 惡意的 name-server 服務(wù)器 進(jìn)行對(duì)應(yīng)域名解析的時(shí)候。

　　1. 首先會(huì)由當(dāng)前網(wǎng)絡(luò)環(huán)境中的上層DNS服務(wù)器(服務(wù)器A)去檢索 attacker.com 的 name-server 服務(wù)(服務(wù)器B)。

　　2. 攻擊者控制該 nameserver 服務(wù)器(服務(wù)器B)返回特制的響應(yīng)包(該包的主要目的：通知接收服務(wù)器做NS轉(zhuǎn)發(fā)查詢)。

　　a. 響應(yīng)包中含有復(fù)數(shù)條記錄。

　　b. 每天記錄都表述 sd1.attacker.com 需要轉(zhuǎn)發(fā)到 {fake-n}.victim.com 的 dns name-server 服務(wù)器(服務(wù)器C)去做查詢。

　　c. 其中不含對(duì)應(yīng)的IP地址。(確保查詢的成立)

　　3. (服務(wù)器A)接收到該特制的響應(yīng)包后會(huì)逐一對(duì)響應(yīng)包中的NS記錄進(jìn)行 dns 查詢。

　　4. 導(dǎo)致(服務(wù)器A)發(fā)送大量的請(qǐng)求包/(服務(wù)器C)接收大量的請(qǐng)求包導(dǎo)致拒絕服務(wù)。

　　根據(jù)研究報(bào)告顯示，NXNSAttack 攻擊比 NXDomain 更加高效,放大倍數(shù)達(dá)到了遞歸解析器交換的包數(shù)的1620倍。

　　0x03 影響版本

　　目前已知受到影響的組件和服務(wù)有

　　組件

　　UNIX bind 組件

　　Windows DNS

　　服務(wù)商

　　PowerDNS

　　Google

　　Microsoft

　　Amazon

　　Oracle

　　Cloudflare

　　0x04 修復(fù)建議

　　臨時(shí)修補(bǔ)建議：

　　在流量設(shè)備側(cè)對(duì)DNS響應(yīng)包中對(duì)滿足如下條件的包進(jìn)行攔截：

　　含有大量的NS轉(zhuǎn)發(fā)查詢請(qǐng)求

　　復(fù)數(shù)指向同一服務(wù)器的二級(jí)/多級(jí)子域名請(qǐng)求

　　不響應(yīng)非信任服務(wù)器的 DNS 查詢結(jié)果：

　　同傳統(tǒng)的防護(hù)策略采用流量黑白名單進(jìn)行

　　0x05 時(shí)間線

　　2020-05-21 國(guó)外研究團(tuán)隊(duì)發(fā)布NXNSAttack研究論文

　　2020-05-28 360CERT發(fā)布預(yù)警

　　0x06 參考鏈接

　　NXNSAttack

　　[http://www.nxnsattack.com/]

　　Debian -- Security Information -- DSA-4689-1 bind9

　　[https://www.debian.org/security/2020/dsa-4689]

　　ADV200009 | Windows DNS Server Denial of Service Vulnerability [https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200009]