Zero
Il domain name system (DNS) è di vitale importanza per l’internet delle operazioni, il che lo rende un bersaglio ovvio. L’architettura del DNS può anche amplificare l’effetto di qualche tipo distributed denial of service (DDoS). Ma una nuova tecnica potrebbe aiutare a cambiare.
“Pensiamo che questa è una grande cosa”, ha dichiarato Geoff Huston, chief scientist presso l’Asia Pacifico Centro di Informazione della Rete APNIC ().
“Pensiamo che questo sia un passaggio importante per cambiare il modo in cui pensiamo DNS e DNSSEC [il protocollo di crittografia e autenticazione DNS informazioni], e in realtà lo si utilizza in un modo che ci aiuta a superare la crescente torrent di Internet di Tragicamente Cose Stupide,” Huston ha detto nel suo discorso di apertura del 44 ° APNIC Conferenza in Taichung, Taiwan lo scorso martedì.
La tecnica, “Uso Aggressivo di DNSSEC-Convalidato Cache”, è stato sviluppato da Guilhem Fujiwara in Giappone i Servizi di Registro, Akira Kato presso la Keio University di Yokohama, e Warren Kumari a Google. Esso è definito in RFC 8198.
Huston ha fornito un buon spiegazione in un post sul blog nel febbraio di quest’anno, e nella slide [PDF] che il suo keynote.
L’architettura DNS è una gerarchia. Quando un dominio del tipo example1.example.com è risolto in un indirizzo IP, o di qualche altra ricerca è fatta su dominio, la richiesta viene passata a uno dei cosiddetti root server. Il server fornisce gli indirizzi IP per i server che possono risolvere .com, che a loro volta forniscono gli indirizzi per i server che possono risolvere example.com e quei server, infine, fornire gli indirizzi per example1.example.com.
Per migliorare le prestazioni, le risposte alle richieste vengono memorizzati nella cache locale, se sono di successo, o se tornare NXDOMAIN per “dominio inesistente”.
Le prestazioni e la resistenza sono anche stata migliorata aumentando il numero dei server root, dall’originale 13, a centinaia. Dal 2002, APNIC, solo, ha assistito o sponsorizzato almeno 29 server 21 economie regionali.
Tuttavia, la performance è ancora un problema. E le inondazioni server DNS con falsi richieste, che vengono poi passati alla radice del server, o per uno specifico dominio DNS del server, può causare un attacco DDoS efficace.
“Si chiedono i nomi che non esistono, perché se non esistono non sono nessuno cache. Se non sono in nessuno di cache, faranno andare dritto fino alla radice. Così come lungo come si può richiedere diversi nomi inesistenti per tutto il tempo, tutte le query intenzione di andare in un locale di root server. E se si può fare abbastanza di queste domande, come ooh, 10 milioni di un secondo, a 100 milioni di di un secondo, tutto ad un tratto si ha la ricetta per un attacco,” Huston, ha detto.
Un simile attacco è avvenuto il 21 ottobre, 2016, quando la Mirai botnet invaso il server di Dyn DNS con un attacco DDoS topping a 1.2 terabit al secondo.
“Quando si ottiene che la quantità di dati, non è solo il server che morire. I fili si fondono, l’intera infrastruttura circostante che si scioglie, perché [un terabit] è più nessuno in grado di gestire,” Huston, ha detto.
“Questi attacchi sono incredibilmente facile, e incredibilmente efficace.
La causa di Houston, ha detto, è “la grande e meraviglioso internet ridondanti di 20-anno-vecchio software costruito per il prezzo più conveniente possibile … L’intera internet è tossico. Irradia nel buio. Non è così male.”
La nuova tecnica funziona con i server di ritorno non è solo un NXDOMAIN risposta per il dominio che è stato interrogato, ma autorevole NXDOMAIN risposte per l’intero arco dei possibili nomi che includono una query.
Se si dovesse interrogare il server principale per l’inesistente nome www.example. (non www.example.com) la risposta direi che non ci sono domini a tutti, diciamo, tra everbank. e di scambio.
“Siamo in grado di cache in questa gamma di risposta, e utilizzarlo per rispondere alle successive richieste di informazioni che rientrano nella stessa gamma,” Huston, ha detto. Non c’è bisogno di passare la richiesta su tutta la linea.
“Tutto ad un tratto quei cinque, 10, milioni ricorsiva resolver, invece di essere i tuoi attaccanti, diventano i vostri difensori. E hai cooptato un esercito molto, molto più grande di quanto il proprio server per difendere la radice contro attacco. In modo che davvero, davvero grande vittoria.”
APNIC sponsorizza lo sviluppo di questa funzionalità nella prossima versione di BIND, il più diffuso software di server DNS, che dovrebbe essere pronto entro l’inizio del 2018.
Nodo, un open source server DNS dalla Repubblica ceca, ha elencato la tecnica 2017 piano di sviluppo. Gli sviluppatori del Unbound server DNS sono citati nella RFC 8198, il che significa che sono anche suscettibili di assistenza tecnica al più presto.
Mentre aspetti della proposta sono “una cosa molto buona”, non ci sono limiti alla tecnica gli effetti positivi, secondo Grillo Liu, il capo di DNS architetto e ricercatore presso Infoblox, e co-autore della O’Reilly Media del libro di testo “DNS and BIND”.
“L’implementazione di APNIC ha sottoscritto è per l’associazione, che è ancora il più popolare open source server DNS, in modo che un ottimo posto per iniziare. Ma ricordate che anche funziona solo su ricorsiva, server DNS BIND-based con la convalida DNSSEC abilitata,” Liu ha detto a ZDNet.
Huston studi nel 2016 [PDF] ha mostrato che solo il 26% circa di tali interrogazioni sono state convalidate.
“Aggiungi alla mia ipotesi che un sproporzionatamente alta percentuale di coloro che la spazzatura di query per le radici vengono da vecchi server DNS che non sono amministrati bene e non sono stati aggiornati nel tempo, e, di conseguenza, il cui comportamento non saranno interessati dalla nuova funzione BIND,” Liu ha detto.
“L’effetto positivo della nuova funzionalità può essere inferiore speriamo. Ma questo non è un motivo per non andare avanti! La funzione è non solo utile, perché ci sarà ridurre il carico sulle radici. Rende anche ricorsiva server DNS più indipendente del sistema di radice, che è una cosa molto buona.”
Tech Pro Ricerca
SI guida per la minaccia di malware fileless
Criteri di sicurezza della rete
A pranzo e a imparare: BYOD regole e responsabilità
Linee guida per la costruzione di politiche di sicurezza
La consapevolezza della sicurezza e della formazione politica
0