Nul
Domain name system (DNS) er afgørende for, at den internet ‘ s operationer, hvilket gør det til et oplagt mål. Arkitektur af DNS kan også forstærke virkningen af nogle distribueret denial-of-service (DDoS) angreb. Men en ny teknik, der kunne hjælpe med at ændre det.
“Vi tror, det er en stor ting,” sagde Geoff Huston, chief scientist på Asia Pacific Network Information Center (APNIC).
“Vi tror, det er et værdifuldt skridt i retning af at ændre den måde vi tænker om DNS og DNSSEC [protokollen til at kryptere og godkendelse af DNS-information], og rent faktisk bruge det på en måde, der hjælper os alle med at komme over den stigende strøm af Internettet af Tragisk Dumme Ting,” Huston sagde i sin åbningstale til 44th APNIC Konference i Taichung, Taiwan sidste tirsdag.
Den teknik, “Aggressiv Brug af DNSSEC-Valideret Cache”, blev udviklet af Kazunori Fujiwara på Japan-Registreringsdatabasen-Tjenester, Akira Kato på Keio Universitetet i Yokohama, og Warren Kumari på Google. Det er defineret i RFC 8198.
Huston er fastsat en imødekommende forklaring i et blog-indlæg i februar i år, og i den slide dæk [PDF], som ledsager sin keynote.
DNS-arkitektur er et hierarki. Når et domæne som example1.example.com er besluttet på at en IP-adresse, eller nogle andre opslag er udført på det domæne, den anmodning, der er gået op til en af de såkaldte root-servere. At server, der giver IP-adresser til de servere, der kan løse .kom, som til gengæld giver de adresser, der er til de servere, der kan løse example.com og disse servere endelig levere adresser til example1.example.com.
For at forbedre ydeevnen, svar på forespørgsler gemmes lokalt, uanset om de er en succes, eller om de vender tilbage NXDOMAIN for “ikke-eksisterende domæne”.
Ydeevne og robusthed er også blevet forbedret med en øgning i antallet af root-servere, fra de oprindelige 13, i hundredvis. Siden 2002, APNIC alene har bistået eller sponsoreret mindst 29 servere i 21 regionale økonomier.
Ikke desto mindre, performance er stadig et problem. Og oversvømmelser DNS-servere med falske anmodninger, som er så gået op til den root-servere, eller til et bestemt domæne, DNS-servere, kan resultere i en effektiv DDoS-angreb.
“Du bede om navne, som ikke findes, fordi hvis de ikke findes, de er ikke i nogens cache. Hvis de ikke er i nogens cache, at de vil gå lige op til roden. Så, så længe du kan spørge til forskellige ikke-eksisterende navne hele tiden, alle dine forespørgsler kommer til at gå til en lokal root-server. Og hvis du kan stille nok af disse spørgsmål, som ooh, 10 millioner på en anden, 100 millioner til en anden, alle af en pludselig du har opskriften på et angreb,” Huston sagde.
Bare sådan et angreb, der skete den 21 oktober 2016, når Mirai botnet oversvømmet servere af Dnf DNS-med et DDoS-angreb rejsegilde på 1.2 terabits per sekund.
“Når du får så meget data, det er ikke bare de servere, der dør. Ledningerne smelte, hele infrastrukturen omkring, der smelter, fordi [en terabit] er mere end man kan håndtere,” Huston sagde.
“Disse angreb er utroligt nemt, og utrolig effektiv.”
Årsagen, Houston sagde, er “den store og vidunderlige internet overflødige 20-år-gamle software er bygget til den billigst mulige pris, de kan … hele internettet er giftige. Det udstråler i mørke. Det er så slemt.”
Den nye teknik virker ved at have servere vende tilbage ikke bare en NXDOMAIN respons på det domæne, der blev spurgt, men autoritative NXDOMAIN svar for hele spektret af mulige navne, der omfatter et spørgsmålstegn.
Hvis du var at søge i den root-server om den ikke-eksisterende navn www.example. (ikke www.example.com) svaret vil sige, at der ikke domæner på alt mellem, siger, everbank. og udveksling.
“Vi kan cache denne række svar, og bruge det til at besvare de efterfølgende spørgsmål, der falder ind under den samme rækkevidde,” Huston sagde. Ingen grund til at give anmodningen op linie.
“Alle af en pludselig dem, der fem, 10, mio rekursiv resolvere, i stedet for at være din angribere, bliver din forsvarere. Og du har selvsupplering en hær, der er langt, langt større end din egen rod-server til rent faktisk at forsvare roden mod angreb. Så det er en virkelig, virkelig stor gevinst.”
APNIC står bag udviklingen af denne funktionalitet i den næste version af BIND, den mest udbredte DNS-server-software, som forventes at være klar i begyndelsen af 2018.
Knude, en open source-DNS-server fra den tjekkiske Republik, har opført teknik i deres 2017 udviklingsplan. Udviklerne af Ubundet DNS-server, der er nævnt i RFC 8198, hvilket betyder, at de er også tilbøjelige til at støtte teknik snart.
Mens aspekter af forslaget er “en meget god ting”, der er grænser for teknik ‘s positive effekter, i henhold til Cricket Liu, chief DNS arkitekt og seniorforsker på Infoblox, og co-forfatter af O’ reilly Media lærebog “DNS og BINDE”.
“Gennemførelse, at APNIC har garanteret er for BIND, som stadig er den mest populære open source DNS-server, så det er et godt sted at starte. Men husk, at det også kun vil arbejde på rekursiv, BIND-baseret DNS-servere med DNSSEC-validering var aktiveret,” Liu fortalte ZDNet.
Huston ‘ s undersøgelser i 2016 [PDF] viste, at kun omkring 26 procent af disse spørgsmål blev godkendt.
“Tilføj til, at mit gæt, at en uforholdsmæssig stor andel af disse junk-forespørgsler til de rødder kommer fra ældre DNS-servere, der ikke forvaltes godt og ikke er blevet opgraderet i et stykke tid, og derfor, hvis adfærd ikke vil blive påvirket af den nye funktion i BIND,” sagde Liu.
“Den positive effekt af den nye funktion kan være mindre, end det vi håber på. Men der er ingen grund til ikke at gå videre! Funktionen er ikke bare nyttige, fordi det vil mindske belastningen på rødderne. Det gør også rekursive DNS-servere mere uafhængige af root system, som er en meget god ting.”
Tech Pro Forskning
DET leader ‘ s guide til truslen fra malware fileless
Netværk sikkerhedspolitik
Frokost og lære: BYOD regler og ansvar
Retningslinjer for opbygning af sikkerhedspolitikker
Sikkerhed bevidsthed og uddannelse-politik
0