Noll
Domain name system (DNS) är avgörande för att internet verksamhet, vilket gör det till ett självklart mål. Arkitekturen av DNS kan även förstärka effekten av vissa distributed denial of service (DDoS) attacker. Men ny teknik kan hjälpa till att ändra på det.
“Vi tror att detta är en stor sak,” sade Geoff Huston, chief scientist på Asia Pacific Network Information Centre (APNIC).
“Vi tror att detta är ett värdefullt steg mot att ändra det sätt vi tänker om DNS och DNSSEC [protokollet för att kryptera och verifiera DNS-information], och faktiskt använda det på ett sätt som hjälper oss alla att få över det ökande ström av Internet Tragiskt Dumma Saker,” Huston sade i sitt anförande att den 44: e APNIC Konferens i Taichung, Taiwan förra tisdagen.
Tekniken, “Aggressiv Användning av DNSSEC-Validering Cache” utvecklad av Kazunori Fujiwara i Japan Registret Tjänster, Akira Kato på Keio-Universitetet i Yokohama, och Warren Kumari på Google. Det är definierat i RFC 8198.
Huston gav en lättillgänglig redogörelse i ett blogginlägg i februari i år, och på bild-däck [PDF] som åtföljde sin keynote.
DNS-arkitekturen är en hierarki. När en domän som example1.example.com är löst till en IP-adress, eller någon annan sökning som görs på detta område, begäran skickas upp till en av de så kallade root-servrar. Att servern tillhandahåller IP-adresser för de servrar som kan lösa .kom, vilket i sin tur ger adresser till servrar som kan lösa example.com och dessa servrar slutligen ge adresser till example1.example.com.
För att förbättra prestanda, svar på förfrågningar lagras lokalt, oavsett om de är framgångsrika eller om de återvänder NXDOMAIN för “icke-existerande domän”.
Prestanda och motståndskraft har också förbättrats genom upping antal root-servrar, från den ursprungliga 13, till hundratals. Sedan 2002, APNIC ensam har biträtt eller sponsrade minst 29 servrar i 21 regionala ekonomier.
Trots detta resultat är fortfarande ett problem. Och översvämningar DNS-servrar med falska framställningar, som sedan skickas upp till root-servrar, eller till en specifik domän, DNS-servrar, kan resultera i en effektiv DDoS-attack.
“Du frågar för namn som inte existerar, för om de inte finns de inte i någon cache. Om de inte är i någon cache, de kommer att gå rakt upp till roten. Så länge som du kan be för olika icke-existerande namn hela tiden, alla dina frågor kommer att gå till en lokal root server. Och om du kan ställa tillräckligt av dessa frågor, som ooh, 10 miljoner euro per sekund, 100 miljoner av en sekund, helt plötsligt har du receptet för en attack,” Huston sagt.
Bara en sådan attack skedde den 21 oktober 2016, när Mirai botnet översvämmade servrar i Dyn-DNS-med en DDoS-attack toppade ut på 1,2 terabit per sekund.
“När du får så mycket data, det är inte bara servrarna som dör. Trådarna smälta, hela infrastrukturen kring som smälter, eftersom [en terabit] är mer än vad någon kan hantera,” Huston sagt.
“Dessa attacker är otroligt lätt, och otroligt effektivt.”
Orsaken, Houston sagt, är det “stora och underbara internet överflödiga 20-årig inbyggda programvaran till billigaste möjliga pris de kan … hela internet är giftiga. Det strålar i mörkret. Det är så illa.”
Den nya tekniken fungerar genom att ha servrar tillbaka inte bara en NXDOMAIN svar för den domän som var ifrågasatt, men auktoritativ NXDOMAIN svar för hela spannet av möjliga namn som inkluderar en frågas.
Om du skulle fråga root-server för den obefintliga namn www.example. (inte www.example.com) svar skulle säga att det inte finns några domäner till alla mellan, säg, everbank. och exchange.
“Vi kan cache detta utbud svar, och använda det för att svara på kommande frågor som faller inom samma sortiment,” Huston sagt. Inget behov av att förmedla begäran upp linjen.
“Plötsligt de fem, 10, miljoner rekursiva lösningar, istället för att vara din angripare, bli din försvarare. Och du har adjungerad en armé långt, långt större än din egen root-server för att faktiskt försvara root mot angrepp. Så det är en riktigt, riktigt stor vinst.”
APNIC är med och sponsrar utvecklingen av denna funktionalitet i nästa version av BIND, den mest spridda DNS-server, som förväntas vara klar i början av 2018.
Knut, ett open source-DNS-server från tjeckien, har listat tekniken i deras 2017 utvecklingsplan. Utvecklarna av de Obundna DNS-server beskrivs i RFC 8198, vilket innebär att de är också benägna att stödja teknik snart.
Samtidigt som vissa aspekter av förslaget är “mycket bra”, att det finns begränsningar i teknik positiva effekter, enligt Cricket Liu, chef för DNS-arkitekt och senior fellow vid Infoblox, och co-författare av O ‘ reilly Media lärobok “DNS och BIND”.
“Genomförandet som APNIC har tecknats är för BIND, som fortfarande är den mest populära open source DNS-server, så det är ett bra ställe att börja. Men kom ihåg att det också fungerar bara på rekursiv, BIND-baserade DNS-servrar med DNSSEC-validering aktiverad, kan inte” Liu till ZDNet.
Huston studier i 2016 [PDF] visade att endast cirka 26 procent av dessa frågor har validerats.
“Lägg till att min gissning är att en oproportionerligt hög andel av dem som skräp frågor till rötterna kommer från äldre DNS-servrar som inte förvaltas väl och har inte uppgraderats på länge, och därför vars beteende inte kommer att påverkas av den nya funktionen i BIND,” sade Liu.
“Den positiva effekten av den nya funktionen kan vara mindre än det vi hoppas. Men det är ingen anledning att inte gå framåt! Den funktion är inte bara användbar, eftersom det kommer att minska belastningen på rötter. Det gör också rekursiva DNS-servrar som är mer oberoende av rotsystemet, som är en mycket god sak.”
Tech Pro Forskning
DET ledande guide till hotet om fileless malware
Nätverk säkerhetspolitik
Lunch och lär: BYOD regler och ansvar
Riktlinjer för att bygga säkerhetspolitik
Medvetenheten och utbildningsstrategi
0