DNSSEC के कुछ जोखिम हैं, लेकिन वे सीधे प्रतिबिंब या प्रवर्धन से संबंधित नहीं हैं। EDNS0 संदेश आकार का विस्तार इस मामले में एक लाल हेरिंग है। मुझे समझाने दो।
पैकेटों का कोई भी आदान-प्रदान जो पहचान के पिछले प्रमाण पर निर्भर नहीं करता है, डीडीओएस हमलावरों द्वारा दुरुपयोग के अधीन है जो एक अप्रतिबंधित के रूप में उस अप्रमाणित पैकेट विनिमय का उपयोग कर सकते हैं, और शायद एक एम्पलीफायर के रूप में भी। उदाहरण के लिए, ICMP ("पिंग" के पीछे प्रोटोकॉल) का इस तरह से दुरुपयोग किया जा सकता है। टीसीपी SYN पैकेट के रूप में, जो SYN-ACK पैकेट को 40 पीड़ित तक ले जा सकता है, भले ही SYN कुछ पीड़ित से आने के लिए खराब हो गया हो, जो उन SYN-ACK पैकेट नहीं चाहता है। और निश्चित रूप से, सभी यूडीपी सेवाएं इस हमले के लिए कमजोर हैं, जिनमें एनटीपी, एसएसडीपी, यूपीएनपी, और जैसा कि यहां अन्य प्रतिक्रियाओं द्वारा भी उल्लेख किया गया है, डीएनएस भी शामिल है।
अधिकांश घुसपैठ का पता लगाने, घुसपैठ की रोकथाम, और लोड बैलेंसर उपकरण अड़चन हैं, "लाइन रेट" ट्रैफ़िक को बनाए रखने में असमर्थ हैं। साथ ही कई राउटर लाइन रेट और कुछ स्विच पर नहीं चल सकते हैं। ये अड़चनें, "पथ में सबसे छोटी चीज" होने के साथ, और स्वयं लिंक से छोटी हैं, ये कंजेशन-आधारित DDoS हमलों का वास्तविक लक्ष्य हैं। यदि आप किसी के फ़ायरवॉल को हमले के ट्रैफ़िक में व्यस्त रख सकते हैं, तो अच्छे ट्रैफ़िक के माध्यम से नहीं मिलेगा, भले ही लिंक पूर्ण न हों। और जो एक फ़ायरवॉल धीमा कर देता है वह प्रति सेकंड बिट्स की कुल संख्या नहीं है (जिसे बड़े संदेशों का उपयोग करके बढ़ाया जा सकता है, और EDNS0 और DNSSEC करेगा), बल्कि पैकेट की कुल संख्या प्रति सेकंड।
DNSSEC के बड़े संदेश आकार के कारण DNSSEC डीडीओएस को कैसे बदतर बनाता है, और इस बारे में सहज ज्ञान युक्त समझ में आता है और "अच्छा लगता है", यह केवल झूठा है। लेकिन अगर इस किंवदंती में सच्चाई का एक खंड था, तो असली जवाब अभी भी कहीं और होगा - क्योंकि DNSSEC हमेशा EDNS0 का उपयोग करता है, लेकिन EDNS0 का उपयोग DNSSEC के बिना किया जा सकता है], और कई सामान्य गैर- DNSSEC प्रतिक्रियाएं DNSSEC जितनी बड़ी हैं प्रतिक्रिया होगी। एसपीएफ नीतियों या डीकेआईएम कुंजी का प्रतिनिधित्व करने के लिए उपयोग किए जाने वाले TXT रिकॉर्ड पर विचार करें। या पते या एमएक्स रिकॉर्ड के किसी भी बड़े सेट। संक्षेप में, किसी भी हमले के लिए DNSSEC की आवश्यकता नहीं होती है, और इस तरह DDoS जोखिम के रूप में DNSSEC पर कोई ध्यान चूकना ऊर्जा है।
DNSSEC जोखिम है! इसका उपयोग करना कठिन है, और सही ढंग से उपयोग करना कठिन है। अक्सर इसे ज़ोन डेटा परिवर्तन, रजिस्ट्रार प्रबंधन, नए सर्वर इंस्टॉलेशन की स्थापना के लिए एक नया कार्य प्रवाह की आवश्यकता होती है। उन सभी का परीक्षण और दस्तावेजीकरण किया जाना चाहिए, और जब भी डीएनएस से संबंधित कुछ टूटता है, तो DNSSEC तकनीक की संभावित कारण के रूप में जांच की जानी चाहिए। और अंतिम परिणाम यदि आप सब कुछ सही करते हैं, तो यह होगा कि एक ज़ोन हस्ताक्षरकर्ता के रूप में, आपके स्वयं के ऑनलाइन सामग्री और सिस्टम आपके ग्राहकों के लिए अधिक नाजुक होंगे। एक दूर के सर्वर ऑपरेटर के रूप में, इसका परिणाम यह होगा कि हर किसी की सामग्री और सिस्टम आपके लिए अधिक नाजुक होंगे। इन जोखिमों को अक्सर लाभों से आगे निकलने के लिए देखा जाता है, क्योंकि एकमात्र लाभ DNS डेटा को इन-फ़्लाइट संशोधन या प्रतिस्थापन से बचाने के लिए है। यह हमला इतना दुर्लभ है कि इस सारे प्रयास के लायक नहीं है। हम सभी को उम्मीद है कि किसी न किसी दिन DNSSEC सर्वव्यापी हो जाएगा, क्योंकि नए अनुप्रयोगों से यह सक्षम हो जाएगा। लेकिन सच्चाई यह है कि आज, DNSSEC सभी लागत, कोई लाभ नहीं है, और उच्च जोखिम के साथ है।
इसलिए यदि आप DNSSEC का उपयोग नहीं करना चाहते हैं, तो यह आपका विशेषाधिकार है, लेकिन किसी को भी आपको भ्रमित न करने दें कि DNSSEC की समस्या DDoS एम्पलीफायर के रूप में इसकी भूमिका है। DDSSS एम्पलीफायर के रूप में DNSSEC की कोई आवश्यक भूमिका नहीं है; DNS को DDoS एम्पलीफायर के रूप में उपयोग करने के लिए अन्य सस्ते बेहतर तरीके हैं। यदि आप DNSSEC का उपयोग नहीं करना चाहते हैं, तो ऐसा होने दें क्योंकि आपने अभी तक कूल एड को पिया नहीं है और आप अंतिम-प्रस्तावक (बाद में) बनना चाहते हैं, न कि पहले वाला (अब)।
DNS कंटेंट सर्वर, जिसे कभी-कभी "अथॉरिटी सर्वर" कहा जाता है, को DNS रिफ्लेक्टिंग एम्पलीफायरों के रूप में दुरुपयोग करने से रोका जाना चाहिए, क्योंकि DNS UDP का उपयोग करता है, और क्योंकि UDP स्पूफ किए गए स्रोत पैकेट द्वारा अपमानजनक है। इस तरह के दुरुपयोग के खिलाफ अपने डीएनएस सामग्री सर्वर को सुरक्षित करने का तरीका यूडीपी को ब्लॉक करना नहीं है, न ही टीसीपी (टीसी = 1 ट्रिक का उपयोग करना) के लिए मजबूर करना, न ही किसी भी क्वेरी को ब्लॉक करना, न ही डीएनएसएसईसी से बाहर निकलना। उन चीजों में से कोई भी आपकी मदद नहीं करेगा। आपको DNS Response Rate Limiting की जरूरत है(DNS RRL), एक पूरी तरह से मुक्त तकनीक है जो अब कई ओपन सोर्स नाम सर्वरों में मौजूद है जिसमें BIND, Knot, और NSD शामिल हैं। आप अपने फ़ायरवॉल के साथ DNS प्रतिबिंब समस्या को ठीक नहीं कर सकते, क्योंकि केवल सामग्री-जागरूक मिडबॉक्स जैसे DNS सर्वर स्वयं (RRL जोड़ा गया) अनुरोध के बारे में पर्याप्त जानता है कि यह सटीक रूप से अनुमान लगाने में सक्षम है कि क्या हमला है और क्या नहीं। मैं फिर से जोर देना चाहता हूं: डीएनएस आरआरएल मुफ्त है, और प्रत्येक प्राधिकरण सर्वर को इसे चलाना चाहिए।
समापन में, मैं अपने पूर्वाग्रहों को उजागर करना चाहता हूं। मैंने अधिकांश BIND8 लिखा, मैंने EDNS0 का आविष्कार किया, और मैंने DNS RRL का सह-आविष्कार किया। मैं 1988 से DNS पर 20-कुछ के रूप में काम कर रहा हूं, और अब मैं 50-कुछ के बारे में क्रोधी हूं, आधा-पके हुए समाधान के लिए कम और कम धैर्य के साथ गलतफहमी समस्याओं का समाधान। कृपया मेरी क्षमायाचना स्वीकार करें यदि यह संदेश बहुत अधिक लगता है, "हे तुम बच्चों, मेरे लॉन से दूर हो जाओ!"