Radware:DNS解析器曝出 *** 安全问题NXNSAttack

访客4年前黑客工具324

介绍

2020年5月19日,特拉维夫高校和非洲交叉学科管理中心的专家学者们发觉,DNS递归解析器在执行全过程中存有系统漏洞,能够被用以进行对于随意受害人的毁灭性DDoS攻击。科学研究工作人员将利用此系统漏洞的攻击称之为NXNSAttack,并在科学研究毕业论文中开展了详细描述。

有别于立即以服务器或服务项目为总体目标并对其导致危害的DDoS水灾攻击或 *** 层DDoS攻击,NXNSAttack的攻击总体目标是受害人的解析域名工作能力。与NXDOMAIN或DNS水刑攻击一样,这类DDoS攻击的总体目标是根据递归DNS解析器,利用选用了任意网站域名要求水灾的失效要求轻载权威性域名服务器,进而毁坏这种权威性域名服务器。因为要求来源于合理合法的递归DNS *** 服务器,因而在权威性 *** 服务器上难以检验并减轻这一攻击。根据毁坏解析域名,攻击者能够合理阻拦对于此事网站域名下全部服务项目的浏览。遭受攻击后,新的手机客户端无法找到联接到服务项目的IP地址,因而没法分析服务项目的IP地址。

与数据文件放大系数仅为3倍的NXDOMAIN攻击不一样,NXNSAttack出示的数据文件放大系数从攻击子域名(victim.com)时的74倍到对于递归解析器的1621倍不一。 *** 带宽放大系数则在攻击子域名的21倍和对于递归解析器的163倍中间。对于根域名服务器和一级域名服务器的数据文件放大系数为1071倍, *** 带宽放大系数为99倍。NXNSAttack具备较高的放大率和灵便的內容配对作用,是一种能够用以进行规模性攻击的攻击矢量素材。

接着,科学研究工作人员公布了这一系统漏洞,并触碰了早已修补了手机软件和服务项目的经销商。系统漏洞公布时,下列这种DNS *** 服务器现有能用补丁下载:ISC BIND (CVE-2020-8616)、NLnet labs Unbound (CVE-2020-12662)、PowerDNS (CVE-2020-10995)和CZ.NIC Knot Resolver (CVE-2020-12667)。除此之外,下列这种对外开放DNS递归解析器服务提供商已升级了服务项目,以减轻利用此系统漏洞的DDoS攻击:Cloudflare、Google、Amazon、Microsoft、Oracle (DYN)、Verisign、IBM Quad9及其ICANN。第三方软件和服务供应商也随着开展了修补。殊不知,还可以作出那样的假定,并不是全部的独享和公有制递归解析器都早已获得了修补或将要被修补。

遭到到攻击或系统漏洞乱用不但仅限于公有制递归解析器,也会危害到坐落于ISP、云间或企业内部的独享递归解析器。以往,故意攻击者能够利用不一样的智能机器人程序流程进行任意网站域名水灾攻击,如今还可以利用同样的智能机器人程序流程进行毁坏解析器使用者以外的随意受害人的NXNSAttack。Mirai等出示了“拆箱即用”任意域水灾适用的拒绝服务攻击源码能够轻轻松松得到,这就提升了实行这种毁灭性DDoS攻击的概率。

受害人沒有掌握立即解决她们所遭遇的风险性。一切权威性DNS基础架构部件都能够为其操纵以外的递归DNS解析器所毁坏,包含二级域名(victim.com)、一级域名(.com, .info, …)和根域名服务器(‘.’)。受害人只有任凭DNS服务供应商摆弄。

递归DNS服务提供商能够根据运用DNS手机软件经销商出示的修补程序流程或布署科学研究工作人员在毕业论文中明确提出的Max1Fetch解决 *** ,来维护本身基础架构,并维护互联网技术免受攻击。或是,递归DNS服务提供商能够根据积极主动选用经DNSSEC认证的缓存文件(RFC8198)或利用Radware DefensePro来开展DDoS安全防护,维护本身基础架构免受任意网站域名水灾的侵犯。

HTTPS上的DNS (DOH)或TLS上的DNS (DOT)不可以出示对于NXNSAttack的防护措施。DOH和DOT协议书的目地是出示手机客户端解析域名的隐私保护性,而不可以维护DNS基础架构的受权端。最槽糕的状况便是,DOH和DOT被作为避开技术性,掩藏来源于上下游互联网感应器的任意网站域名水灾和TLS数据加密数据流分析内的防护措施,从而没法检验并减轻故意DNS攻击。

提升域名和空间的存活時间(TTL)值将提升网站域名下服务项目抵御权威性域名服务器终断的工作能力,成本则是放弃网站域名的协调能力。除此之外,这只有为在掩藏在解析器以后的且在更早的情况下就早已缓存文件了分析的手机客户端出示解决 *** ,不可以在遭到攻击时出示详细或不确定性的解决 *** 。

雄才大略且无所不在的攻击者能够建立对于一切子域名(victim.com)的攻击基础架构,从而危害同样域名服务器或服务供应商出示的别的子域名。如果有充足資源,攻击还能够对于‘.com’、‘.info’、‘.us’、‘.ca’、‘.de’等一级域名,乃至能够试着终断互联网技术的根域名服务器。

大量详尽內容,请浏览:

零信任: *** 信息安全防御力构思的完全转型

Mount Locker勒索病毒方案对于税务部门总体目标进行攻击

应用 TinyCheck 专用工具得到大量的隐私保护操纵

亚信安全:2020年勒索软件导致的财产损失升高50%

春节假期,这种 *** 信息安全预防 *** 铭记心头!

相关文章

关于黑客思维托管中心是干嘛的的信息

关于黑客思维托管中心是干嘛的的信息

本文导读目录: 1、高科技:请问用电脑远程控制人的思想的原理及相关知识 2、黑客是什么,能做什么 3、什么叫服务器托管?服务器是什么? 4、网站托管是什么意思 5、我在网上找人做网站,...

欧洲多地宣布取消今年圣诞市场-欧洲取消圣诞市

距离2020年的圣诞节只有一个多月的时间了,很多国内的小伙伴早早开始期待圣诞节的到来,但是国外多地却因为疫情而放弃了今年的圣诞节,比如欧洲多地宣布取消今年圣诞市场,圣诞市场的取消也意味着将会失去一大批...

找黑客修改大学成绩被-黑客专用术语(入侵成功的黑客术语)

找黑客修改大学成绩被-黑客专用术语(入侵成功的黑客术语)

找黑客修改大学成绩被相关问题 全世界最厉害的黑客排行榜相关问题 一名黑客需要学什么 我的当前ip地址查询(我的ip地址查询位置)...

运费险怎么增加赔付?增加赔付的方法(百分比

运费险怎么增加赔付?增加赔付的方法(百分比

手机淘宝-我的淘宝-找到我的订单 1、有买退货运费险的订单 2、打开详情,点运费险已出单,点击增加赔款 3、支付宝新增 优先审核特权/增加赔款特权/失效激活特权(需要通过每周线下支付获得...

头疼是什么原因引起的?有这5种头痛情况,最好就医检查

头疼是什么原因引起的?有这5种头痛情况,最好就医检查

头痛、呕吐在大多数人看来可能是感冒或者肠胃不好的一种表现,吃点感冒药或者休息一晚就好了。不过,对于某些特殊情况来说,这种放任其自己痊愈的做法一定是不管用的。 例如最近这个新闻中的案例,据报道内容显示...

黑客联系方式查找哪里找-goodwell黑客QQ(goodwell是什么意

 1、感染任何一个病毒都需要有寄主,把病毒代码加入寄主程序中(伴侣病毒除外)    以下说明如何将病毒代码嵌入PE文件中,有关PE文件的结构请看以前的文章。 PE文件的典型结构:MZ Header D...