DNS協議安全漏洞通告是怎樣的

DNS協議安全漏洞通告是怎樣的，相信很多沒有經驗的人對此束手無策，為此本文總結了問題出現的原因和解決方法，通過這篇文章希望你能解決這個問題。

0x00 漏洞背景

2020年05月28日， 360CERT監測發現 國外研究團隊 發布了 DNS協議中實現的邏輯錯誤導致拒絕服務漏洞的風險通告，漏洞等級：高危。

域名系統（服務）協議（DNS）是一種分布式網絡目錄服務，主要用于域名與 IP 地址的相互轉換，進而簡化記憶IP地址的互聯網連接方式。

DNS協議 存在 實現上的邏輯錯誤，攻擊者 通過 發起指向惡意name-server 的DNS查詢請求，可以造成 遞歸服務器/特定域名服務器拒絕服務影響。

對此，360CERT建議廣大用戶及時安裝最新補丁，做好資產自查以及預防工作，以免遭受黑客攻擊。

0x01 風險等級

360CERT對該漏洞的評定結果如下

0x02 漏洞詳情

以下內容部分引用 NXNSAttack Paper

下面做出如下定義

以 sd1.attacker.com 的 DNS 解析過程為例

在攻擊者觸發向 惡意的 name-server 服務器 進行對應域名解析的時候。

1. 首先會由當前網絡環境中的上層DNS服務器(服務器A)去檢索 attacker.com 的 name-server 服務(服務器B)。

2. 攻擊者控制該 nameserver 服務器(服務器B)返回特制的響應包(該包的主要目的：通知接收服務器做NS轉發查詢)。

1. 響應包中含有復數條記錄。

2. 每天記錄都表述 sd1.attacker.com 需要轉發到 {fake-n}.victim.com 的 dns name-server 服務器(服務器C)去做查詢。

3. 其中不含對應的IP地址。(確保查詢的成立)

3. (服務器A)接收到該特制的響應包后會逐一對響應包中的NS記錄進行 dns 查詢。

4. 導致(服務器A)發送大量的請求包/(服務器C)接收大量的請求包導致拒絕服務。

根據研究報告顯示，NXNSAttack 攻擊比 NXDomain 更加高效,放大倍數達到了遞歸解析器交換的包數的1620倍。

0x03 影響版本

目前已知受到影響的組件和服務有

組件

• UNIX bind 組件

• Windows DNS

服務商

• PowerDNS

• Google

• Microsoft

• Amazon

• Oracle

• Cloudflare

0x04 修復建議

臨時修補建議：

在流量設備側對DNS響應包中對滿足如下條件的包進行攔截

• 含有大量的NS轉發查詢請求

• 復數指向同一服務器的二級/多級子域名請求

不響應非信任服務器的 DNS 查詢結果

• 同傳統的防護策略采用流量黑白名單進行

看完上述內容，你們掌握DNS協議安全漏洞通告是怎樣的的方法了嗎？如果還想學到更多技能或想了解更多相關內容，歡迎關注億速云行業資訊頻道，感謝各位的閱讀！