鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

TsuNAM误差：可DDoS DNS效劳器

宣布时间 2021-05-08

0x00 误差概述

CVE ID		时间	2021-05-08
类型	DDoS	等级	高危
远程使用	是	影响规模
PoC/EXP	未果真	在野使用	否

0x01 误差详情

2021年05月06日，，，SIDN Labs（.nl注册）、InternetNZ（.nz注册）和南加州大学信息科学研究所的研究职员果真披露了在DNS剖析器中发明的一个可导致漫衍式拒绝效劳（DDoS）攻击的误差，，，该误差被称为TsuNAME。。。。

现今互联网上大大都使用的DNS效劳器都是递归效劳器，，，它们接受用户的DNS盘问并将其转发到权威DNS效劳器，，，这种事情方法就像电话簿一样，，，可以返回特定域名的DNS响应。。。。

在正常情形下，，，数以百万计的递归DNS效劳器天天会向权威性DNS效劳器发送数十亿次DNS盘问。。。。这些权威性DNS效劳器通常由大型公司和组织托管和治理（内容交付网络、大型科技巨头、互联网效劳提供商、域名注册商或政府组织），，，好比Google和Cisco。。。。

研究职员体现，，，攻击者可以制作恶意的DNS盘问，，，使用递归DNS软件的误差，，，向其权威DNS效劳器一直地发送恶意DNS盘问，，，但这种攻击依赖于受影响的递归DNS软件和权威DNS效劳器上的过失设置。。。。若是攻击中注册了足够多的递归DNS效劳器，，，则攻击者可以提倡重大的DDoS攻击，，，从而摧毁要害的Internet节点。。。。

研究职员还发明，，，某些DNS剖析器在遇到被过失设置为循环依赖NS纪录的域名时最先循环，，，而这种循环可以用来攻击权威效劳器。。。。

研究职员在报告中形貌了2020年在.nz authroritative效劳器上视察到的一个与tsuNAME相关的事务，，，其时有两个域名被过失地设置为循环依赖关系，，，它导致总流量增添了50%。。。。在报告中，，，研究职员展示了一个基于欧盟的国家代码顶级域名怎样因循环依赖的过失设置而导致流量增添了10倍。。。。

研究职员还宣布了一种称为CycleHunter的工具，，，权威DNS效劳器的运营商可以使用该工具在其DNS区域文件中查找并消除循环依赖性。。。。消除这些循环依赖性可在未应用补丁的情形下避免攻击者使用tsuNAME举行DDoS攻击。。。。

别的，，，研究职员使用CycleHunter在七个顶级域（TLD）中评估了约1.84亿个域名，，，并发明了约1400个域名使用的44个循环依赖的NS纪录（可能是设置过失），，，这些纪录可能会被滥用于之后的攻击。。。。

影响规模

Google Public DNS（GDNS）

Cisco OpenDNS

其它DNS剖析器

（注：Unbound、BIND和KnotDNS不受tsuNAME影响）

0x02 处置惩罚建议

现在Google和Cisco已经修复了此误差，，，建议相关DNS运营商尽快使用CycleHunter工具检测并消除DNS区域中的循环依赖关系或实时修复该误差。。。。

下载链接：

https://github.com/SIDN/CycleHunter

0x03 参考链接

https://therecord.media/new-tsuname-bug-can-be-used-to-ddos-key-dns-servers/?

https://tsuname.io/

https://tsuname.io/tech_report.pdf

https://tsuname.io/advisory.pdf

0x04 时间线

2021-05-06 研究职员果真披露误差

2021-05-08 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】