郭盛华：DNS新漏洞可使黑客可以发起大规模DDoS攻击

近日，知名网络黑客安全专家、东方联盟创始人郭盛华微博披露了有关影响DNS协议的新缺陷的详细信息，该缺陷可被利用来发起放大的大规模分布式拒绝服务（DDoS）攻击，以击倒目标网站。该漏洞称为NXNSAttack，其缺陷在于DNS委派机制，该机制迫使DNS解析器向攻击者选择的权威服务器生成更多DNS查询，从而可能导致僵尸网络规模的在线服务中断。

郭盛华表示：“我们发现，在一个典型的解决过程中交换的DNS信息的数量可能在实践中比预计的理论，主要是由于名称服务器的IP地址的主动分辨率更高。我们展示了这种低效率如何成为瓶颈，并可能被用来对递归解析器和权威服务器之一或两者发起毁灭性攻击。”

DNS基础结构以前一直是通过臭名昭著的Mirai僵尸网络（包括2016年针对Dyn DNS服务的那些）进行的DDoS攻击的热潮，这破坏了一些世界上最大的站点，包括Twitter，Netflix，Amazon和Spotify。

NXNSAttack方法

一个递归DNS查找发生在一个层次序列与多个权威DNS服务器DNS服务器进行通信，以定位与域关联的IP地址，并将其返回给客户端。

该解决方案通常从由您的ISP或Cloudflare（1.1.1.1）或Google（8.8.8.8）之类的公共DNS服务器控制的DNS解析器开始，无论您使用系统中的哪种配置。

如果解析器无法找到给定域名的IP地址，则它将请求传递给权威DNS名称服务器。

但是，如果第一个权威DNS名称服务器也不保存所需的记录，则它将带有地址的委托消息返回到下一个DNS解析器可以查询的权威服务器。

换句话说，权威服务器告诉递归解析器：“我不知道答案，去查询这些以及这些名称服务器，例如ns1，ns2等”。

这个分层过程一直进行到DNS解析器到达提供域IP地址的正确的权威服务器为止，从而允许用户访问所需的网站。

东方联盟安全研究人员发现，可以利用这些不希望的大开销来诱使递归解析器强制将大量数据包连续不断地发送到目标域，而不是合法的权威服务器。为了通过递归解析器发起攻击，黑客必须拥有一台权威服务器。

研究人员说：“这可以通过购买域名来轻松实现。作为权威服务器的对手可以制作任何NS推荐响应，作为对不同DNS查询的答案。”

NXNSAttack通过向易受攻击的DNS解析服务器发送攻击者控制的域请求来工作，该请求会将DNS查询转发到攻击者控制的权威服务器。

攻击者控制的权威服务器没有将地址返回到实际的权威服务器，而是用指向受害者DNS域的受威胁者控制的伪造服务器名称或子域的列表来响应DNS查询。

然后，DNS服务器将查询转发到所有不存在的子域，从而导致到受害站点的流量激增。

研究人员说，这种攻击可以将递归解析器交换的数据包数量放大多达1,620倍，从而不仅使DNS解析器无法处理更多请求，而且使多余的请求淹没目标域。然后把它拿下来使用dns服务器的ddos攻击，而且，使用Mirai等僵尸网络作为DNS客户端可以进一步扩大攻击范围。

研究人员说：“在实践中，由攻击者控制和获取大量客户和大量权威NS既容易又便宜。”

研究人员总结说：“我们的最初目标是研究递归解析器的效率及其在不同攻击下的行为，最终找到了一个新的，看上去很认真的漏洞NXNSAttack。新攻击的关键要素是（i）轻松拥有或控制权威名称服务器，以及（ii）名称服务器使用不存在的域名，以及（iii）放置在DNS中的额外冗余实现容错和快速响应时间的结构，解决方法：强烈建议运行自己的DNS服务器的网络管理员将其DNS解析器软件更新为最新版本。（欢迎转载分享）