TsuNAME 是什么?DDoS 攻击向量威胁权威 DNS 服务器

计算机科学家发现了一些 DNS 解析器中的一个缺陷,如果未解决,可能会被滥用以对权威 DNS 服务器发起DDoS攻击。

这个被称为TsuNAME的漏洞有可能损害核心互联网服务,在此过程路由交换基础知识中至少部分网服务器是什么络难以访问。

研究人员在一篇关于该漏洞的运营商锁是什么意思论文(PDF) 中解释说:“当域名被错误配置为循环依赖的DNS记录时,服务器是什么就会发生 TsuNAME,当易受攻击的解析器访问这些错误配置时,它们就会开始循环并向权威服务器和其他解析器快速发送 DNS 查询”.

四位研究人员——SIDN 实验室的 Giovane Moura、InternetNZ 的 Sebastian Castro 和 John Heidemann,以及 USC/ISI 的 Wes Hardaker——使用真实的生产数据,展示了仅两名字解析器个错误配置的域如何导致 .nz 的总体流量增加 50%权威服务器。

防御 TsuNAME 需要更改一些递归解析器软件,包括循环检测代码和缓存循环相关记录。

维修周期

该团队开发了CycleHunter,这是一种开源工具,允许权威 DNS 服务网络安全工程师运营商检测循环依赖关系,从而准确了解哪些系统需要安全修复工作以抵御潜在的攻击。

在对七个大型顶级域 (TLD) 中的 1.84 亿个域名进行分析后,研究人员过去常解析器常使用工具来查找 1,400 个域名使用的 44 条循环依赖 NS 记录(可能来自配置错误)。

该团队正在与解析器开发人代码解析器员和许多 TLD 运营商合作,以保护 DNS运营商二次贩卖号有什么事吗 系统免受潜在攻击。谷歌公共 DNS 和思科 OpenDNS 已经更新。

Infoblox 的首席 DNS 架构域名解析器师 Cricket Liu 告诉The DailySwig,虽然“TsuNAME 肯定是认真的”,但社区“之前路由交换技术是干嘛的已经发现并处理过这样视频解析器的问题。

“DNS 服务器已经有机制来保护自己免受这些配置中的*服务器是什么一些*,例如循环别名,并且添加一种新机制来检测和处理这个可能并不困难,”刘解释说。

他补充说,解决 TSuNAME 的工作已经在进行中。

刘说:“论文说OpenDNS和谷歌公共DNS已经解决了这个问题。此外,域名解析器需要修补的最重要的 DN链接解析器S 服务器是互联网的大型开放递归 DNS 服务器(例如 Google Pub网络安全法lic DNS 和 Cl运营商锁是什么意思oudflare),因为这路由交换技术是干嘛的些服务器可能会被坏人用来发起 DDoS 攻击,而且数量并不多那些。”