计算机科学家发现了一些 DNS 解析器中的一个缺陷，如果未解决，可能会被滥用以对权威 DNS 服务器发起DDoS攻击。

这个被称为TsuNAME的漏洞有可能损害核心互联网服务，在此过程中至少部分网络难以访问。

研究人员在一篇关于该漏洞的论文(PDF) 中解释说：“当域名被错误配置为循环依赖的DNS记录时，就会发生 TsuNAME ，当易受攻击的解析器访问这些错误配置时，它们就会开始循环并向权威服务器和其他解析器快速发送 DNS 查询” .

四位研究人员——SIDN 实验室的 Giovane Moura、InternetNZ 的 Sebastian Castro 和 John Heidemann，以及 USC/ISI 的 Wes Hardaker——使用真实的生产数据，展示了仅两个错误配置的域如何导致 .nz 的总体流量增加 50%权威服务器。

防御 TsuNAME 需要更改一些递归解析器软件，包括循环检测代码和缓存循环相关记录。

维修周期

该团队开发了CycleHunter，这是一种开源工具，允许权威 DNS 服务器运营商检测循环依赖关系，从而准确了解哪些系统需要安全修复工作以抵御潜在的攻击。

在对七个大型*域 (TLD) 中的 1.84 亿个域名进行分析后，研究人员过去常常使用工具来查找 1,400 个域名使用的 44 条循环依赖 NS 记录（可能来自配置错误）。

该团队正在与解析器开发人员和许多 TLD 运营商合作，以保护 DNS 系统免受潜在攻击。谷歌公共 DNS 和思科 OpenDNS 已经更新。

Infoblox 的首席 DNS 架构师 Cricket Liu 告诉The Daily Swig，虽然“TsuNAME 肯定是认真的”，但社区“之前已经发现并处理过这样的问题。

“DNS 服务器已经有机制来保护自己免受这些配置中的*一些*，例如循环别名，并且添加一种新机制来检测和处理这个可能并不困难，”刘解释说。

他补充说，解决 TSuNAME 的工作已经在进行中。

刘说：“论文说OpenDNS和谷歌公共DNS已经解决了这个问题。此外，需要修补的最重要的 DNS 服务器是互联网的大型开放递归 DNS 服务器（例如 Google Public DNS 和 Cloudflare），因为这些服务器可能会被坏人用来发起 DDoS 攻击，而且数量并不多那些。”