Nul
Het domein naam systeem (DNS) is van vitaal belang voor de internet activiteiten, waardoor het een voor de hand liggend doelwit. De architectuur van DNS kan zelfs versterken het effect van enkele distributed denial of service (DDoS) – aanvallen. Maar een nieuwe techniek kan helpen veranderen.
“We denken dat dit is een groot ding,” zei Geoff Huston, chief scientist bij het Azië-Pacific Network Information Centre (APNIC).
“We denken dat dit een waardevolle stap in de richting van het veranderen van de manier waarop we denken over DNS en DNSSEC [het protocol voor het coderen en verifiëren van de DNS-informatie] en daadwerkelijk te gebruiken op een manier die helpt ons al over de stijgende stroom van het Internet van Tragisch genoeg Stomme Dingen,” Huston zei in zijn toespraak tot de 44e APNIC Conferentie in Taichung, Taiwan afgelopen dinsdag.
De techniek, “Agressief Gebruik van DNSSEC-Gevalideerde Cache”, werd ontwikkeld door Kazunori Fujiwara in Japan Register Diensten, Akira Kato op de Keio Universiteit in Yokohama, en Warren Kumari bij Google. Het is gedefinieerd in RFC 8198.
Huston een laagdrempelige uitleg in een blog-post in februari van dit jaar, en in de slide deck [PDF] flankerende zijn keynote.
De DNS-architectuur is een hiërarchie. Wanneer u een domein wilt example1.example.com wordt omgezet naar het IP-adres, of een andere lookup is gedaan op dat domein, wordt de aanvraag doorgegeven aan één van de zogenaamde root-servers. De server biedt de IP-adressen van servers die kunt oplossen .com, die op hun beurt zorgen voor de adressen van de servers kan oplossen example.com en die servers tot slot bieden de adressen voor example1.example.com.
Om de prestaties te verbeteren, de antwoorden op de verzoeken worden lokaal opgeslagen, of ze nu succesvol zijn of dat ze terug NXDOMAIN voor “niet-bestaand domein”.
Performance en weerbaarheid zijn ook verbeterd door upping het nummer van de root servers van de oorspronkelijke 13 tot honderden. Sinds 2002, APNIC alleen heeft bijgestaan of gesponsord minstens 29 servers in de 21 regionale economieën.
Toch zijn de prestaties nog steeds een probleem. En overstromingen DNS-servers met valse verzoeken, die worden vervolgens doorgegeven naar de root-servers, of aan een specifiek domein DNS-servers, kan resulteren in een effectieve DDoS-aanval.
“Vraag je voor namen die niet bestaan, want als ze niet bestaan, ze zijn niet bij iedereen in de cache. Als ze niet in iedere cache, ze gaan rechtstreeks naar de root. Dus zo lang als je kunt vragen voor verschillende niet-bestaande namen alle tijd, alle van uw query ‘ s gaat naar een lokale root server. En als je kunt vragen genoeg van deze vragen, zoals ” ooh, 10 miljoen van een tweede, 100 miljoen van een tweede, alle van een plotselinge je hebt het recept voor een aanval,” Huston zei.
Net zoals een aanval gebeurde op 21 oktober 2016, wanneer de Mirai botnet overstroomde de servers van het Dyn-DNS-met een DDoS-aanval topping uit op 1,2 terabits per seconde.
“Als je dat veel gegevens zijn, het is niet alleen de servers, die sterven. De draden smelten, de gehele infrastructuur rondom die smelten, omdat [a terabit] is meer dan iemand kan verwerken,” Huston zei.
“Deze aanvallen zijn zeer goed, en ongelooflijk effectief.
De oorzaak, Houston zei, is de “grote en wonderbaarlijke internet van redundante 20-jaar-oude software gebouwd om de goedkoopste mogelijke prijs kunnen ze … Het hele internet is giftig. Het straalt in het donker. Het is zo slecht.”
De nieuwe techniek werkt door het hebben van servers terugkeer niet alleen een NXDOMAIN antwoord voor het domein dat werd bevraagd, maar gezaghebbende NXDOMAIN antwoorden voor de gehele duur van de mogelijke namen van de één opgevraagd.
Als u de query voor het root server voor het niet-bestaande naam www.example. (niet www.example.com) de reactie zou zeggen dat er geen domeinen op alle tussen, zeg, everbank. en uitwisseling.
“We kunnen de cache van deze serie reactie, en om antwoord te geven op volgende query’ s die vallen in dezelfde range,” Huston zei. Geen behoefte om het verzoek tot de lijn.
“Alle van een plotselinge deze vijf, 10, miljoen recursieve resolvers, in plaats van de aanvallers, worden uw verdedigers. En je hebt gecoöpteerd een leger veel, veel groter dan uw eigen root server om daadwerkelijk te verdedigen van de wortel tegen te vallen. Dus dat is een echt, echt grote bedragen te winnen.”
APNIC is het sponsoren van de ontwikkeling van deze functie in de volgende versie van BIND, het meest op grote schaal ingezet DNS-server software, die naar verwachting wordt begin 2018.
Knoop, een open source DNS-server van de tsjechische Republiek, is een lijst van de techniek in hun 2017 ontwikkeling van het plan. De ontwikkelaars van de Ongebonden DNS-server genoemd worden in RFC 8198, wat betekent dat ze waarschijnlijk ook naar de ondersteuning van de techniek snel.
Terwijl aspecten van het voorstel “een goede zaak”, er zijn grenzen aan de techniek van de positieve effecten, volgens Cricket Liu, chief DNS-architect en senior fellow bij Infoblox, en co-auteur van de O ‘ reilly Media leerboek “DNS en BIND”.
“De implementatie van APNIC heeft onderschreven is voor BINDING, die is nog steeds de meest populaire open source DNS server, dus dat is een geweldige plek om te beginnen. Maar vergeet niet dat het ook zal werken alleen op recursieve, op basis van BIND DNS-servers met DNSSEC-validatie enabled”, vertelde Liu ZDNet.
Huston ‘ s studies in 2016 [PDF] is gebleken dat slechts 26 procent van deze vragen werden gevalideerd.
“Toe te voegen aan dat ik denk dat een onevenredig hoog percentage van de gebruikers die ongewenste query’ s naar de wortels komen van oudere DNS-servers die niet worden beheerd goed en nog niet zijn bijgewerkt in de tijd, en dus van wie het gedrag niet worden beïnvloed door de nieuwe functie in te BINDEN,” Liu zei.
“Het positieve effect van de nieuwe functie kan minder zijn dan we hopen. Maar dat is geen reden om niet verder te gaan! De functie is niet alleen nuttig, want het zal het verminderen van de belasting op de wortels. Het maakt ook recursieve DNS-servers meer onafhankelijk van het wortelstelsel, dat is een heel goede zaak.”
Tech Pro Onderzoek
HET leader ‘ s guide op de dreiging van malware fileless
Network security beleid
De Lunch en het leren: BYOD regels en verantwoordelijkheden
Richtlijnen voor de bouw van security beleid
Security awareness en training beleid
0