NXNSAttack：严重的DNS漏洞可能导致DDoS攻击

又一天，又发现了漏洞。刚刚发现了一种利用DNS递归解析器操作方式的新恶意攻击。

具体地说，当收到包含名称服务器但没有对应IP地址的NS引用响应时，该攻击会利用解析程序的工作方式。用外行的话说，这种被称为NXNSAttack的新攻击会影响递归DNS服务器和DNS委派过程。

首先，什么是递归DNS服务器？它是将DNS查询向上游传递的DNS系统，目的是将它们从域名解析并转换为IP地址。转换发生在权威DNS服务器上，该服务器包含DNS记录的副本并有权解析它。然而，在DNS协议内存在允许权威DNS服务器将该操作委托给替代DNS服务器的安全机制。

这就是新的NXNSAttack应运而生的地方。根据特拉维夫大学和以色列赫兹利亚跨学科中心的研究人员的说法，有一种方法可以滥用授权过程并将其部署在DDoS攻击中。在这一发现之后，研究人员进行了“负责任的协调披露程序”，并发布了详细的报告。由于这一披露，许多DNS软件供应商和服务提供商已经采取措施来防范NXNSAttack的破坏性措施。

NXNSAttack是一个新漏洞，它利用DNS递归解析器在接收包含名称服务器但不包含其相应IP地址(即丢失胶水记录)的NS引用响应时的操作方式。在典型解析过程中交换的DNS消息数量实际上可能比理论上预期的要高得多，这主要是因为对名称服务器的IP地址进行了主动解析。这种低效成为一个瓶颈，并可能被用来对递归解析器和权威服务器中的一个或两个发起毁灭性攻击。

值得注意的是，由于两个原因，NXNSAttack似乎比NXDomain攻击更有效。首先，该攻击在递归解析器交换的数据包数量上达到1620倍以上的放大倍数。其次，除了负缓存之外，该攻击还会使“NS”解析器缓存饱和。

几个月来，研究人员一直在不知疲倦地与几家DNS软件供应商、内容交付网络和托管DNS提供商合作，以便在全球范围内对DNS服务器应用缓解措施。

这些漏洞位于ISC BIND(称为CVE-2020-8616)、NLnet实验室未绑定(称为CVE-2020-12662)、PowerDNS(称为CVE-2020-10995)和CZ.NIC节点解析器(CVE-2020-12667)中。但是，Cloudflare、谷歌、亚马逊、甲骨文(DYN)、微软、IBM Quad9、ICANN和Verisign的商业DNS服务也受到影响。

好消息是已经提供了解决这些问题的补丁。通过应用它们，服务器管理员将防止攻击者利用DNS委派进程淹没其他DNS服务器。

2015年，互联网DNS根服务器上罕见的DDoS被注册。这些攻击导致每个DNS根名称服务器每秒约500万次查询。DDoS背后的威胁因素是未知的，因为IP源地址很容易被欺骗。此外，攻击中应用的源IP地址以巧妙和任意的方式散布到整个IPv4地址空间。