DNS Sorgularını ve Yanıtlarını Kullanan Yeni DoS Saldırısı ‘DNSBomb’
Siber güvenlik araştırmacıları, “DNSBomb” adı verilen yeni ve güçlü bir Hizmet Reddi (DoS) saldırısını ortaya çıkardı.
Bu saldırı , İnternet altyapısına önemli bir tehdit oluşturan güçlü, darbeli bir DoS saldırısı oluşturmak için Etki Alanı Adı Sisteminin (DNS) doğasında bulunan mekanizmalardan yararlanır .
DNS Mekanizmalarından Yararlanmak
DNSBomb , zaman aşımı, sorgu toplama ve hızlı geri dönüş yanıtı dahil olmak üzere yaygın olarak uygulanan çeşitli DNS mekanizmalarından yararlanır.
Kullanılabilirliği, güvenliği ve güvenilirliği sağlamak için tasarlanan bu mekanizmalar, ustaca kötü niyetli saldırı vektörlerine dönüştürülür.
DNSBomb, düşük hızda gönderilen DNS sorgularını toplayarak ve bunları büyük boyutlu yanıtlara dönüştürerek, tüm DNS yanıtlarını kısa, yüksek hacimli periyodik patlamalara yoğunlaştırır.
Bu ezici darbe aynı anda hedef sistemleri sekteye uğratabilir ve TCP , UDP ve QUIC dahil olmak üzere çeşitli bağlantı türlerinde tam paket kaybına veya ciddi hizmet bozulmasına yol açabilir .
Araştırmacılar, DNSBomb’u 10 ana DNS yazılımı, 46 genel DNS hizmeti ve yaklaşık 1,8 milyon açık DNS çözümleyici üzerinde kapsamlı bir şekilde değerlendirdi.
Bulgular endişe vericiydi: Test edilen tüm DNS çözümleyiciler, önceki darbeli DoS saldırılarına kıyasla daha pratik ve güçlü DNSBomb saldırıları gerçekleştirmek için kullanılabilir.
Küçük ölçekli deneyler, en yüksek darbe büyüklüğünün 20.000x’i aşan bant genişliği yükseltme faktörüyle 8,7 Gb/s’ye yaklaşabileceğini gösterdi.
Bu sonuçlar, DNSBomb’un küresel olarak internet hizmetlerinde önemli kesintilere neden olma potansiyelini vurgulamaktadır.
Azaltma ve Sektöre Müdahale
Keşfe yanıt olarak araştırmacılar, etkili hafifletme çözümleri önerdiler ve bulgularını etkilenen tüm satıcılara sorumlu bir şekilde bildirdiler.
Bugüne kadar BIND, Unbound, PowerDNS ve Knot’un da aralarında bulunduğu 24 satıcı sorunu kabul etti ve sağlanan çözümleri kullanarak yazılımlarına aktif olarak yama uyguluyor.
Ek olarak, DNSBomb’un yararlandığı güvenlik açıklarını gidermek için 10 CVE-ID atanmıştır.
- Sektör çapında: CVE-2024-33655
- Düğüm: CVE-2023-49206
- Basit DNS Plus: CVE-2023-49205
- Teknesyum: CVE-2023-28456 , CVE-2023-49203
- MaraDNS: CVE-2023-49204
- Dnsmasq: CVE-2023-28450 , CVE-2023-49207
- CoreDNS: CVE-2023-28454 , CVE-2023-49202
- SDNS: CVE-2023-49201
Araştırmacılar, DNS ve İçerik Dağıtım Ağları (CDN’ler) gibi “şeyleri” bir araya getirebilen herhangi bir sistem veya mekanizmanın, darbeli DoS trafiği oluşturmak için kullanılabileceğini vurguluyor .
Siber güvenlik topluluğunu, DNSBomb tehdidini daha fazla araştırmak ve azaltmak için gösterilen çabaya katılmaya davet ediyoruz. Bulgular, gelişen siber tehditler karşısında sürekli tetikte olmanın ve yeniliğin önemini vurguluyor.