ডিএনএসএসইসির কিছু ঝুঁকি রয়েছে তবে এগুলি সরাসরি প্রতিফলন বা পরিবর্ধনের সাথে সম্পর্কিত নয়। EDNS0 বার্তা আকারের প্রসারণ এই ক্ষেত্রে একটি লাল উত্তাপ। আমাকে বিস্তারিত বলতে দাও.
প্যাকেটের যে কোনও বিনিময় যা পরিচয়ের পূর্ববর্তী প্রমাণের উপর নির্ভর করে না তা ডিডোএস আক্রমণকারীদের দ্বারা আপত্তিজনক হতে পারে যারা সেই অদৃশ্য প্যাকেট বিনিময়কে প্রতিফলক হিসাবে এবং সম্ভবত একটি পরিবর্ধক হিসাবে ব্যবহার করতে পারে। উদাহরণস্বরূপ, আইসিএমপি ("পিং" এর পিছনে প্রোটোকল) এভাবে আপত্তিজনক ব্যবহার করা যেতে পারে। যেমন টিসিপি এসওয়াইএন প্যাকেট, যা 40 টি এসওয়াইএন-এসি প্যাকেট চেয়েছে এমনকি এসআইএন-এন-এসকে প্যাকেটগুলি চায় না এমন কোনও ভুক্তভোগীর কাছ থেকে এসআইএন-র স্পুফ করা হয়েছিল কিনা। এবং অবশ্যই, সমস্ত ইউডিপি পরিষেবাগুলি এনটিপি, এসএসডিপি, ইউপিএনপি এবং ডিএনএস সহ এখানে অন্যান্য প্রতিক্রিয়া দ্বারা উল্লিখিত হিসাবে এই আক্রমণে ঝুঁকিপূর্ণ।
বেশিরভাগ অনুপ্রবেশ সনাক্তকরণ, অনুপ্রবেশ প্রতিরোধ এবং লোড ব্যালেন্সার অ্যাপ্লিকেশনগুলি বাধা রয়েছে, "লাইন রেট" ট্র্যাফিক রাখতে অক্ষম। এছাড়াও অনেক রাউটার লাইন হারে চালাতে পারে না, এবং কিছু স্যুইচ। এই পথে বাধা, "পথে" সবচেয়ে ক্ষুদ্রতম জিনিস এবং লিঙ্কগুলির থেকে নিজের চেয়ে ছোট হওয়া, যানজট-ভিত্তিক ডিডোএস আক্রমণগুলির আসল লক্ষ্য। যদি আপনি কারও কারও ফায়ারওয়ালকে আক্রমণে ট্র্যাফিকে ব্যস্ত রাখতে পারেন তবে লিঙ্কগুলি পূর্ণ না হলেও, ভাল ট্র্যাফিকের মধ্যে দিয়ে যায়। এবং যা ফায়ারওয়ালকে ধীর করে দেয় তা প্রতি সেকেন্ডের মোট বিটের সংখ্যা নয় (যা বৃহত্তর বার্তা ব্যবহার করে বাড়ানো যেতে পারে, এবং EDNS0 এবং DNSSEC করবে), বরং প্রতি সেকেন্ডে মোট প্যাকেটের সংখ্যা।
DNSSEC এর বৃহত্তর বার্তার আকারের কারণে DNSSEC কীভাবে DDoS কে আরও খারাপ করে তোলে সে সম্পর্কে অনেকগুলি শহুরে কিংবদন্তি রয়েছে এবং এটি স্বজ্ঞাত জ্ঞান তৈরি করে এবং "ভাল লাগছে", এটি কেবল মিথ্যা is তবে এই কিংবদন্তির কাছে যদি সত্যের ছাঁটাই থাকে তবে প্রকৃত উত্তরটি অন্য কোথাও উপস্থিত থাকতে পারে - [কারণ DNSSEC সর্বদা EDNS0 ব্যবহার করে তবে EDNS0 টি DNSSEC ছাড়া ব্যবহার করা যেতে পারে], এবং অনেকগুলি নন-ডিএনএসএসইসি প্রতিক্রিয়া ডিএনএসএসইসি-এর মতোই বড় প্রতিক্রিয়া হবে। এসপিএফ নীতি বা DKIM কী উপস্থাপন করতে ব্যবহৃত TXT রেকর্ডগুলি বিবেচনা করুন। অথবা ঠিকানার কোনও বড় সেট বা এমএক্স রেকর্ডস। সংক্ষেপে, কোনও আক্রমণে ডিএনএসএসইসি প্রয়োজন হয় না এবং এইভাবে ডিএনএসএসইসি-তে কোনও ডিডিওএস ঝুঁকি হিসাবে ফোকাস দেওয়া অপ্রয়োজনীয় শক্তি।
ডিএনএসএসইসির ঝুঁকি রয়েছে! এটি ব্যবহার করা শক্ত এবং সঠিকভাবে ব্যবহার করা আরও শক্ত। প্রায়শই এটির জন্য জোন ডেটা পরিবর্তন, রেজিস্ট্রার পরিচালনা, নতুন সার্ভার ইনস্ট্যান্স ইনস্টল করার জন্য একটি নতুন কাজের প্রবাহ প্রয়োজন। এর সবগুলিই পরীক্ষা ও নথিভুক্ত করতে হয় এবং যখনই ডিএনএসের সাথে সম্পর্কিত কোনও কিছু ভেঙে যায়, তখন ডিএনএসএসইসি প্রযুক্তিটিকে একটি সম্ভাব্য কারণ হিসাবে তদন্ত করতে হবে। এবং যদি আপনি সবকিছু ঠিকঠাক করেন তবে শেষ ফলাফলটি হ'ল, একজন জোন স্বাক্ষরকারী হিসাবে, আপনার নিজস্ব অনলাইন সামগ্রী এবং সিস্টেমগুলি আপনার গ্রাহকদের কাছে আরও ভঙ্গুর হবে। সুদূরপ্রান্তের সার্ভার অপারেটর হিসাবে, ফলাফলটি হবে, যে সকলের সামগ্রী এবং সিস্টেমগুলি আপনার কাছে আরও ভঙ্গুর হবে। এই ঝুঁকিগুলি প্রায়শই সুবিধাগুলি ছাড়িয়ে যেতে দেখা যায়, কারণ একমাত্র সুবিধা হ'ল ডিএনএসের ডেটা ইন-ফ্লাইট পরিবর্তন বা প্রতিস্থাপন থেকে রক্ষা করা। এই আক্রমণ এত দুর্লভ যে এই সমস্ত চেষ্টার মূল্য না হওয়া উচিত। আমরা সকলেই আশা করি যে নতুন অ্যাপ্লিকেশন এটি সক্ষম করবে বলেই ডিএনএসএসইসি কোনও দিন সর্বব্যাপী হয়ে উঠবে। তবে সত্যটি হ'ল আজ, ডিএনএসএসইসি সমস্ত ব্যয়বহুল, কোনও লাভ নেই এবং উচ্চ ঝুঁকির সাথে রয়েছে।
সুতরাং আপনি যদি ডিএনএসএসইসি ব্যবহার করতে না চান তবে এটি আপনার পূর্বানুমারী, তবে কেউ আপনাকে বিভ্রান্ত করতে দেবেন না যে ডিএনএসএসইসির সমস্যাটি ডিডিওএস পরিবর্ধক হিসাবে তার ভূমিকা। ডিডিএসইসির ডিডিওএস পরিবর্ধক হিসাবে কোনও প্রয়োজনীয় ভূমিকা নেই; ডিএনএস-র পরিবর্ধক হিসাবে ডিএনএসকে ব্যবহার করার আরও সস্তা আরও ভাল উপায় রয়েছে। আপনি যদি ডিএনএসএসইসি ব্যবহার করতে না চান, তবে এটি হতে দিন কারণ আপনি এখনও কুল এইড পান করেন নি এবং আপনি সর্বশেষ-মুভার (পরে) প্রথম মুভার (এখন) হতে চান না।
DNS কনটেন্ট সার্ভারগুলি, কখনও কখনও "কর্তৃপক্ষ সার্ভার" নামে পরিচিত, অবশ্যই DNS প্রতিবিম্বকে প্রতিবিম্বিত হিসাবে অপব্যবহার করা থেকে বিরত থাকতে হবে, কারণ DNS ইউডিপি ব্যবহার করে, এবং স্পুফড-সোর্স প্যাকেটের মাধ্যমে ইউডিপি আপত্তিজনক। আপনার ডিএনএস সামগ্রী সার্ভারকে এই ধরণের অপব্যবহারের বিরুদ্ধে সুরক্ষিত করার উপায় ইউডিপিকে অবরুদ্ধ করা বা টিসিপি (টিসি = 1 ট্রিক ব্যবহার করে) জোর করে না, বা কোনও জিজ্ঞাসা অবরুদ্ধ করা বা ডিএনএসএসসি থেকে বেরিয়ে আসা নয়। এই জিনিসগুলির কোনওটিই আপনাকে সাহায্য করবে না। আপনার ডিএনএস প্রতিক্রিয়া হার সীমাবদ্ধতা প্রয়োজন(ডিএনএস আরআরএল), একটি সম্পূর্ণ নিখরচায় প্রযুক্তি যা এখন বিআইএনডি, নট এবং এনএসডি সহ বেশ কয়েকটি ওপেন সোর্স নেম সার্ভারে উপস্থিত। আপনি আপনার ফায়ারওয়ালের সাথে ডিএনএস প্রতিবিম্ব সমস্যাটি সমাধান করতে পারবেন না, কারণ কেবলমাত্র একটি বিষয়বস্তু-সচেতন মিডলবক্স যেমন নিজেই ডিএনএস সার্ভার (আরআরএল যুক্ত) কেবলমাত্র একটি আক্রমণ কী এবং কী কী তা সঠিকভাবে অনুমান করতে সক্ষম হওয়ার অনুরোধ সম্পর্কে যথেষ্ট জানেন। আমি আবারও জোর দিতে চাই: ডিএনএস আরআরএল বিনামূল্যে, এবং প্রতিটি কর্তৃপক্ষের সার্ভার এটি চালানো উচিত।
সমাপ্তিতে, আমি আমার পক্ষপাতিত্বগুলি প্রকাশ করতে চাই। আমি বেশিরভাগ বিআইএনডি 8 লিখেছি, আমি EDNS0 আবিষ্কার করেছি এবং আমি ডিএনএস আরআরএল সহ-আবিষ্কার করেছি। আমি 1988 সাল থেকে 20-কিছু হিসাবে ডিএনএস-এ কাজ করছি এবং ভুল বোঝাবুঝির সমস্যার অর্ধ-বেকড সমাধানের জন্য কম এবং কম ধৈর্য সহ আমি এখন 50-টি-ময়দানী। যদি এই বার্তাটি "হেই বাচ্চারা, আমার লন অফা কর!"