DNSSEC को प्रदान करने के लिए किस प्रकार की सुरक्षा कमजोरियाँ हैं?


28

मैं DNSSEC के साथ अपने DNS ज़ोन पर हस्ताक्षर करने की योजना बना रहा था। मेरा क्षेत्र, रजिस्ट्रार और मेरा DNS सर्वर (BIND9) सभी DNSSEC का समर्थन करते हैं। केवल जो DNSSEC का समर्थन नहीं करता है वह मेरा द्वितीयक नेमसेवर प्रदाता है (अर्थात् begns.com )।

अपनी वेबसाइट पर , वे DNSSEC के बारे में बताते हैं:

BuddyNS DNSSEC का समर्थन नहीं करता है क्योंकि यह उच्च-वॉल्यूम DNS सेवा के लिए अनुपयुक्त कुछ कमजोरियों को उजागर करता है।

ठीक है, मुझे लगा कि DNSSEC का उपयोग वर्तमान में किसी तरह संदिग्ध है क्योंकि रिकॉर्ड सही तरीके से हस्ताक्षर किए गए हैं, तो अधिकांश रिज़ॉल्वर जांच नहीं करते हैं। मुझे नहीं पता था कि उनके बयान के अनुसार - ऐसा लगता है कि यह किसी तरह की सुरक्षा कमजोरियों को उजागर करेगा।

वे "असुरक्षित" कौन से हैं?


8
एक और अधिक सुरागपूर्ण DNS प्रदाता खोजें - उनके बहाने सहज हैं।
अलनीतक

जवाबों:


103

DNSSEC के कुछ जोखिम हैं, लेकिन वे सीधे प्रतिबिंब या प्रवर्धन से संबंधित नहीं हैं। EDNS0 संदेश आकार का विस्तार इस मामले में एक लाल हेरिंग है। मुझे समझाने दो।

पैकेटों का कोई भी आदान-प्रदान जो पहचान के पिछले प्रमाण पर निर्भर नहीं करता है, डीडीओएस हमलावरों द्वारा दुरुपयोग के अधीन है जो एक अप्रतिबंधित के रूप में उस अप्रमाणित पैकेट विनिमय का उपयोग कर सकते हैं, और शायद एक एम्पलीफायर के रूप में भी। उदाहरण के लिए, ICMP ("पिंग" के पीछे प्रोटोकॉल) का इस तरह से दुरुपयोग किया जा सकता है। टीसीपी SYN पैकेट के रूप में, जो SYN-ACK पैकेट को 40 पीड़ित तक ले जा सकता है, भले ही SYN कुछ पीड़ित से आने के लिए खराब हो गया हो, जो उन SYN-ACK पैकेट नहीं चाहता है। और निश्चित रूप से, सभी यूडीपी सेवाएं इस हमले के लिए कमजोर हैं, जिनमें एनटीपी, एसएसडीपी, यूपीएनपी, और जैसा कि यहां अन्य प्रतिक्रियाओं द्वारा भी उल्लेख किया गया है, डीएनएस भी शामिल है।

अधिकांश घुसपैठ का पता लगाने, घुसपैठ की रोकथाम, और लोड बैलेंसर उपकरण अड़चन हैं, "लाइन रेट" ट्रैफ़िक को बनाए रखने में असमर्थ हैं। साथ ही कई राउटर लाइन रेट और कुछ स्विच पर नहीं चल सकते हैं। ये अड़चनें, "पथ में सबसे छोटी चीज" होने के साथ, और स्वयं लिंक से छोटी हैं, ये कंजेशन-आधारित DDoS हमलों का वास्तविक लक्ष्य हैं। यदि आप किसी के फ़ायरवॉल को हमले के ट्रैफ़िक में व्यस्त रख सकते हैं, तो अच्छे ट्रैफ़िक के माध्यम से नहीं मिलेगा, भले ही लिंक पूर्ण न हों। और जो एक फ़ायरवॉल धीमा कर देता है वह प्रति सेकंड बिट्स की कुल संख्या नहीं है (जिसे बड़े संदेशों का उपयोग करके बढ़ाया जा सकता है, और EDNS0 और DNSSEC करेगा), बल्कि पैकेट की कुल संख्या प्रति सेकंड।

DNSSEC के बड़े संदेश आकार के कारण DNSSEC डीडीओएस को कैसे बदतर बनाता है, और इस बारे में सहज ज्ञान युक्त समझ में आता है और "अच्छा लगता है", यह केवल झूठा है। लेकिन अगर इस किंवदंती में सच्चाई का एक खंड था, तो असली जवाब अभी भी कहीं और होगा - क्योंकि DNSSEC हमेशा EDNS0 का उपयोग करता है, लेकिन EDNS0 का उपयोग DNSSEC के बिना किया जा सकता है], और कई सामान्य गैर- DNSSEC प्रतिक्रियाएं DNSSEC जितनी बड़ी हैं प्रतिक्रिया होगी। एसपीएफ नीतियों या डीकेआईएम कुंजी का प्रतिनिधित्व करने के लिए उपयोग किए जाने वाले TXT रिकॉर्ड पर विचार करें। या पते या एमएक्स रिकॉर्ड के किसी भी बड़े सेट। संक्षेप में, किसी भी हमले के लिए DNSSEC की आवश्यकता नहीं होती है, और इस तरह DDoS जोखिम के रूप में DNSSEC पर कोई ध्यान चूकना ऊर्जा है।

DNSSEC जोखिम है! इसका उपयोग करना कठिन है, और सही ढंग से उपयोग करना कठिन है। अक्सर इसे ज़ोन डेटा परिवर्तन, रजिस्ट्रार प्रबंधन, नए सर्वर इंस्टॉलेशन की स्थापना के लिए एक नया कार्य प्रवाह की आवश्यकता होती है। उन सभी का परीक्षण और दस्तावेजीकरण किया जाना चाहिए, और जब भी डीएनएस से संबंधित कुछ टूटता है, तो DNSSEC तकनीक की संभावित कारण के रूप में जांच की जानी चाहिए। और अंतिम परिणाम यदि आप सब कुछ सही करते हैं, तो यह होगा कि एक ज़ोन हस्ताक्षरकर्ता के रूप में, आपके स्वयं के ऑनलाइन सामग्री और सिस्टम आपके ग्राहकों के लिए अधिक नाजुक होंगे। एक दूर के सर्वर ऑपरेटर के रूप में, इसका परिणाम यह होगा कि हर किसी की सामग्री और सिस्टम आपके लिए अधिक नाजुक होंगे। इन जोखिमों को अक्सर लाभों से आगे निकलने के लिए देखा जाता है, क्योंकि एकमात्र लाभ DNS डेटा को इन-फ़्लाइट संशोधन या प्रतिस्थापन से बचाने के लिए है। यह हमला इतना दुर्लभ है कि इस सारे प्रयास के लायक नहीं है। हम सभी को उम्मीद है कि किसी न किसी दिन DNSSEC सर्वव्यापी हो जाएगा, क्योंकि नए अनुप्रयोगों से यह सक्षम हो जाएगा। लेकिन सच्चाई यह है कि आज, DNSSEC सभी लागत, कोई लाभ नहीं है, और उच्च जोखिम के साथ है।

इसलिए यदि आप DNSSEC का उपयोग नहीं करना चाहते हैं, तो यह आपका विशेषाधिकार है, लेकिन किसी को भी आपको भ्रमित न करने दें कि DNSSEC की समस्या DDoS एम्पलीफायर के रूप में इसकी भूमिका है। DDSSS एम्पलीफायर के रूप में DNSSEC की कोई आवश्यक भूमिका नहीं है; DNS को DDoS एम्पलीफायर के रूप में उपयोग करने के लिए अन्य सस्ते बेहतर तरीके हैं। यदि आप DNSSEC का उपयोग नहीं करना चाहते हैं, तो ऐसा होने दें क्योंकि आपने अभी तक कूल एड को पिया नहीं है और आप अंतिम-प्रस्तावक (बाद में) बनना चाहते हैं, न कि पहले वाला (अब)।

DNS कंटेंट सर्वर, जिसे कभी-कभी "अथॉरिटी सर्वर" कहा जाता है, को DNS रिफ्लेक्टिंग एम्पलीफायरों के रूप में दुरुपयोग करने से रोका जाना चाहिए, क्योंकि DNS UDP का उपयोग करता है, और क्योंकि UDP स्पूफ किए गए स्रोत पैकेट द्वारा अपमानजनक है। इस तरह के दुरुपयोग के खिलाफ अपने डीएनएस सामग्री सर्वर को सुरक्षित करने का तरीका यूडीपी को ब्लॉक करना नहीं है, न ही टीसीपी (टीसी = 1 ट्रिक का उपयोग करना) के लिए मजबूर करना, न ही किसी भी क्वेरी को ब्लॉक करना, न ही डीएनएसएसईसी से बाहर निकलना। उन चीजों में से कोई भी आपकी मदद नहीं करेगा। आपको DNS Response Rate Limiting की जरूरत है(DNS RRL), एक पूरी तरह से मुक्त तकनीक है जो अब कई ओपन सोर्स नाम सर्वरों में मौजूद है जिसमें BIND, Knot, और NSD शामिल हैं। आप अपने फ़ायरवॉल के साथ DNS प्रतिबिंब समस्या को ठीक नहीं कर सकते, क्योंकि केवल सामग्री-जागरूक मिडबॉक्स जैसे DNS सर्वर स्वयं (RRL जोड़ा गया) अनुरोध के बारे में पर्याप्त जानता है कि यह सटीक रूप से अनुमान लगाने में सक्षम है कि क्या हमला है और क्या नहीं। मैं फिर से जोर देना चाहता हूं: डीएनएस आरआरएल मुफ्त है, और प्रत्येक प्राधिकरण सर्वर को इसे चलाना चाहिए।

समापन में, मैं अपने पूर्वाग्रहों को उजागर करना चाहता हूं। मैंने अधिकांश BIND8 लिखा, मैंने EDNS0 का आविष्कार किया, और मैंने DNS RRL का सह-आविष्कार किया। मैं 1988 से DNS पर 20-कुछ के रूप में काम कर रहा हूं, और अब मैं 50-कुछ के बारे में क्रोधी हूं, आधा-पके हुए समाधान के लिए कम और कम धैर्य के साथ गलतफहमी समस्याओं का समाधान। कृपया मेरी क्षमायाचना स्वीकार करें यदि यह संदेश बहुत अधिक लगता है, "हे तुम बच्चों, मेरे लॉन से दूर हो जाओ!"


7
पुष्टि करते हुए कि यह रियल पॉल ™ है।
एंड्रयू बी

1
@AndrewB जो रियल पॉल ™ नहीं हो सकता, उसके पोस्ट में बड़े अक्षर हैं! ;-)
अलनीतक

6
@kasperd वर्तमान में IETF के माध्यम से प्रगति करते हुए "ड्राफ्ट-आईटेफ़-डीएनएसओपी-कुकीज़" देखें।
अलनीतक

4
kasperd: [एक डीएनएस सर्वर जो दर सीमित करता है वह खुद DDoS हमलों का आसान लक्ष्य बन जाएगा।] मुझे पता है कि मैं एक बेवकूफ हूं, लेकिन मैं ऐसा बेवकूफ नहीं हूं। dns rrl आपको किसी भी तरह से कम सुरक्षित नहीं बनाता है। यह सभी ज्ञात हमलों के खिलाफ रक्षा नहीं है, लेकिन यह बिना किसी नए हमलों के निर्माता है।
पॉल विक्सी

2
@kasperd स्थापित बेस हमेशा एक समस्या है - ऐसा कोई समाधान नहीं है जो संकलित आधार पर भी काम करेगा, अकेले गैर-आज्ञाकारी सिस्टम को बाहर जाने दें। अच्छी खबर यह है कि EDNS कुकी समर्थन पहले से ही BIND 9.11 के लिए कोडबेस में है और (AIUI) को डिफ़ॉल्ट रूप से चालू कर दिया जाएगा।
अलनीतक '’

7

मुझे दो विशिष्ट कमजोरियों के बारे में पता है। हाकन द्वारा उल्लिखित प्रतिबिंब / प्रवर्धन है। और ज़ोन की गणना की संभावना है।

परावर्तन / प्रवर्धन

परावर्तन का मतलब उन हमलों से है जिनमें एक स्पूफ़्ड स्रोत IP के साथ अनुरोध DNS सर्वर को भेजा जाता है। मेज़बान का ख़राब होना हमले का प्राथमिक शिकार है। DNS सर्वर अनजाने में एक होस्ट को जवाब भेज देगा जिसने कभी इसके लिए नहीं पूछा।

प्रवर्धन किसी भी प्रतिबिंब हमले को संदर्भित करता है जिसमें प्रतिबिंबित प्रतिक्रिया में मूल अनुरोध की तुलना में अधिक बाइट्स या अधिक पैकेट होते हैं। इस तरह DNSSEC + EDNS0 प्रवर्धन से पहले केवल 512 बाइट्स भेजने की अनुमति होगी। DNSSEC + EDNS0 के साथ 4096 बाइट्स भेजना संभव है, जो आमतौर पर 3-4 पैकेटों के लिए होता है।

इन हमलों के लिए संभावित उपशमन हैं, लेकिन मैं उन्हें लागू करने वाले किसी भी DNS सर्वर के बारे में नहीं जानता।

जब क्लाइंट IP की पुष्टि नहीं की गई है, तो DNS सर्वर क्लाइंट को टीसीपी में स्विच करने के लिए मजबूर करने के लिए एक छंटनी की प्रतिक्रिया भेज सकता है। छंटनी की गई प्रतिक्रिया अनुरोध के रूप में कम हो सकती है (या यदि ग्राहक EDNS0 का उपयोग करता है और प्रतिक्रिया नहीं करता है) जो प्रवर्धन को समाप्त करता है।

कोई भी क्लाइंट IP जो TCP हैंडशेक पूरा करता है और कनेक्शन पर DNS अनुरोध भेजता है, अस्थायी रूप से श्वेतसूची में हो सकता है। एक बार आईपीएल यूडीपी प्रश्नों को भेजने और 512 बाइट्स (यूडीएनएस का उपयोग करने पर 4096 बाइट्स) तक यूडीपी प्रतिक्रिया प्राप्त करने के लिए आईपी को श्वेत करता है। यदि एक UDP प्रतिक्रिया ICMP त्रुटि संदेश को ट्रिगर करती है, तो IP को फिर से श्वेतसूची से हटा दिया जाता है।

विधि को एक ब्लैकलिस्ट का उपयोग करके भी उलटा किया जा सकता है, जिसका अर्थ है कि क्लाइंट आईपी को डिफ़ॉल्ट रूप से यूडीपी पर क्वेरी करने की अनुमति है, लेकिन किसी भी आईसीएमपी त्रुटि संदेश के कारण आईपी को ब्लैकलिस्ट करने के लिए टीसीपी क्वेरी की आवश्यकता को ब्लैकलिस्ट किया जा सकता है।

सभी प्रासंगिक IPv4 पतों को कवर करने वाला एक बिटमैप 444MB मेमोरी में संग्रहीत किया जा सकता है। IPv6 पतों को किसी अन्य तरीके से संग्रहीत करना होगा।

जोन की गणना

क्या क्षेत्र गणना पहली जगह में भेद्यता है बहस का विषय है। लेकिन अगर आप नहीं चाहते हैं कि आपके क्षेत्र के सभी नाम सार्वजनिक ज्ञान के हों, तो आप इसे एक भेद्यता मानेंगे। जोन एन्यूमरेशन को ज्यादातर NSEC3 रिकॉर्ड के उपयोग के माध्यम से कम किया जा सकता है।

NSEC3 का उपयोग करते समय जो समस्या अभी भी बनी हुई है, वह यह है कि एक हमलावर प्रत्येक लेबल के हैश को केवल यादृच्छिक नामों के लिए क्वेरी करके पा सकता है। एक बार हमलावर के पास सभी हैश के बाद उन हैश पर एक ऑफ-लाइन ब्रूट बल हमला किया जा सकता है।

ज़ोन एन्यूमरेशन के विरुद्ध एक उचित बचाव के लिए एक हमलावर को हर अनुमान के लिए आधिकारिक सर्वर पर एक क्वेरी करने की आवश्यकता होगी। हालांकि DNSSEC में ऐसी कोई भी रक्षा मौजूद नहीं है।


2
ज़ोन एन्यूमरेशन सर्विस प्रोवाइडर के लिए चिंता का विषय नहीं लगता, हालाँकि? (उनके विचारों और वरीयताओं के आधार पर क्षेत्र के "मालिक" के लिए एक संभावित चिंता का विषय।)
हांक लिंडकविस्ट

@ HåkanLindqvist यह सही है। शायद मेरा सवाल उससे ज्यादा विशिष्ट था जितना मैं चाहता था। मुझे यह जानकारी बहुत रोचक लगी है।
जोहान बाउर

टीसीपी की कोशिश करने वाले क्लाइंट को श्वेतसूची देने के विचार पर विचार किया गया है, लेकिन यह स्पष्ट रूप से पेटेंट है।
अलनीतक

4

जो बात दिमाग में आती है, वह वास्तव में DNSSEC विशिष्ट नहीं है, बल्कि EDNS0 विस्तार के बारे में है, जो DNSSEC पर निर्भर करता है।

EDNS0 बड़े यूडीपी पेलोड और बड़े यूडीपी पेलोड के लिए अनुमति देता है जो बदतर यातायात प्रतिबिंब / प्रवर्धन हमलों के लिए अनुमति दे सकता है।


मुझे नहीं पता कि रिज़ॉल्वर्स को मान्य करने का प्रतिशत क्या है, लेकिन लोकप्रिय नेमसर्वर सॉफ़्टवेयर को डिफ़ॉल्ट रूप से सत्यापन के साथ भेज दिया जाता है और किसी को आसानी से कुछ उल्लेखनीय सेवा प्रदाता मिलेंगे, जो उनके बारे में खुले हैं, जैसे कि कॉमकास्ट और Google सार्वजनिक रिसोर्स।

इसके आधार पर, मुझे लगता है कि रिज़ॉल्वर को मान्य करने का प्रतिशत संभवतः हस्ताक्षरित ज़ोन के प्रतिशत से बेहतर आकार में है।


हाँ, मैं सोच रहा था कि गोमांस वास्तव में EDNS के साथ भी हो सकता है। हालांकि यह इसके बजाय DNSSEC के साथ हड्डी उठा होना अजीब है।
एंड्रयू बी
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.