GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

TsuNAM缝隙：可DDoS DNS服务器

颁布功夫 2021-05-08

0x00 缝隙概述

CVE ID		时间	2021-05-08
类型	DDoS	等级	高危
远程利用	是	影响领域
PoC/EXP	未公开	在野利用	否

0x01 缝隙详情

2021年05月06日，SIDN Labs（.nl注册）、InternetNZ（.nz注册）和南加州大学信息科学钻研所的钻研人员公开披露了在DNS解析器中发现的一个可导致散布式回绝服务（DDoS）攻击的缝隙，该缝隙被称为TsuNAME。

现今互联网上大无数使用的DNS服务器都是递归服务器，它们接受用户的DNS查问并将其转发到权威DNS服务器，这种工作方式就像电话簿一样，能够返回特定域名的DNS响应。

在正常情况下，数以百万计的递归DNS服务器每天会向权威性DNS服务器发送数十亿次DNS查问。这些权威性DNS服务器通常由大型公司和组织托管和治理（内容交付网络、大型科技巨头、互联网服务提供商、域名注册商或当局组织），好比Google和Cisco。

钻研人员暗示，攻击者能够造作恶意的DNS查问，利用递归DNS软件的缝隙，向其权威DNS服务器一向地发送恶意DNS查问，但这种攻击依赖于受影响的递归DNS软件和权威DNS服务器上的谬误配置。若是攻击中注册了足够多的递归DNS服务器，则攻击者能够提议重大的DDoS攻击，从而粉碎关键的Internet节点。

钻研人员还发现，某些DNS解析器在遇到被谬误配置为循环依赖NS纪录的域名时起头循环，而这种循环能够用来攻击权威服务器。

钻研人员在汇报中描述了2020年在.nz authroritative服务器上观察到的一个与tsuNAME有关的事务，其时有两个域名被谬误地配置为循环依赖关系，它导致总流量增长了50%。在汇报中，钻研人怨毓示了一个基于欧盟的国度代码顶级域名若何因循环依赖的谬误配置而导致流量增长了10倍。

钻研人员还颁布了一种称为CycleHunter的工具，权威DNS服务器的运营商能够使用该工具在其DNS区域文件中查找并解除循环依赖性。解除这些循环依赖性可在未利用补丁的情况下预防攻击者利用tsuNAME进行DDoS攻击。

此表，钻研人员使用CycleHunter在七个顶级域（TLD）中评估了约1.84亿个域名，并发现了约1400个域名使用的44个循环依赖的NS纪录（可能是配置谬误），这些纪录可能会被滥用于之后的攻击。

影响领域

Google Public DNS（GDNS）

Cisco OpenDNS

其它DNS解析器

（注：Unbound、BIND和KnotDNS不受tsuNAME影响）

0x02 措置建议

目前Google和Cisco已经建复了此缝隙，建议有关DNS运营商尽快使用CycleHunter工具检测并解除DNS区域中的循环依赖关系或实时建复该缝隙。

下载链接：

https://github.com/SIDN/CycleHunter

0x03 参考链接

https://therecord.media/new-tsuname-bug-can-be-used-to-ddos-key-dns-servers/?

https://tsuname.io/

https://tsuname.io/tech_report.pdf

https://tsuname.io/advisory.pdf

0x04 功夫线

2021-05-06 钻研人员公开披露缝隙

2021-05-08 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】