[ad_1]

عکس نمای نزدیک شدید از یک پنجره مرورگر وب.

در سال 2008 ، محقق دن کامینسکی یکی از جدی ترین تهدیدهای امنیتی اینترنت را کشف کرد: ضعف در سیستم نام دامنه که به هکرها اجازه می داد به طور گسترده کاربران را به جای سایت های واقعی متعلق به Google ، Bank of America ، به سایت های شیادی بفرستند. یا شخص دیگری از طریق هماهنگی در سطح صنعت ، هزاران فروشنده DNS در سراسر جهان تعمیراتی را نصب کرده اند که از این سناریوی روز رستاخیز جلوگیری می کند.

اکنون حمله مسمومیت کش DNS کامینسکی بازگشت. محققان روز چهارشنبه از تکنیک جدیدی رونمایی کردند که می تواند مبدل های DNS را مجبور کند به جای سایتی که به درستی با نام دامنه مطابقت دارد ، آدرس های IP جعلی جعلی را برگردانند.

“این کاملا پیشرفت دارد ، شبیه حمله کامینسکی به برخی تصمیمات ، بسته به نوع آن [they’re] این در واقع کار می کند ، “گفت: نیک سالیوان ، رئیس تحقیق در Cloudflare ، یک شبکه تحویل محتوا است که سرویس DNS 1.1.1.1 را مدیریت می کند. “این یکی از م attacksثرترین حملات مسمومیت کش DNS است که از زمان حمله کامینسکی مشاهده کرده ایم. این چیزی است که اگر مبدل DNS را اجرا می کنید ، باید آن را جدی بگیرید. “

ابتدا DNS

هنگامی که افراد ایمیل ارسال می کنند ، یک وب سایت را مرور می کنند یا هر کار دیگری را در اینترنت انجام می دهند ، دستگاه های آنها به روشی برای ترجمه یک نام دامنه به سرورهای عددی برای آدرس های IP مورد استفاده برای یافتن سایر سرورها نیاز دارند. اولین مکانی که دستگاه به دنبال آن خواهد بود مبدل DNS است که یک سرور یا گروهی از سرورها است که معمولاً به یک ISP ، شرکت یا سازمان بزرگی که کاربر به آن متصل است تعلق دارد.

در صورتی که کاربر یا سازمان ISP دیگری اخیراً با همان دامنه ارتباط برقرار کرده باشد ، اکنون مبدل آدرس IP مربوطه را در حافظه پنهان کرده و نتیجه را برمی گرداند. در غیر این صورت ، مبدل دامنه خاص را از سرور ویژه مرجع درخواست خواهد کرد. سپس سرور معتبر پاسخی را که مبدل به کاربر ارائه می دهد برمی گرداند و به طور موقت برای سایر کاربران که ممکن است در آینده نزدیک به آن نیاز داشته باشند ، ذخیره می شود.

کل فرآیند غیرقابل اعتماد است ، به این معنی که سرور اعتبارنامه از رمز عبور یا اعتبارنامه دیگر برای اثبات معتبر بودن آن استفاده نمی کند. گزارش های DNS نیز با استفاده از بسته های UDP رخ می دهد که فقط در یک جهت ارسال می شوند. نتیجه این است که بسته های تقلبی بسته های UDP معمولاً بی اهمیت هستند ، این بدان معنی است که کسی می تواند باعث شود ترافیک UDP از جایی غیر از جایی که در اصل منشأ گرفته است ، بیاید.

مسمومیت کش DNS: یک خلاصه

هنگامی که معماران اینترنتی برای اولین بار DNS را اختراع می کنند ، می فهمند که ممکن است شخصی از یک سرور معتبر جعل کند و از DNS برای بازگرداندن نتایج مخرب به تصمیم گیرندگان استفاده کند. برای محافظت در برابر این احتمال ، معماران شماره مرجع معامله را طراحی کرده اند. مجوزها این شماره های 16 بیتی را به هر درخواست ارسال شده به یک سرور معتبر پیوست می کنند. حل کننده فقط درصورتی پاسخ را می پذیرد که دارای همان شناسه باشد.

آنچه کامینسکی متوجه شد این بود که فقط 65536 شماره شناسایی معامله وجود دارد. یک مهاجم می تواند از این محدودیت با استفاده از مبدل IP DNS مخرب برای دامنه ای با تغییرات جزئی ، مانند 1.google.com ، 2.google.com و غیره ، و شامل شناسه معامله متفاوت برای هر پاسخ استفاده کند. در نهایت ، مهاجم شماره صحیحی را بازی می کند و IP مخرب توسط همه کاربرانی که به مجوز اعتماد می کنند تأمین می شود. این حمله DNS caching نامیده شد زیرا باعث آلودگی فروشگاه دایرکتوری حل کننده شد.

اکوسیستم DNS با افزایش نمایی میزان آنتروپی مورد نیاز برای دریافت پاسخ ، این مشکل را اصلاح می کند. در حالی که قبل از اینکه جستجوها و پاسخ ها فقط از طریق پورت 53 طی شود ، سیستم جدید به صورت تصادفی سوالات جستجوی شماره پورت را استفاده می کند. برای اینکه مبدل DNS آدرس IP را بپذیرد ، پاسخ باید همان شماره پورت را نیز شامل شود. در ترکیب با یک شماره معامله ، آنتروپی به میلیاردها اندازه گیری می شود و از نظر ریاضی ، فرود آمدن روی ترکیب مناسب را غیرممکن می کند.

مسمومیت ردوکس حافظه نهان

روز چهارشنبه ، محققان دانشگاه Qinghua و دانشگاه کالیفرنیا در Riverside از تکنیکی رونمایی کردند که بار دیگر مسمومیت کش را امکان پذیر می کند. روش آنها از یک کانال جانبی استفاده می کند که شماره پورت مورد استفاده در یک جستجوی جستجو را مشخص می کند. به محض اینکه مهاجمین شماره را بدانند ، دوباره فرصت خوبی برای موفقیت در حدس زدن شناسه معامله را دارند.

کانال جانبی در این مورد محدودیت سرعت ICMP ، کوتاه پروتکل پیام کنترل اینترنت است. برای ذخیره پهنای باند و منابع محاسباتی ، سرورها فقط به تعداد معینی از درخواست های سایر سرورها پاسخ می دهند. سپس سرورها هیچ پاسخی نمی دهند. تا همین اواخر ، لینوکس همیشه این حد را 1000 در ثانیه تعیین می کرد.

برای استفاده از این کانال جانبی ، روش جعل جدید مبدل DNS را با تعداد زیادی پاسخ جعلی سرازیر می کند ، به طوری که به نظر می رسد از سرور نام دامنه ای که می خواهند ارائه دهند ناشی می شود. هر پاسخ از طریق درگاه دیگری ارسال می شود.

هنگامی که یک مهاجم پاسخی را از طریق پورت اشتباه ارسال می کند ، سرور پاسخی را برای غیرقابل دسترسی بودن پورت ارسال می کند که با این کار سرعت جهانی محدودیت را یکی پس از دیگری از بین می برد. وقتی مهاجم درخواستی را از طریق پورت مناسب ارسال می کند ، سرور به هیچ وجه پاسخ نمی دهد و این شمارنده محدودیت سرعت را تغییر نمی دهد. اگر مهاجم در یک ثانیه 1000 دروازه مختلف را با پاسخ جعلی بررسی کند و همه آنها بسته شود ، تمام سرعت مجاز کاملاً خسته خواهد شد. از طرف دیگر ، اگر یکی از 1000 پورت باز باشد ، حد مجاز 999 است.

پس از آن مهاجم می تواند از آدرس IP تقلبی خود برای اندازه گیری محدودیت سرعت باقیمانده استفاده کند. و اگر سرور با یک پیام ICMP پاسخ دهد ، مهاجم می داند که یکی از 1000 پورت که قبلاً کاوش شده باید باز باشد و ممکن است به تعداد دقیق پورت محدود شود.

“از کجا می دانیم؟”

ژیون کیان ، استاد UC Riverside به من گفت: “ما در تلاشیم به طور غیرمستقیم نتیجه بگیریم که مبدل پیام غیرقابل دسترسی ICMP را به سرور مرجع ارسال کرده است.” از کجا می دانیم؟ زیرا مبدل فقط می تواند تعداد ثابتی از اینگونه پیام های ICMP را در هر ثانیه ارسال کند ، این بدان معناست که مهاجم ممکن است سعی کند چنین بسته های ICMP را نیز برای خود درخواست کند. ”

سند محققان ، حمله مسمومیت حافظه پنهان DNS دوباره بارگیری شد: انقلابی با کانالهای جانبی، شرح دقیق تر و فنی بیشتری از حمله را ارائه می دهد. آنها حمله SAD DNS را مخفف کانال جانبی AttackeD DNS می نامند.

محققان یافته های خود را با فروشندگان خصوصی DNS و توسعه دهندگان نرم افزار به اشتراک گذاشتند. در پاسخ ، توسعه دهندگان هسته لینوکس تغییری را ایجاد کرده اند که باعث می شود محدودیت سرعت به طور خودسرانه بین 500 تا 2000 در ثانیه در نوسان باشد. پروفسور کیان گفت که این تعمیر مانع کار تجهیزات جدید می شود. Cloudflare تصحیح خود را ارائه داده است. در برخی موارد ، سرویس DNS آن به TCP برمی گردد که دستکاری در آن بسیار دشوارتر است.

این مطالعه در کنفرانس ACM در مورد امنیت رایانه و ارتباطات در سال 2020 ارائه شد که به دلیل همه گیری COVID-19 امسال از طریق فیلم برگزار می شود. محققان اطلاعات اضافی را در اینجا ارائه می دهند و در اینجا بیانیه مطبوعاتی UC Riverside آورده شده است.

[ad_2]

منبع: tarjome-news.ir