0x00 漏洞背景

　　2020年05月28日， 360CERT監(jiān)測發(fā)現(xiàn) 國外研究團隊 發(fā)布了 DNS協(xié)議中實現(xiàn)的邏輯錯誤導致拒絕服務漏洞的風險通告，漏洞等級：高危。

　　域名系統(tǒng)(服務)協(xié)議(DNS)是一種分布式網(wǎng)絡目錄服務，主要用于域名與 IP 地址的相互轉(zhuǎn)換，進而簡化記憶IP地址的互聯(lián)網(wǎng)連接方式。

　　DNS協(xié)議 存在 實現(xiàn)上的邏輯錯誤，攻擊者 通過 發(fā)起指向惡意name-server 的DNS查詢請求，可以造成 遞歸服務器/特定域名服務器拒絕服務影響。

　　對此，360CERT建議廣大用戶及時安裝最新補丁，做好資產(chǎn)自查以及預防工作，以免遭受黑客攻擊。

　　0x01 風險等級

　　360CERT對該漏洞的評定結(jié)果如下

　　0x02 漏洞詳情

　　以下內(nèi)容部分引用 NXNSAttack Paper

　　下面做出如下定義

　　以 sd1.attacker.com 的 DNS 解析過程為例

　　在攻擊者觸發(fā)向 惡意的 name-server 服務器 進行對應域名解析的時候。

　　1. 首先會由當前網(wǎng)絡環(huán)境中的上層DNS服務器(服務器A)去檢索 attacker.com 的 name-server 服務(服務器B)。

　　2. 攻擊者控制該 nameserver 服務器(服務器B)返回特制的響應包(該包的主要目的：通知接收服務器做NS轉(zhuǎn)發(fā)查詢)。

　　a. 響應包中含有復數(shù)條記錄。

　　b. 每天記錄都表述 sd1.attacker.com 需要轉(zhuǎn)發(fā)到 {fake-n}.victim.com 的 dns name-server 服務器(服務器C)去做查詢。

　　c. 其中不含對應的IP地址。(確保查詢的成立)

　　3. (服務器A)接收到該特制的響應包后會逐一對響應包中的NS記錄進行 dns 查詢。

　　4. 導致(服務器A)發(fā)送大量的請求包/(服務器C)接收大量的請求包導致拒絕服務。

　　根據(jù)研究報告顯示，NXNSAttack 攻擊比 NXDomain 更加高效,放大倍數(shù)達到了遞歸解析器交換的包數(shù)的1620倍。

　　0x03 影響版本

　　目前已知受到影響的組件和服務有

　　組件

　　UNIX bind 組件

　　Windows DNS

　　服務商

　　PowerDNS

　　Google

　　Microsoft

　　Amazon

　　Oracle

　　Cloudflare

　　0x04 修復建議

　　臨時修補建議：

　　在流量設備側(cè)對DNS響應包中對滿足如下條件的包進行攔截：

　　含有大量的NS轉(zhuǎn)發(fā)查詢請求

　　復數(shù)指向同一服務器的二級/多級子域名請求

　　不響應非信任服務器的 DNS 查詢結(jié)果：

　　同傳統(tǒng)的防護策略采用流量黑白名單進行

　　0x05 時間線

　　2020-05-21 國外研究團隊發(fā)布NXNSAttack研究論文

　　2020-05-28 360CERT發(fā)布預警

　　0x06 參考鏈接

　　NXNSAttack

　　[http://www.nxnsattack.com/]

　　Debian -- Security Information -- DSA-4689-1 bind9

　　[https://www.debian.org/security/2020/dsa-4689]

　　ADV200009 | Windows DNS Server Denial of Service Vulnerability [https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200009]