以色列特拉维夫大学和以色列跨学科中心的一组研究人员发现新DNS漏洞,并称其为NXNSAttack。该漏洞存在于DNS协议中,并且会影响所有递归DNS解析器,已被证实影响NLnetLabs的Unbound、BIND、Knot Resolver和PowerDNS等DNS软件,以及由谷歌、微软、Cloudflare、亚马逊、Oracle(DYN)、Verisign、IBM Quad9和ICANN提供的DNS服务。受影响的供应商对该漏洞分别分配了CVE编号,包括CVE-2020-8616(BIND)、CVE-2020-12662(Unbound)、CVE-2020-12667(Knot)、CVE-2020-10995(PowerDNS)。针对该漏洞,远程攻击者可以通过向易受攻击的解析器发送DNS查询来放大网络流量,该解析器会查询攻击者的权威服务器控制器。攻击者服务器将伪造的服务器名称委派给指向受害者DNS域的伪造服务器名,从而使解析程序生成对受害者的DNS服务器的查询,导致超过1620放大系数的DDoS攻击。
参考链接:http://www.securityweek.com/nxnsattack-new-dns-vulnerability-allows-big-ddos-attacks
(来源:国家计算机网络应急技术处理协调中心)