NXNSAttack新型DNS漏洞可被用于大规模DDoS攻击

2020年5月19日，国际安全资讯网站SecurityWeek报道，以色列特拉维夫大学和赫兹里亚跨领域中心的研究人员发现了一个名为“NXNSAttack”的DNS协议中的新型漏洞。该漏洞能够影响所有递归DNS解析器，攻击者利用该漏洞可以将常规的DNS查询放大为巨大的服务器负载，从而破坏目标服务器的可用性，实现大规模DDoS攻击（分布式拒绝服务攻击）。 研究人员表示，NXNSAttack漏洞是迄今为止已知的最危险的DDoS攻击媒介之一，它能够仅使用少量设备和自动DNS查询就发动破坏性攻击。使用NXNSAttack的攻击者可以将简单的DNS查询从原始大小的2倍放大到1620倍，从而造成流量激增，使受害者的DNS服务器崩溃。该漏洞已被证实存在于NLnet Labs的Unbound、BIND、Knot解析器以及由谷歌、微软、Cloudflare、亚马逊、Oracle (DYN)、Verisign、IBM Quad9和ICANN提供的DNS服务中。目前，上述厂商的补丁和缓解措施均已发布，建议运行DNS服务器的各重要单位、企业的服务器管理员及时将DNS解析器软件更新到最新版本，防范类似攻击行为的发生。