Onions
New member
Уязвимость NXNSAttack затрагивает рекурсивные DNS-серверы и процесс делегирования.
Группа исследователей из Тель-Авивского университета и Междисциплинарного центра в Герцлии (Израиль)в DNS-серверахуязвимость, позволяющую осуществлять DDoS-атаки с фактором усиления 1620x. По словам специалистов, уязвимость, получившая название NXNSAttack, затрагивает рекурсивные DNS-серверы и процесс делегирования.
Рекурсивные DNS-серверы представляют собой системы DNS, передающие DNS-запросы в восходящем направлении, чтобы их можно было разрешить и преобразовать из доменного имени в IP-адрес. Эти операции происходят на авторитетных DNS-серверах, где хранится копия записи DNS. Однако, как часть механизма безопасности протокола DNS, авторитетные DNS-серверы также могут делегировать операцию альтернативным DNS-серверам.
Группе исследователей удалось найти способ использования вышеупомянутого процесса делегирования для осуществления DDoS-атак. У NXNSAttack существует множество вариаций, однако основной принцип атаки заключается в следующем:
Группа исследователей из Тель-Авивского университета и Междисциплинарного центра в Герцлии (Израиль)в DNS-серверахуязвимость, позволяющую осуществлять DDoS-атаки с фактором усиления 1620x. По словам специалистов, уязвимость, получившая название NXNSAttack, затрагивает рекурсивные DNS-серверы и процесс делегирования.
Рекурсивные DNS-серверы представляют собой системы DNS, передающие DNS-запросы в восходящем направлении, чтобы их можно было разрешить и преобразовать из доменного имени в IP-адрес. Эти операции происходят на авторитетных DNS-серверах, где хранится копия записи DNS. Однако, как часть механизма безопасности протокола DNS, авторитетные DNS-серверы также могут делегировать операцию альтернативным DNS-серверам.
Группе исследователей удалось найти способ использования вышеупомянутого процесса делегирования для осуществления DDoS-атак. У NXNSAttack существует множество вариаций, однако основной принцип атаки заключается в следующем:
- Атакующий отправляет DNS-запрос на рекурсивный DNS-сервер. Запрос предназначается для домена вида attacker.com, управляемого с помощью подконтрольного злоумышленнику авторитетного DNS-сервера;
- Поскольку рекурсивный DNS-сервер не авторизован для разрешения этого доменного имени, он делегирует операцию подконтрольному злоумышленнику авторитетному DNS-серверу;
- Вредоносный DNS-сервер отправляет в ответ рекурсивному DNS-серверу сообщение, буквально означающее «я делегирую эту операцию разрешения доменного имени большому списку серверов». Список содержит тысячи поддоменов атакуемого web-сайта;
- Рекурсивный DNS-сервер переадресовывает DNS-запрос всем поддоменам из списка, тем самым вызывая всплеск трафика для авторитетного DNS-сервера жертвы.
