BIND 9’daki Hız Sınırları ve DNSBomb Güvenlik Açığı

BIND 9, DNSBomb’dan Etkilenmiyor

DNSBomb ( CVE-2024-33655 ) adı verilen bir DNS güvenlik açığı raporunu araştırıyor ve test ediyoruz . Kapsamlı testlerden sonra bu tekniğin BIND 9 operatörleri için önemli bir tehdit oluşturmadığı sonucuna vardık. Testlerimiz önerilen yapılandırmalarla şunu gösterdi:

  • İstemci(ler) için paket yükseltme faktörü 1x’tir (yani yok).
  • Bu saldırının yeni kısmı (sorguları zamana yaymak ve ardından çözümleyiciyi kısa bir zaman aralığı içinde yanıt vermesi için kandırmak), mevcut sınırlamalar tarafından zaten yeterince hafifletilmiştir.

DNSBomba Saldırısı

DNSBomb saldırısı , Tsinghua Üniversitesi NISL Laboratuvarı’ndan Xiang Li tarafından tanımlandı ve değerlendirme için birden fazla DNS yazılım geliştirme ekibine sorumlu bir şekilde bildirildi. Bu, kötü niyetli olarak tasarlanmış bir otorite ve savunmasız bir özyinelemeli çözümleyici kullanarak zamanlanmış yanıt akınları oluşturmak için sorgu hızı sınırları, sorgu zaman aşımları ve maksimum yanıt boyutu ayarları gibi özelliklerden yararlanan darbeli bir hizmet reddi saldırısıdır (PDOS). Saldırıları ayrıca, büyük tepkiler vermek için otorite üzerinde özel olarak hazırlanmış bölgeleri kullanarak tepki güçlendirmeyi de içeriyor.

DNSBomb saldırısını oluşturmak için üç kritik adım vardır:

  1. DNS sorgularını biriktirme (yanıtları yapay olarak geciktirmek için zaman aşımı penceresini uzatarak)
  2. Yanıtların güçlendirilmesi (yetkili sunucuda ve büyük yanıtlar döndürmek için özel olarak hazırlanmış etki alanlarında sorgu toplamanın kullanılması)
  3. Büyük gruplar halinde hedef çözümleyiciye yanıtların toplanması ve “darbeli” olarak gönderilmesi

BIND 9’da Sınırların Test Edilmesi

Bu saldırının bazı varyantlarını BIND 9’a karşı test ettikten sonra, DNSBomb’un BIND 9 çözümleyicileri üzerindeki etkisini sınırlamanın veya azaltmanın birçok yolunu bulduk. Bunların çoğu varsayılan olarak yapılandırılmıştır ancak bu saldırının etkinliğini daha da azaltmak için yapılandırılabilecek hız sınırları da vardır.

Bu sınırlamalar DNSBomb saldırısına karşı etkilidir:

  • clients-per-querymax-clients-per-queryvarsayılan olarak sırasıyla 10 ve 100’e ayarlanmıştır. Herhangi bir sorgu için bekleyen istemcilerin (isteklerin) toplam sayısını sınırlarlar. En kötü durumda, 100 bekleyen istek olabilir.
  • recursive-clientsvarsayılan olarak 1000 olarak yapılandırılmıştır. Bu, bekleyen isteklerin toplam sayısını sınırlar. Bu sınırın %90’ına (yani varsayılan olarak 900 istek) ulaşıldığında, en eski istekler bırakılır ve artık bu saldırının etkinliğine katkıda bulunamaz.
  • responses-per-secondbu saldırıyı daha da azaltmak için yapılandırılabilen bir hız sınırıdır. Ağ segmenti başına belirli bir sorgu için UDP yanıtlarının sayısını sınırlar.

Amplifikasyon Faktörü Hakkında Notlar

Amplifikasyon saldırıları DNS’de yaygın bir sorundur. DNS yanıtları genellikle karşılık gelen sorgulardan çok daha büyüktür; dolayısıyla normal sorgu/yanıt kalıpları ile kötü niyetli olanlar arasındaki temel fark, yükseltme faktörüdür. Normal çalışma altında sorgu hacminde geniş değişiklikler görülebilir, bu nedenle bir amplifikatörün gerçekten güçlü bir saldırı vektörü olup olmadığını değerlendirirken en az iki büyüklük düzeyindeki amplifikasyon faktörlerini ararız.

DNSBomb saldırısı altında varsayılan yapılandırmaya sahip bir çözümleyici için en kötü durum senaryosu aşağıda verilmiştir:

  • Saldırgan (kurbanın adresini taklit ederek) zaman içinde (10 saniyeye kadar) 1000 paket gönderirken, yetkili sunucu (saldırganın kontrolü altında) bu süre boyunca yanıtı saklar.
  • Saldırganın yetkili sunucusu yanıt verdiğinde çözümleyici, saldırganın etki alanıyla ilgili tüm bekleyen sorguları yanıtlar.
  • Yanıtın UDP üzerinden iletilecek maksimum paket boyutunu kullanacak şekilde hazırlandığını varsayarsak, her yanıt 1232 bayt uzunluğunda olabilir. Bekleyen 1000 sorgu için çok kısa bir sürede gönderilen toplam veri miktarı 12 MB’a kadar çıkabilmektedir.

Makale bunun önemli bir bant genişliği yükseltme faktörü anlamına geldiğini savunuyor. İdeal koşullar altında bu doğru olsa da, bu saldırı ölçeklenmiyor. Özyinelemeli istemci sınırı nedeniyle (varsayılan olarak 1000’dir), herhangi bir yeni istek, en eski olanların düşürülmesine neden olacak ve artık bant genişliği yükseltme faktörüne katkıda bulunmayacaktır.

Başka bir deyişle, saldırgan bunun yerine 10 bin veya 100 bin paket gönderseydi kurban tarafındaki kısa veri patlaması yine de yalnızca 12 MB veri olurdu.

Gerçek dünya koşullarında saldırı muhtemelen daha da az verimli olacaktır, çünkü tam etki, saldırganın bu çözümleyiciyi kullanan tek istemci olmasını ve dolayısıyla özyinelemeli istemci sınırının tamamını kendisi için kullanabilmesini gerektirecektir. Başka istemciler varsa, muhtemelen bu kotanın en azından bir kısmını kullanıyorlar ve bu da saldırının daha da az etkili olmasına neden oluyor.

Başa dön tuşu