在发现DNS服务器缓存中毒并大体已解决12年之后,加利福尼亚大学,河滨分校和北京清华大学的安全研究人员表明,许多DNS解析器仍然可以中毒。
这项新技术,代号为“ SAD DNS ”(‘Side-channel AttackeD DNS’),并在本月初举行的计算机与通信安全的ACM会议上提出,使用侧通道来克服那些对经典域名合作共同防御缓存中毒攻击。
DNS缓存中毒,攻击者拦截DNS解析器或转发器的查询,并在解析器的缓存中注入目标域的恶意IP地址。随后向DNS解析器查询受污染域的用户将被重定向到攻击者的服务器。
在2008年首次发现时,DNS缓存中毒是有可能的,因为解析器和上游服务器之间的DNS请求是在固定端口上完成的,并使用16位事务ID。这使攻击者可以轻松地发起查询并在所有可能的渠道上强行执行响应。
但是,将事务ID升级到32位并随机化端口实际上使暴力破解DNS缓存中毒几乎是不可能的。
SAD DNS使用Internet控制消息协议(ICMP)作为目标DNS解析器和转发器的辅助渠道。
ICMP并不直接参与DNS解析,但是研究人员能够使用ICMP错误消息来找出占用了哪些端口,并对用于DNS解析的端口进行随机化处理。
该缺陷会影响所有主要操作系统,包括Linux,Windows,macOS和FreeBSD。
SAD DNS适用于本地解析器,例如大学,机场和购物中心的路由器。但是研究人员还发现,诸如Cloudflare的1.1.1.1和Google的8.8.8.8之类的公共解析器容易受到攻击。
研究人员写道:“根据我们的测量,我们发现互联网上超过34%的开放解析器人群易受攻击(特别是85%的流行DNS服务,包括Google的8.8.8.8),”所提出的攻击针对各种服务器配置和网络条件均具有积极结果。
该论文的主要作者Keyu Man告诉The Daily Swig: “这种攻击将使互联网的基础架构再次受到攻击,因为每个应用程序都将使用DNS来获取IP地址。
“在旧协议上添加和强制执行安全功能仍然是当今互联网上不容忽视的任务。”
他们的发现的影响是如此严重,以至于研究人员在发布SAD DNS后不久就不得不提取该代码。
“我们从GitHub删除了代码,以保护那些易受攻击的服务器,并为其提供时间修复漏洞。可以的话,我们会将代码放在GitHub上。” Man说。
Cloudflare的研究主管Nick Sullivan在讨论SAD DNS的博客文章中写道:“我们对1.1.1.1实施了另一种缓解措施,以防止消息ID猜测–如果解析器检测到ID枚举尝试,它将停止。接受更多猜测并切换到TCP。
“这将减少攻击者的尝试次数,即使它正确地猜测了IP地址和端口,这与限制密码登录尝试次数的方式类似。”
