研究人员警告无法修复的DNS DoS NXNS攻击

以色列安全研究人员在全球域名系统(DNS)的一个基本原理中发现了一个无法修复的漏洞，该漏洞可被滥用来发起潜在的压倒性拒绝服务攻击。

特拉维夫大学的Lior Shafir和Herzliya跨学科中心的Anat Bremler-Barr都发表了关于DNS漏洞的发现，他们称之为NXNSAttack，此前他们向供应商披露了这个漏洞，让他们有时间开发补丁。

NXNSAttack利用了DNS中所谓的无缝委派的弱点，在DNS中，查询返回对域具有权威性的服务器的名称，但不返回它们的互联网协议地址。

使用恶意DNS服务器的攻击者可以使用包含假的、随机的权威服务器名称的委派进行响应。

这些服务器名称被设置为指向受害者域，从而强制解析程序生成进一步的查询，这些查询将被发送到无法解析它们的目标DNS服务器。

这是符合标准的DNS服务器的运行方式，但NXNSAttack的后果可能是拒绝服务泛滥，数据包放大倍数高达1621倍。

目前服务于全球互联网基础设施的开源和专有DNS服务器受到影响，需要打补丁。

这包括互联网软件联盟(Internet Software Consortium)的BIND等DNS解析器，也包括谷歌(Google)、微软(Microsoft)、亚马逊网络服务(Amazon Web Services)和Cloudflare等云和网络服务提供商使用的专有DNS解析器，它们现在已经收到了补丁。

但是，补丁程序无法修复该漏洞，仅通过添加对名称服务解析重试次数的限制来缓解NXNSAttack。

不幸的是，NXNSATTACK滥用了DNS协议的最基本原则，这实际上意味着没有修复，只有缓解，与以色列研究人员合作的捷克共和国域名管理员PetrŠpaček写道。

Špaček指出，虽然从表面上看，在处理单个委托时限制解析的名称数量等缓解技术似乎很容易实施，但它们可能会破坏某些域的解析。

对解析重试添加任意限制可能会给估计4%的二级域带来问题，这些二级域的顶级域(TLD)(如.com和.net)的委派存在问题。

Špaček表示：在接下来的几天里，我们将看到供应商在确定他们的魔术数字方面取得了多大的成功，以及他们是否在没有打破任何主要领域的情况下脱颖而出。