这个TsuNAME 新漏洞可对关键 DNS 服务器发动 DDoS 攻击

为了了解 TsuNAME 漏洞的运作原理，首先有必要了解下权威DNS服务器和递归 DNS 服务器之间的区别。网络上的多数 DNS 服务器是递归服务器，它接受用户的 DNS 查询并将其推送给权威 DNS 服务器，就像电话簿那样，而且可以返回特定域名的DNS响应。

在正常情况下，数百万递归DNS服务器每天会将数十亿 DNS 查询发送给权威DNS服务器。这些权威 DNS 服务器通常由大企业和组织机构如内容交付网络、大型技术巨头、互联网服务提供商、域名注册商或政府组织机构托管和管理。

研究人员在报告中指出，攻击者能够构造恶意 DNS 查询，利用递归 DNS 软件中的漏洞将无限循环中的畸形查询发送给权威 DNS 服务器。这种攻击被称为 “tsuNAME”，依靠易受攻击的递归 DNS 软件和权威 DNS 服务器的错误配置，它可悲用于在上游权威服务器中创建流量高峰。研究人员表示，如果威胁行动者在攻击中引入足够多的递归 DNS 服务器，则可以发动规模足够大的 DDoS 攻击，从而拿下关键的互联网节点。

研究团队除了 InternetNZ 和 SIDN Labs 外，还包括南加州大学团队，他们联合发布了 CycleHunter 工具，可供权威 DNS 服务器的运营人员在 DNS 区域文件中找到周期性依赖关系。删除这些周期性依赖关系可阻止攻击者利用 TsuNAME 发动 DDoS 攻击，即使该递归 DNS 软件尚未收到补丁也不例外。

当前，研究人员表示，他们已将问题告知谷歌和思科，正是 Google Public DNS (GDNS) 和 OpenDNS 服务被滥用，使 .nz 和 .nl 注册商去年遭受攻击并宕机。

目前研究人员仍然在识别易受攻击的 DNS 解析器软件，不过 Unbound、BIND 和 KnotDNS 等工具并不受 TsuNAME 影响。

研究人员指出，谷歌和思科已修复该漏洞，不过很多其它解析器仍易受攻击。截止目前，该漏洞似乎仅被偶发攻击滥用，但未来可能会出现恶意或有意攻击。

学术界指出，目前利用 CycleHunter 评估7个顶层域名 (TLDs) 中的约1.84亿个域名，并发现了约1400个域名中的44个周期性可依赖 NS 记录（可能由配置错误导致），未来它们很可能遭滥用。