Новый тип атаки DoS-атаки с помощью протокола DNS получил название NXNSAttack.
Коротко: Злоумышленник отправляет запрос в сторону Openresolver сервера, перенаправляя его на свой подконтрольный авторитативный сервер, который отвечает длинным списком NS серверов жертвы (чаще всего спуфленные имена).
Openresolver берет этот список и начинает опрашивать DNS жертвы на предмет информации об эти адресах, что вызывает большое количество NXDomain сообщений, которое приводит к росту нагрузки на сервер.
Фактически атака направлена только на целевые DNS сервера.
В настоящий момент спасение только установить патчи на свои DNS-сервера и настроить лимиты на опрос.
По данным исследований усиление при атаке на сервер BIND (9.12.3) позволяет увеличить атаку в 1000 раз (Packet Amplification Factor, PAF).
Анализ публичных DNS-серверов показал следующие PAF:
CloudFlare (1.1.1.1) в 48 раз,
Google (8.8.8.8) - 30 раз,
FreeDNS (37.235.1.174) - 50 раз,
OpenDNS (208.67.222.222) - 32 раза.
Level3 (209.244.0.3) - 273 раза,
Quad9 (9.9.9.9) - 415 раз
SafeDNS (195.46.39.39) - 274 раза,
Verisign (64.6.64.6) - 202 раза,
Ultra (156.154.71.1) - 405 раз,
Comodo Secure (8.26.56.26) - 435 раз,
DNS.Watch (84.200.69.80) - 486 раз,
Norton ConnectSafe (199.85.126.10) - 569 раз.
Уязвимы:
BIND (CVE-2020-8616),
Knot (CVE-2020-12667),
PowerDNS (CVE-2020-10995),
Windows DNS Server,
Unbound (CVE-2020-12662),
а также публичные DNS-сервисы Google, Cloudflare, Amazon, Quad9, ICANN и других компаний.
Подробнее:
https://www.opennet.ru/opennews/art.shtml?num=52995https://xakep.ru/2020/05/20/nxnsattack/https://en.blog.nic.cz/2020/05/19/nxnsattack-upgrade-resolvers-to-stop-new-kind-of-random-subdomain-attack/#dns #amplification #bind #NXNSAttack #dos #NXDomain