Израильские исследователи безопасности обнаружили уязвимости невозможно исправить в одной из основ мировой системы доменных имен (DNS), которые могут использоваться для запуска потенциально подавляющим атак отказа в обслуживании.

Лиор Шафир и Иегуда Афек, оба из Тель-Авивского университета и Анат Bremler-Барр из Герцлийского Междисциплинарного центра опубликовали результаты своих исследований на DNS vulnerabilty, которую они назвали NXNSAttack после раскрытия его поставщикам, чтобы дать им время на разработку патчей.

В NXNSAttack использует слабость в так называемой делегации бесклеевой в DNS, в котором запросы возвращают имена серверов, которые являются авторитетными для домена, но не их IP-адреса.

Злоумышленник при помощи вредоносных DNS-сервер может реагировать с делегацией, которая содержит поддельные, случайный авторитетного сервера имен.

Эти имена сервера задаются в точке к домену потерпевшего, который заставляет решателя для создания дальнейших запросов, которые направляются в целевой DNS-сервер, который не в состоянии решить их.

Это каким стандартам должен работать DNS-серверов, но последствия NXNSAttack может быть отказ от наводнений обслуживание с очень высоким усилением пакетов фактор до 1621 раз.

Пострадавшего с открытым исходным кодом и проприетарные DNS-серверов, которые в настоящее время являются глобальной интернет-инфраструктуры и необходимости исправления.

Это включает в себя DNS-серверов, таких как интернет, программное обеспечение консорциум привяжем, а также патентованный используемые облачные и провайдеров веб-сервисов, таких как Google, Майкрософт, веб-служб Amazon, и другие, которые уже получили участки.

Однако, патчи не исправят уязвимость, а только обеспечивают защиту от NXNSAttack путем добавления ограничения на количество попыток для разрешения имен службы.

“К сожалению NXNSAttack нарушения основной принцип протокола DNS, который практически означает, что нет никакого ремонта, только смягчению,” Петр Шпачек Чехии доменного имени администратор, который сотрудничал с израильскими исследователями писал.

Шпачек отметил, что, несмотря на способы уменьшения поверхности, такие как ограничение количества имен решен при обработке одной делегации кажутся простыми для реализации, они могут сломать резолюции для некоторых доменов.

Добавление произвольных ограничений на попытки урегулирования может создать проблемы для esitimated четыре процента домены второго уровня, которые имеют проблемы с их делегацией из доменов верхнего уровня (Рдву), таких как .COM и .чистая.

“В ближайшие дни мы увидим, как успешные продавцы при определении своих магических чисел и если они уйдут, не нарушая каких-либо крупных доменах”, – сказал Шпачек.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here