来自加利福尼亚大学和清华大学的一群学者发现了一系列严重的安全漏洞,这些漏洞可能导致DNS缓存中毒攻击的复兴。
这种技术被称为“ SAD DNS攻击”(Side-channel AttackeD DNS的缩写),该技术使恶意攻击者可以进行路径外攻击,将最初发往特定域的所有流量重新路由到其控制下的服务器,从而允许他们窃听和篡改通信。
研究人员说:“这是一个重要的里程碑,这是第一个可武器化的网络侧通道攻击,具有严重的安全影响。” “该攻击使偏路攻击者可以将恶意DNS记录注入DNS缓存中。”
该发现被追踪为CVE-2020-25705,在本周举行的ACM计算机和通信安全会议(CCS '20)上进行了介绍。
该漏洞影响操作系统Linux 3.18-5.10,Windows Server 2019(版本1809)和更高版本,macOS 10.15和更高版本以及FreeBSD 12.1.0和更高版本。
DNS解析器通常将对IP地址查询的响应缓存特定时间段,以提高网络中响应性能。但是可以利用这种机制来毒化缓存,方法是为给定网站模拟IP地址DNS条目,并将尝试访问该网站的用户重定向到攻击者选择的其他站点。
但是,这种攻击的有效性受到了部分打击,因为诸如DNSSEC(域名系统安全扩展)之类的协议通过在现有DNS记录中添加加密签名和允许DNS的基于随机化的防御来创建安全的域名系统解析程序为每个查询使用不同的源端口和事务ID(TxID)。
研究人员指出,由于“激励和兼容性”原因,这两种缓解措施仍未广泛部署,研究人员说,他们设计了一种可以成功针对最受欢迎的DNS软件堆栈使用的旁道攻击,从而使公共DNS解析器成为可能。例如Cloudflare的1.1.1.1和Google的8.8.8.8。
SAD DNS攻击的工作原理是,在任何能够触发DNS转发器或解析器发出请求的网络中使用受感染的计算机,例如由咖啡店,购物中心或商店中的无线路由器管理的公共无线网络、一个机场。
然后,它利用网络协议堆栈中的一条边信道来扫描并发现哪些源端口用于发起DNS查询,并随后通过强行强制TxID注入大量的欺骗性DNS答复。
更具体地说,研究人员使用域名请求中使用的通道,通过将受欺骗的UDP数据包(每个具有不同的IP地址)发送到受害服务器,从而缩小了确切的源端口号,并推断出受欺骗的探测器是否已命中了正确的源端口。基于收到的ICMP响应(或缺少响应)。
此端口扫描方法可实现每秒1,000个端口的扫描速度,累计花费大约60秒多一点的时间即可枚举包含65536个端口的整个端口范围。这样,源端口就被随机化了,攻击者所要做的就是插入一个恶意IP地址来重定向网站流量,并成功发起DNS缓存中毒攻击。
该研究发现,除了演示扩展攻击窗口的方法以允许攻击者扫描更多端口并注入额外的恶意记录以破坏DNS缓存外,该研究还发现Internet上超过34%的开放式解析器容易受到攻击,其中85%由热门的DNS服务(例如Google和Cloudflare)组成。
为了应对SAD DNS,研究人员建议禁用传出的ICMP响应,并更积极地设置DNS查询的超时。
研究人员还提供了一种工具来检查容易受到此攻击的DNS服务器。此外,该小组与Linux内核安全团队合作开发了一个补丁程序,该补丁程序使ICMP全局速率限制随机化,从而将噪声引入旁通道。
研究人员得出结论:“这项研究提出了一种基于全球ICMP速率限制的新颖而通用的旁通道,该速率限制已被所有现代操作系统普遍采用。” “这可以有效扫描DNS查询中的UDP源端口。结合扩展攻击窗口的技术,可以有效地复兴DNS缓存中毒攻击。”
