Peneliti keamanan siber Israel telah mengungkapkan rincian adanya protokol DNS yang memiliki dampak dapat dieksploitasi untuk meluncurkan serangan denial-of-service (DDoS) terdistribusi ber skala besar.
Serangan ini di sebut NXNSAttack, vulnerability ini tergantung pada mekanisme delegasi DNS untuk memaksa DNS resolver untuk menghasilkan lebih banyak permintaan DNS ke server otoritatif pilihan attacker. Menyusul adanya pengungkapan NXNSAttack ini maka beberapa perusahaan yang bertanggung jawab atas infrastruktur internet, termasuk PowerDNS (CVE-2020-10995), CZ.NIC (CVE-2020-12667), Cloudflare, Google, Amazon, Microsoft, Dyn yang dimiliki Oracle , Verisign, dan IBM Quad9, telah menambal perangkat lunak mereka untuk mengatasi masalah tersebut.
Adapun cara kerja serangan ini dimulai dari mekanisme pencarian DNS rekursif yang terjadi ketika server DNS berkomunikasi dengan beberapa server DNS otoritatif dalam urutan hierarkis untuk menemukan alamat IP yang terkait dengan domain (misalnya www.google.com) dan mengembalikannya ke klien.
Resolusi ini biasanya dimulai dengan resolver DNS yang dikendalikan oleh ISP Anda atau server DNS publik, seperti Cloudflare (1.1.1.1) atau Google (8.8.8.8) ataupun Server DNS lain yang dikonfigurasi dengan sistem Anda. Kemudian permintaan ini dilanjutkan ke server DNS Name otoritatif jika tidak dapat menemukan alamat IP untuk nama domain yang diberikan.
Tetapi jika server DNS Name otoritatif pertama juga tidak memegang catatan yang diinginkan, maka server tersebut akan mengembalikan pesan delegasi dengan alamat ke server otoritatif berikutnya yang DNS Resolver minta.
Dengan kata lain, server otoritatif memberi tahu resolver rekursif: “Saya tidak tahu jawabannya, buka dan tanyakan ini dan server nama ini, mis., Ns1, ns2, dll., Sebagai gantinya”.
Para peneliti mengatakan serangan itu dapat memperkuat jumlah paket yang dipertukarkan oleh resolver rekursif sebanyak faktor lebih dari 1.620, sehingga tidak hanya DNS Resolver dengan lebih banyak permintaan yang dapat mereka tangani, tetapi juga membanjiri domain target dengan permintaan berlebihan sehingga menyebabkan server menjadi down.
Terlebih lagi, menggunakan botnet seperti Mirai sebagai klien DNS dapat lebih meningkatkan skala serangan.
Sangat disarankan agar administrator jaringan yang menjalankan server DNS mereka sendiri memperbarui perangkat lunak resolver DNS mereka ke versi terbaru.