计算机科学家发现了一些 DNS 解析器中的一个缺陷,如果未解决,可能会被滥用以对权威 DNS 服务器发起DDoS攻击。
这个被称为TsuNAME的漏洞有可能损害核心互联网服务,在此过程中至少部分网络难以访问。
研究人员在一篇关于该漏洞的论文(PDF) 中解释说:“当域名被错误配置为循环依赖的DNS记录时,就会发生 TsuNAME ,当易受攻击的解析器访问这些错误配置时,它们就会开始循环并向权威服务器和其他解析器快速发送 DNS 查询” .
四位研究人员——SIDN 实验室的 Giovane Moura、InternetNZ 的 Sebastian Castro 和 John Heidemann,以及 USC/ISI 的 Wes Hardaker——使用真实的生产数据,展示了仅两个错误配置的域如何导致 .nz 的总体流量增加 50%权威服务器。
防御 TsuNAME 需要更改一些递归解析器软件,包括循环检测代码和缓存循环相关记录。
维修周期
该团队开发了CycleHunter,这是一种开源工具,允许权威 DNS 服务器运营商检测循环依赖关系,从而准确了解哪些系统需要安全修复工作以抵御潜在的攻击。
在对七个大型*域 (TLD) 中的 1.84 亿个域名进行分析后,研究人员过去常常使用工具来查找 1,400 个域名使用的 44 条循环依赖 NS 记录(可能来自配置错误)。
该团队正在与解析器开发人员和许多 TLD 运营商合作,以保护 DNS 系统免受潜在攻击。谷歌公共 DNS 和思科 OpenDNS 已经更新。
Infoblox 的首席 DNS 架构师 Cricket Liu 告诉The Daily Swig,虽然“TsuNAME 肯定是认真的”,但社区“之前已经发现并处理过这样的问题。
“DNS 服务器已经有机制来保护自己免受这些配置中的*一些*,例如循环别名,并且添加一种新机制来检测和处理这个可能并不困难,”刘解释说。
他补充说,解决 TSuNAME 的工作已经在进行中。
刘说:“论文说OpenDNS和谷歌公共DNS已经解决了这个问题。此外,需要修补的最重要的 DNS 服务器是互联网的大型开放递归 DNS 服务器(例如 Google Public DNS 和 Cloudflare),因为这些服务器可能会被坏人用来发起 DDoS 攻击,而且数量并不多那些。”