计算机科学家发现了一些 DNS 解析器中的一个缺陷,如果未解决,可能会被滥用以对权威 DNS 服务器发起DDoS攻击。
这个被称为TsuNAME的漏洞有可能损害核心互联网服务,在此过程中至少部分网络难以访问。
研究人员在一篇关于该漏洞的论文(PDF) 中解释说:“当域名被错误配置为循环依赖的DNS记录时,就会发生 TsuNAME ,当易受攻击的解析器访问这些错误配置时,它们就会开始循环并向权威服务器和其他解析器快速发送 DNS 查询” .
四位研究人员——SIDN 实验室的 Giovane Moura、InternetNZ 的 Sebastian Castro 和 John Heidemann,以及 USC/ISI 的 Wes Hardaker——使用真实的生产数据,展示了仅两个错误配置的域如何导致 .nz 的总体流量增加 50%权威服务器。
防御 TsuNAME 需要更改一些递归解析器软件,包括循环检测代码和缓存循环相关记录。
维修周期
该团队开发了CycleHunter,这是一种开源工具,允许权威 DNS 服务器运营商检测循环依赖关系,从而准确了解哪些系统需要安全修复工作以抵御潜在的攻击。
在对七个大型顶级域 (TLD) 中的 1.84 亿个域名进行分析后,研究人员过去常常使用工具来查找 1,400 个域名使用的 44 条循环依赖 NS 记录(可能来自配置错误)。
该团队正在与解析器开发人员和许多 TLD 运营商合作,以保护 DNS 系统免受潜在攻击。谷歌公共 DNS 和思科 OpenDNS 已经更新。
Infoblox 的首席 DNS 架构师 Cricket Liu 告诉The Daily Swig,虽然“TsuNAME 肯定是认真的”,但社区“之前已经发现并处理过这样的问题。
“DNS 服务器已经有机制来保护自己免受这些配置中的*一些*,例如循环别名,并且添加一种新机制来检测和处理这个可能并不困难,”刘解释说。
他补充说,解决 TSuNAME 的工作已经在进行中。
刘说:“论文说OpenDNS和谷歌公共DNS已经解决了这个问题。此外,需要修补的最重要的 DNS 服务器是互联网的大型开放递归 DNS 服务器(例如 Google Public DNS 和 Cloudflare),因为这些服务器可能会被坏人用来发起 DDoS 攻击,而且数量并不多那些。”