কী ধরণের সুরক্ষা দুর্বলতা ডিএনএসএসইসি প্রকাশ করে?


28

আমি আমার ডিএনএস অঞ্চলকে ডিএনএসএসইসির সাথে সই করার পরিকল্পনা করছিলাম। আমার অঞ্চল, রেজিস্ট্রার এবং আমার ডিএনএস সার্ভার (BIND9) সমস্ত DNSSEC সমর্থন করে। কেবলমাত্র ডিএনএসএসইসি সমর্থন করেন না তিনি হলেন আমার গৌণ নেমসার্ভার সরবরাহকারী (যথা buddyns.com )।

তাদের ওয়েবসাইটে , তারা ডিএনএসএসইসি সম্পর্কিত এটি জানিয়েছে:

বাডিএনএস ডিএনএসইসিকে সমর্থন করে না কারণ এটি একটি উচ্চ-ভলিউম ডিএনএস পরিষেবাটিতে অসমর্থিত কিছু দুর্বলতাগুলিকে প্রকাশ করে।

ঠিক আছে, আমি ভেবেছিলাম ডিএনএসএসইসির ব্যবহার বর্তমানে কোনওভাবে প্রশ্নবিদ্ধ কারণ বেশিরভাগ সমাধানকারীরা রেকর্ডগুলি সঠিকভাবে স্বাক্ষরিত হয়েছে কিনা তা পরীক্ষা করে না। আমি যা জানতাম না তা ছিল - তাদের বিবৃতি অনুসারে - মনে হচ্ছে এটি সরবরাহ করা কোনওরকমের নিরাপত্তার দুর্বলতা প্রকাশ করবে।

এই "দুর্বল" কী কী?


8
আরও ক্লুফুল ডিএনএস সরবরাহকারীর সন্ধান করুন - তাদের অজুহাত উত্সাহী।
Alnitak

উত্তর:


103

ডিএনএসএসইসির কিছু ঝুঁকি রয়েছে তবে এগুলি সরাসরি প্রতিফলন বা পরিবর্ধনের সাথে সম্পর্কিত নয়। EDNS0 বার্তা আকারের প্রসারণ এই ক্ষেত্রে একটি লাল উত্তাপ। আমাকে বিস্তারিত বলতে দাও.

প্যাকেটের যে কোনও বিনিময় যা পরিচয়ের পূর্ববর্তী প্রমাণের উপর নির্ভর করে না তা ডিডোএস আক্রমণকারীদের দ্বারা আপত্তিজনক হতে পারে যারা সেই অদৃশ্য প্যাকেট বিনিময়কে প্রতিফলক হিসাবে এবং সম্ভবত একটি পরিবর্ধক হিসাবে ব্যবহার করতে পারে। উদাহরণস্বরূপ, আইসিএমপি ("পিং" এর পিছনে প্রোটোকল) এভাবে আপত্তিজনক ব্যবহার করা যেতে পারে। যেমন টিসিপি এসওয়াইএন প্যাকেট, যা 40 টি এসওয়াইএন-এসি প্যাকেট চেয়েছে এমনকি এসআইএন-এন-এসকে প্যাকেটগুলি চায় না এমন কোনও ভুক্তভোগীর কাছ থেকে এসআইএন-র স্পুফ করা হয়েছিল কিনা। এবং অবশ্যই, সমস্ত ইউডিপি পরিষেবাগুলি এনটিপি, এসএসডিপি, ইউপিএনপি এবং ডিএনএস সহ এখানে অন্যান্য প্রতিক্রিয়া দ্বারা উল্লিখিত হিসাবে এই আক্রমণে ঝুঁকিপূর্ণ।

বেশিরভাগ অনুপ্রবেশ সনাক্তকরণ, অনুপ্রবেশ প্রতিরোধ এবং লোড ব্যালেন্সার অ্যাপ্লিকেশনগুলি বাধা রয়েছে, "লাইন রেট" ট্র্যাফিক রাখতে অক্ষম। এছাড়াও অনেক রাউটার লাইন হারে চালাতে পারে না, এবং কিছু স্যুইচ। এই পথে বাধা, "পথে" সবচেয়ে ক্ষুদ্রতম জিনিস এবং লিঙ্কগুলির থেকে নিজের চেয়ে ছোট হওয়া, যানজট-ভিত্তিক ডিডোএস আক্রমণগুলির আসল লক্ষ্য। যদি আপনি কারও কারও ফায়ারওয়ালকে আক্রমণে ট্র্যাফিকে ব্যস্ত রাখতে পারেন তবে লিঙ্কগুলি পূর্ণ না হলেও, ভাল ট্র্যাফিকের মধ্যে দিয়ে যায়। এবং যা ফায়ারওয়ালকে ধীর করে দেয় তা প্রতি সেকেন্ডের মোট বিটের সংখ্যা নয় (যা বৃহত্তর বার্তা ব্যবহার করে বাড়ানো যেতে পারে, এবং EDNS0 এবং DNSSEC করবে), বরং প্রতি সেকেন্ডে মোট প্যাকেটের সংখ্যা।

DNSSEC এর বৃহত্তর বার্তার আকারের কারণে DNSSEC কীভাবে DDoS কে আরও খারাপ করে তোলে সে সম্পর্কে অনেকগুলি শহুরে কিংবদন্তি রয়েছে এবং এটি স্বজ্ঞাত জ্ঞান তৈরি করে এবং "ভাল লাগছে", এটি কেবল মিথ্যা is তবে এই কিংবদন্তির কাছে যদি সত্যের ছাঁটাই থাকে তবে প্রকৃত উত্তরটি অন্য কোথাও উপস্থিত থাকতে পারে - [কারণ DNSSEC সর্বদা EDNS0 ব্যবহার করে তবে EDNS0 টি DNSSEC ছাড়া ব্যবহার করা যেতে পারে], এবং অনেকগুলি নন-ডিএনএসএসইসি প্রতিক্রিয়া ডিএনএসএসইসি-এর মতোই বড় প্রতিক্রিয়া হবে। এসপিএফ নীতি বা DKIM কী উপস্থাপন করতে ব্যবহৃত TXT রেকর্ডগুলি বিবেচনা করুন। অথবা ঠিকানার কোনও বড় সেট বা এমএক্স রেকর্ডস। সংক্ষেপে, কোনও আক্রমণে ডিএনএসএসইসি প্রয়োজন হয় না এবং এইভাবে ডিএনএসএসইসি-তে কোনও ডিডিওএস ঝুঁকি হিসাবে ফোকাস দেওয়া অপ্রয়োজনীয় শক্তি।

ডিএনএসএসইসির ঝুঁকি রয়েছে! এটি ব্যবহার করা শক্ত এবং সঠিকভাবে ব্যবহার করা আরও শক্ত। প্রায়শই এটির জন্য জোন ডেটা পরিবর্তন, রেজিস্ট্রার পরিচালনা, নতুন সার্ভার ইনস্ট্যান্স ইনস্টল করার জন্য একটি নতুন কাজের প্রবাহ প্রয়োজন। এর সবগুলিই পরীক্ষা ও নথিভুক্ত করতে হয় এবং যখনই ডিএনএসের সাথে সম্পর্কিত কোনও কিছু ভেঙে যায়, তখন ডিএনএসএসইসি প্রযুক্তিটিকে একটি সম্ভাব্য কারণ হিসাবে তদন্ত করতে হবে। এবং যদি আপনি সবকিছু ঠিকঠাক করেন তবে শেষ ফলাফলটি হ'ল, একজন জোন স্বাক্ষরকারী হিসাবে, আপনার নিজস্ব অনলাইন সামগ্রী এবং সিস্টেমগুলি আপনার গ্রাহকদের কাছে আরও ভঙ্গুর হবে। সুদূরপ্রান্তের সার্ভার অপারেটর হিসাবে, ফলাফলটি হবে, যে সকলের সামগ্রী এবং সিস্টেমগুলি আপনার কাছে আরও ভঙ্গুর হবে। এই ঝুঁকিগুলি প্রায়শই সুবিধাগুলি ছাড়িয়ে যেতে দেখা যায়, কারণ একমাত্র সুবিধা হ'ল ডিএনএসের ডেটা ইন-ফ্লাইট পরিবর্তন বা প্রতিস্থাপন থেকে রক্ষা করা। এই আক্রমণ এত দুর্লভ যে এই সমস্ত চেষ্টার মূল্য না হওয়া উচিত। আমরা সকলেই আশা করি যে নতুন অ্যাপ্লিকেশন এটি সক্ষম করবে বলেই ডিএনএসএসইসি কোনও দিন সর্বব্যাপী হয়ে উঠবে। তবে সত্যটি হ'ল আজ, ডিএনএসএসইসি সমস্ত ব্যয়বহুল, কোনও লাভ নেই এবং উচ্চ ঝুঁকির সাথে রয়েছে।

সুতরাং আপনি যদি ডিএনএসএসইসি ব্যবহার করতে না চান তবে এটি আপনার পূর্বানুমারী, তবে কেউ আপনাকে বিভ্রান্ত করতে দেবেন না যে ডিএনএসএসইসির সমস্যাটি ডিডিওএস পরিবর্ধক হিসাবে তার ভূমিকা। ডিডিএসইসির ডিডিওএস পরিবর্ধক হিসাবে কোনও প্রয়োজনীয় ভূমিকা নেই; ডিএনএস-র পরিবর্ধক হিসাবে ডিএনএসকে ব্যবহার করার আরও সস্তা আরও ভাল উপায় রয়েছে। আপনি যদি ডিএনএসএসইসি ব্যবহার করতে না চান, তবে এটি হতে দিন কারণ আপনি এখনও কুল এইড পান করেন নি এবং আপনি সর্বশেষ-মুভার (পরে) প্রথম মুভার (এখন) হতে চান না।

DNS কনটেন্ট সার্ভারগুলি, কখনও কখনও "কর্তৃপক্ষ সার্ভার" নামে পরিচিত, অবশ্যই DNS প্রতিবিম্বকে প্রতিবিম্বিত হিসাবে অপব্যবহার করা থেকে বিরত থাকতে হবে, কারণ DNS ইউডিপি ব্যবহার করে, এবং স্পুফড-সোর্স প্যাকেটের মাধ্যমে ইউডিপি আপত্তিজনক। আপনার ডিএনএস সামগ্রী সার্ভারকে এই ধরণের অপব্যবহারের বিরুদ্ধে সুরক্ষিত করার উপায় ইউডিপিকে অবরুদ্ধ করা বা টিসিপি (টিসি = 1 ট্রিক ব্যবহার করে) জোর করে না, বা কোনও জিজ্ঞাসা অবরুদ্ধ করা বা ডিএনএসএসসি থেকে বেরিয়ে আসা নয়। এই জিনিসগুলির কোনওটিই আপনাকে সাহায্য করবে না। আপনার ডিএনএস প্রতিক্রিয়া হার সীমাবদ্ধতা প্রয়োজন(ডিএনএস আরআরএল), একটি সম্পূর্ণ নিখরচায় প্রযুক্তি যা এখন বিআইএনডি, নট এবং এনএসডি সহ বেশ কয়েকটি ওপেন সোর্স নেম সার্ভারে উপস্থিত। আপনি আপনার ফায়ারওয়ালের সাথে ডিএনএস প্রতিবিম্ব সমস্যাটি সমাধান করতে পারবেন না, কারণ কেবলমাত্র একটি বিষয়বস্তু-সচেতন মিডলবক্স যেমন নিজেই ডিএনএস সার্ভার (আরআরএল যুক্ত) কেবলমাত্র একটি আক্রমণ কী এবং কী কী তা সঠিকভাবে অনুমান করতে সক্ষম হওয়ার অনুরোধ সম্পর্কে যথেষ্ট জানেন। আমি আবারও জোর দিতে চাই: ডিএনএস আরআরএল বিনামূল্যে, এবং প্রতিটি কর্তৃপক্ষের সার্ভার এটি চালানো উচিত।

সমাপ্তিতে, আমি আমার পক্ষপাতিত্বগুলি প্রকাশ করতে চাই। আমি বেশিরভাগ বিআইএনডি 8 লিখেছি, আমি EDNS0 আবিষ্কার করেছি এবং আমি ডিএনএস আরআরএল সহ-আবিষ্কার করেছি। আমি 1988 সাল থেকে 20-কিছু হিসাবে ডিএনএস-এ কাজ করছি এবং ভুল বোঝাবুঝির সমস্যার অর্ধ-বেকড সমাধানের জন্য কম এবং কম ধৈর্য সহ আমি এখন 50-টি-ময়দানী। যদি এই বার্তাটি "হেই বাচ্চারা, আমার লন অফা কর!"


7
নিশ্চিত হয়েই যে এটি রিয়েল পল ™
অ্যান্ড্রু বি

1
@ অ্যান্ড্রুবি যা সত্যিকারের পল হতে পারে না his, তার পোস্টে বড় বড় অক্ষর রয়েছে! ;-)
আলনিটাক

6
@ ক্যাস্পার্ডে বর্তমানে আইইটিএফ-এর মাধ্যমে অগ্রসর হওয়া "খসড়া-আইটিএফ-ডেনসপ-কুকিজ" দেখুন।
Alnitak

4
ক্যাস্পার্ড: [একটি ডিএনএস সার্ভার যা রেট সীমাবদ্ধ করে সে নিজেই ডিডোএস আক্রমণগুলির সহজ টার্গেটে পরিণত হবে]] আমি জানি আমি একজন বোকা, তবে আমি সেই বোকা নই। ডিএনএস আরআরএল আপনাকে কোনওভাবেই কম সুরক্ষিত করে তোলে। এটি সমস্ত পরিচিত আক্রমণগুলির বিরুদ্ধে প্রতিরক্ষা নয়, তবে এটি কোনও নতুন আক্রমণকারীর স্রষ্টা।
পল ভিক্সি

2
ইনস্টলড বেসকে ক্যাস্পার্ড করুন সর্বদা একটি সমস্যা - এটির কোনও সমাধান নেই যা মেনে চলতে থাকা ইনস্টল বেসেও কাজ করবে, অ-অনুবর্তী সিস্টেমগুলিকে একা ছেড়ে দিন। সুসংবাদটি হ'ল ইডিএনএস কুকি সমর্থনটি ইতিমধ্যে BIND 9.11 এর কোডবেজে রয়েছে এবং (এআইআইআইআই) ডিফল্টরূপে চালু হবে।
Alnitak

7

আমি দুটি নির্দিষ্ট দুর্বলতা জানি। হাকান দ্বারা উল্লিখিত প্রতিবিম্ব / পরিবর্ধন রয়েছে। এবং জোন গণনার সম্ভাবনা রয়েছে।

প্রতিবিম্ব / প্রশস্তকরণ

প্রতিচ্ছবি হ'ল আক্রমণগুলি যেখানে কোনও স্পুফড সোর্স আইপি দিয়ে অনুরোধগুলি একটি ডিএনএস সার্ভারে প্রেরণ করা হয়। হোস্টটি স্পোফ করা হচ্ছে আক্রমণটির প্রাথমিক শিকার। ডিএনএস সার্ভার অজান্তেই কোনও হোস্টের কাছে উত্তরটি প্রেরণ করবে যা এটি কখনও জিজ্ঞাসা করেনি।

প্রশস্তকরণ কোনও প্রতিচ্ছবি আক্রমণকে বোঝায় যেখানে প্রতিবিম্বিত প্রতিক্রিয়াটি মূল অনুরোধের চেয়ে আরও বেশি বাইট বা আরও বেশি প্যাকেট ধারণ করে। এইভাবে DNSSEC + EDNS0 প্রশস্তকরণের আগে কেবল 512 বাইট পর্যন্ত প্রেরণের অনুমতি দেওয়া হত। DNSSEC + EDNS0 এর মাধ্যমে 4096 বাইট প্রেরণ করা সম্ভব, যা সাধারণত 3-4 প্যাকেটগুলি স্প্যান করে।

এই আক্রমণগুলির জন্য সম্ভাব্য প্রশমনগুলি রয়েছে, তবে আমি কোনও ডিএনএস সার্ভার সেগুলি প্রয়োগ করে তা জানি না।

যখন ক্লায়েন্টের আইপি নিশ্চিত করা হয়নি, ক্লায়েন্টকে টিসিপিতে স্যুইচ করতে বাধ্য করার জন্য ডিএনএস সার্ভার একটি সংক্ষিপ্ত প্রতিক্রিয়া পাঠাতে পারে। সংক্ষিপ্ত প্রতিক্রিয়া অনুরোধের মতো সংক্ষিপ্ত হতে পারে (বা ক্লায়েন্ট যদি EDNS0 ব্যবহার করে এবং প্রতিক্রিয়া না দেয় তবে সংক্ষিপ্ত) যা প্রশস্তকরণটি সরিয়ে দেয়।

কোনও ক্লায়েন্ট আইপি যা কোনও টিসিপি হ্যান্ডশেক সম্পূর্ণ করে এবং সংযোগে ডিএনএস অনুরোধ প্রেরণ করে তা অস্থায়ীভাবে শ্বেত তালিকাভুক্ত করা যেতে পারে। একবার শ্বেত তালিকাভুক্ত হলে আইপি ইউডিপি কোয়েরি প্রেরণ করতে এবং 512 বাইট (EDNS0 ব্যবহার করে 4096 বাইট) পর্যন্ত ইউডিপি প্রতিক্রিয়া পেতে পারে। যদি কোনও ইউডিপি প্রতিক্রিয়া আইসিএমপি ত্রুটি বার্তাকে ট্রিগার করে, আইপিটি আবার হোয়াইটলিস্ট থেকে সরানো হবে।

ব্ল্যাকলিস্ট ব্যবহার করেও এই পদ্ধতিটি বিপরীত করা যেতে পারে, যার অর্থ হ'ল ক্লায়েন্ট আইপিগুলিকে ডিফল্টরূপে ইউডিপি-র উপর জিজ্ঞাসা করার অনুমতি দেওয়া হয় তবে কোনও আইসিএমপি ত্রুটি বার্তা আইপিটিকে কালো তালিকাভুক্ত করার জন্য ব্ল্যাকলিস্ট থেকে নামার জন্য একটি টিসিপি কোয়ের প্রয়োজন হয়।

সমস্ত প্রাসঙ্গিক আইপিভি 4 ঠিকানা সম্বলিত একটি বিটম্যাপ 444 এমবি মেমরির মধ্যে সংরক্ষণ করা যেতে পারে। আইপিভি addresses ঠিকানা অন্য কোনও উপায়ে সংরক্ষণ করতে হবে।

অঞ্চল গণনা

জোনের গণনা প্রথম স্থানে একটি দুর্বলতা কিনা তা বিতর্কের বিষয়। তবে আপনি যদি চান না যে আপনার অঞ্চলের সমস্ত নাম জনসাধারণের জ্ঞান হোক তবে আপনি সম্ভবত এটি একটি দুর্বলতা হিসাবে বিবেচনা করবেন। জোন গণনাটি বেশিরভাগ এনএসইসি 3 রেকর্ড ব্যবহারের মাধ্যমে হ্রাস করা যায়।

এনএসইসি 3 ব্যবহার করার পরেও যে সমস্যাটি এখনও অব্যাহত রয়েছে তা হ'ল একজন আক্রমণকারী কেবলমাত্র এলোমেলো নামগুলির জন্য অনুসন্ধান করে প্রতিটি লেবেলের হ্যাশ সন্ধান করতে পারে। একবার আক্রমণকারী সমস্ত হ্যাশগুলি পেয়ে গেলে সেই হ্যাশগুলিতে একটি অফ-লাইন ব্রুট ফোর্স আক্রমণ করা যায়।

অঞ্চল গণনার বিরুদ্ধে একটি যথাযথ প্রতিরক্ষার জন্য প্রতিটি অনুমানের জন্য কোনও আক্রমণকারীকে অনুমোদনযোগ্য সার্ভারে একটি কোয়েরি করা প্রয়োজন। তবে ডিএনএসএসইসিতে এ জাতীয় কোনও প্রতিরক্ষা বিদ্যমান নেই।


2
জোনের গণনা পরিষেবা সরবরাহকারীর জন্য উদ্বেগের মতো বলে মনে হচ্ছে না, যদিও? (জোন "মালিক" তাদের দৃষ্টিভঙ্গি এবং পছন্দগুলির উপর নির্ভর করে বরং সম্ভাব্য উদ্বেগ))
হ্যাঙ্কান লিন্ডকভিস্ট

@ হাকানলিন্ডকভিস্ট ঠিক আছে আমার প্রশ্নটি যতটা ইচ্ছা চেয়েছিল তার চেয়ে বেশি নির্দিষ্ট হতে পারে। আমি এই তথ্য খুব আকর্ষণীয় পেয়েছি।
জোহান বাউর

টিসিপিকে চেষ্টা করে এমন কোনও ক্লায়েন্টকে শ্বেত তালিকাভুক্ত করার ধারণাটি বিবেচিত হয়েছে, তবে দৃশ্যত পেটেন্ট করা হয়েছে।
আলনিটাক

4

মনে মনে যে জিনিসটি আসে তা আসলে ডিএনএসএসইসি নির্দিষ্ট নয় বরং ডিএনএসইসি-র এক্সটেনশন সম্পর্কিত, যা ডিএনএসএসইসি নির্ভর করে।

EDNS0 বৃহত্তর ইউডিপি পে-লোডের অনুমতি দেয় এবং বৃহত্তর ইউডিপি পে-লোডগুলি খারাপ ট্র্যাফিকের প্রতিবিম্ব / পরিবর্ধনের আক্রমণকে অনুমতি দিতে পারে।


বৈধতা রোধকারীদের শতাংশ কী তা আমি জানি না তবে জনপ্রিয় নেমসার্ভার সফ্টওয়্যার ডিফল্টরূপে বৈধকরণের সাথে প্রেরণ করা মনে হয় এবং সহজেই কোনও কমনকাস্ট এবং গুগল পাবলিক রিসোলভারগুলির মতো বৈধতা যাচাইয়ের জন্য উন্মুক্ত এমন কিছু উল্লেখযোগ্য পরিষেবা সরবরাহকারী পাবেন।

এর উপর ভিত্তি করে, আমি মনে করব যে বৈধকরণের সমাধানের পরিমাণগুলি স্বাক্ষরিত অঞ্চলের শতাংশের তুলনায় সম্ভবত উল্লেখযোগ্যভাবে ভাল আকারে।


হ্যাঁ, আমি ভাবছিলাম যে গরুর মাংস সত্যিই EDNS এর সাথেও থাকতে পারে। এটির পরিবর্তে ডিএনএসএসইসির সাথে হাড়টি বেছে নেওয়া অবাক করা বিষয়।
অ্যান্ড্রু বি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.