新的TsuNAME漏洞可能会让攻击者关闭权威DNS服务器

安全研究人员周四披露了一个影响域名系统（DNS）解析程序的新关键漏洞，对手可以利用该漏洞对权威名称服务器进行基于反射的拒绝服务攻击。

这个名为“TsuNAME”的漏洞是由管理国家顶级互联网域名的SIDN实验室和InternetNZ的研究人员发现的。nl'和'。新西兰分别代表荷兰和新西兰。

研究人员说：“当域名被错误配置为循环依赖的DNS记录时，就会出现TsuNAME，当易受攻击的解析程序访问这些错误配置时，它们就会开始循环，并迅速向权威服务器和其他解析程序发送DNS查询。”。

递归DNS解析程序是DNS解析涉及的核心组件之一，即转换主机名（如www.google）。com转换为计算机友好的IP地址，如142.250.71.36。为了实现这一点，它通过发出一系列请求来响应客户端对网页的请求，直到它到达请求的DNS记录的权威DNS名称服务器。权威DNS服务器类似于一个字典，它保存正在查找的域的确切IP地址。

但是有了TsuNAME，这个想法是，域名注册过程中的错误配置可能会产生循环依赖，使得两个区域的名称服务器记录相互指向，导致易受攻击的解析程序“只是从一个区域反弹到另一个区域，向两个父区域的权威服务器发送不间断的查询”，从而压倒其父区域的权威服务器。

至于这是如何发生的，归根结底是递归解析器忽略了循环，没有缓存循环相关的名称记录。

从实验室收集的数据。nz domain发现，仅两个配置错误的域就导致了整个网络的总流量增加了50%。新西兰的权威服务器。谷歌公共DNS（GDNS）和思科OpenDNS—；它们被滥用来攻击目标。新西兰和新西兰。2020年的nl域名—；此后，他们在DNS解析软件中解决了这个问题。

为了减轻TsuNAME在野外的影响，研究人员发布了一个名为CycleHunter的开源工具，允许权威DNS服务器运营商检测循环依赖性。该研究还分析了跨越七个大型顶级域的1.84亿个域和360万个不同名称服务器记录，发现了1435个域名使用的44个循环依赖项。

“考虑到NS记录随时都可能发生变化，没有永久性的解决方案，”研究人员警告说。“换句话说，如果DNS区域在时间t没有循环依赖的NS记录，这意味着该区域仅在特定时间t不易受攻击。因此，我们还建议注册商定期运行CycleHunter，例如，作为其域名注册过程的一部分。”