DNS sorgularından ve yanıtlarından yararlanan yeni, pratik ve güçlü bir Hizmet Reddi saldırısı keşfedildi.
Bu yeni saldırıya “DNSBomb” adı verildi ve bu saldırı, DNS tarafından kullanılan, güvenilirlik geliştirme, güvenlik koruması, zaman aşımı, sorgu toplama ve hızlı yanıt geri dönüşü dahil olmak üzere farklı güvenlik mekanizmalarını güçlü saldırı vektörlerine dönüştürüyor.
Buna ek olarak, DNSBomb saldırısı, düşük hızlı DNS sorgularının birikmesi, sorguların büyük boyutlu yanıtlara dönüştürülmesi ve tüm DNS yanıtlarının hedeflenen sunucuya aşırı yük bindirecek şekilde kısa, yüksek hacimli periyodik bir patlamaya dönüştürülmesi gibi diğer mekanizmalardan da yararlanır. sistem.
Ayrıca araştırmacılar, DNSBomb saldırısının gücünü ve pratikliğini potansiyel olarak gösterebilecek 10 ana DNS yazılımını, 46 genel DNS hizmetini ve tüm DNS çözümleyicilerin istismar edildiği 1,8 milyondan fazla açık DNS çözümleyiciyi de değerlendirdi.
Ayrıca DNS veya CDN gibi herhangi bir sistem veya mekanizmanın DoS trafiği oluşturmak için kullanılabileceği sonucuna varıldı.
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service
Teknik Analiz
Cyber Security News ile paylaşılan raporlara göre, bu DNSBomb saldırısı için 11’den fazla CVE atandı.
Ayrıca araştırmacının kullandığı araç, internet çapında IPv4 ve IPv6 ağ araştırma taramasını taramak için tasarlanmış hızlı bir ağ tarayıcısı olan XMap Internet Tarayıcısıydı.
Ayrıca araştırma makalesi, bu DNSBomb saldırısının, ilk kez 2003 yılında Kuzmanovic ve Knightly tarafından önerilen önceki PDoS saldırısından (Titreşimli DoS Saldırısı), diğer adıyla Shrew Attack’tan daha güçlü olduğunu da belirtti.
Ancak hedeflenen sunuculardaki farklı botlardan gelen saldırı trafiğini senkronize etmek zordur, bu da saldırının etkinliğini azaltır.
Tehdit Modeli
DNSBomb saldırısı, hedeflenen sunucuya karşı kısa ve periyodik darbe trafiği oluşturmak için dünya çapında açık DNS çözümleyicileri kullanır.
Bununla birlikte, bir saldırganın IP Spoofing yeteneğine sahip olması gerekir. Temmuz 2023 istatistiklerine göre IPv4’ün %19,7’si ve IPv6’nın %26,7’si IP sahtekarlığı olarak tanımlanıyor.
Saldırgan, herhangi bir Etki Alanı kayıt platformundan bir etki alanı satın alabilir ve kötüye kullanılabilir çözümleyicilere yönelik DNS sorguları başlatmak için kontrollü bir ad sunucusu kurabilir.
Bu DNS sorguları, hedeflenen kurbanların herhangi bir sunucusunu veya IP adresini etkileyebilir.
Aslında tehdit aktörü, sorgunun kaynak adresi olarak herhangi bir UP’nin kimliğine bürünebilir ve yanıtı bu IP’ye yönlendirebilir.
Saldırı İş Akışı
DNSBomb saldırısı iş akışı üç ana yöntem kullanır: DNS sorgularını biriktirmek, DNS sorgularını güçlendirmek ve DNS yanıtlarını yoğunlaştırmak.
DNS sorgularının toplanması, istismar edilebilir çözümleyicide çok düşük bir oranda mümkün olduğunca çok sayıda DNS sorgusu kullanır.
.webp)
Bunu takiben, küçük bir DNS sorgu paketi, çözümleyicinin becerisine göre büyük boyutlu yanıtlar döndüren kontrollü bir etki alanı aracılığıyla daha büyük bir yanıt paketine yükseltilir.
Birkaç sorgu toplanıp bunları daha büyük yanıtlara dönüştürdükten sonra yanıtlar, her sorgu için sahip olunan ad sunucusunun (saldırganın kayıtlı alanı) zaman aşımına yaklaşana kadar tutulur.
Bunun nedeni, hızlı geri dönüş sağlayan ve tüm paketleri mümkün olan en kısa sürede ileten, güvenilirliği artıran DNS mekanizması yanıtıdır.
Bu mekanizma artık etki alanından gelen tüm yanıtları hedeflenen sunucuya yoğunlaştırmak için kullanılıyor ve bu da güçlü, darbeli DoS trafiğiyle sonuçlanıyor.
.webp)
.webp)
Ayrıca bu yeni saldırı tekniği hakkında, saldırı vektörü, iş akışı, önkoşullar, teknikler ve diğer hususlar hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayımlandı.
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers