DNSSEC에는 몇 가지 위험이 있지만, 반사 나 증폭과 직접 관련이 없습니다. 이 경우 EDNS0 메시지 크기 확장은 빨간색 청어입니다. 설명하겠습니다.
이전의 신원 증명에 의존하지 않는 패킷 교환은 인증되지 않은 패킷 교환을 리플렉터 및 증폭기로 사용할 수있는 DDoS 공격자가 남용 할 수 있습니다. 예를 들어 ICMP ( "ping"뒤에있는 프로토콜)는 이러한 방식으로 남용 될 수 있습니다. TCP SYN 패킷은 SYN-ACK 패킷을 원하지 않는 일부 희생자로부터 SYN이 스푸핑 된 경우에도 최대 40 개의 SYN-ACK 패킷을 요청합니다. 물론, 모든 UDP 서비스는 NTP, SSDP, uPNP를 포함한이 공격에 취약하며 DNS를 포함한 여기의 다른 응답에서 언급 한 바와 같습니다.
대부분의 침입 탐지, 침입 방지 및로드 밸런서 어플라이언스는 병목 현상이 발생하여 "라인 속도"트래픽을 유지할 수 없습니다. 또한 많은 라우터가 회선 속도로 작동 할 수없고 일부 스위치도 실행할 수 없습니다. 이러한 병목 현상은 "경로에서"가장 작고 링크 자체보다 작기 때문에 정체 기반 DDoS 공격의 실제 대상입니다. 공격 트래픽으로 누군가의 방화벽을 사용중인 상태로 유지할 수 있으면 링크가 가득 차지 않더라도 트래픽이 제대로 전달되지 않습니다. 방화벽을 느리게 만드는 것은 초당 총 비트 수 (더 큰 메시지를 사용하여 증가 할 수 있고 EDNS0 및 DNSSEC가 수행함)가 아니라 초당 총 패킷 수입니다.
DNSSEC의 큰 메시지 크기로 인해 DNSSEC가 DDoS를 악화시키는 방법에 대한 도시의 전설이 많이 있습니다. 이는 직관적 인 의미와 "좋은 소리"이지만, 그것은 거짓입니다. 그러나이 범례에 대한 진실이 파헤쳐 졌다면 실제 대답은 여전히 다른 곳에 놓여있을 것입니다. [DNSSEC는 항상 EDNS0을 사용하지만 EDNS0은 DNSSEC없이 사용할 수 있기 때문에] 많은 비 DNSSEC 응답은 DNSSEC만큼 큽니다. 응답이 될 것입니다. SPF 정책 또는 DKIM 키를 나타내는 데 사용되는 TXT 레코드를 고려하십시오. 또는 대규모 주소 또는 MX 레코드 세트. 즉, 공격에 DNSSEC가 필요하지 않으므로 DDoS 위험으로 인해 DNSSEC에 중점을 두는 것은 잘못된 에너지입니다.
DNSSEC에는 위험이 있습니다! 사용하기 어렵고 올바르게 사용하기가 어렵습니다. 영역 데이터 변경, 등록자 관리, 새 서버 인스턴스 설치를위한 새로운 작업 흐름이 필요한 경우가 종종 있습니다. 이 모든 것을 테스트하고 문서화해야하며 DNS와 관련된 문제가 발생할 때마다 가능한 원인으로 DNSSEC 기술을 조사해야합니다. 그리고 모든 일을 올바르게 수행하면 최종 서명자로서 자신의 온라인 콘텐츠와 시스템이 고객에게 더욱 취약 해집니다. 파 엔드 서버 운영자는 결과적으로 다른 모든 사람의 컨텐츠와 시스템이 더 취약 해집니다. 이러한 위험은 종종 이점을 능가하는 것으로 보입니다. 유일한 이점은 DNS 데이터를 기내 수정 또는 대체로부터 보호하는 것입니다. 그 공격은이 모든 노력의 가치가 없을 정도로 드물다. 우리는 DNSSEC가 새로운 응용 프로그램으로 인해 언젠가 유비쿼터스가되기를 희망합니다. 그러나 진실은 오늘날 DNSSEC는 모든 비용과 이익이 없으며 위험이 높다는 것입니다.
따라서 DNSSEC를 사용하고 싶지 않다면 그것은 특권이지만 DNSSEC의 문제가 DDoS 증폭기의 역할이라는 것을 다른 사람에게 혼동하지 마십시오. DNSSEC는 DDoS 증폭기로서 필요한 역할을하지 않습니다. DNS를 DDoS 증폭기로 사용하는 다른 더 저렴한 방법이 있습니다. DNSSEC를 사용하고 싶지 않다면 아직 Kool Aid를 취하지 않았고 1 차 무버 (최후)가 아닌 마지막 무인자가되고 싶기 때문입니다.
"인증 서버"라고도하는 DNS 콘텐츠 서버는 DNS가 UDP를 사용하고 스푸핑 된 소스 패킷에 의해 UDP가 악용 될 수 있기 때문에 DNS 반영 증폭기로 남용되지 않아야합니다. 이러한 종류의 악용으로부터 DNS 컨텐츠 서버를 보호하는 방법은 UDP를 차단하거나 TCP를 강제로 사용하지 않거나 (TC = 1 트릭을 사용하여) 모든 쿼리를 차단하거나 DNSSEC를 옵트 아웃하지 않는 것입니다. 그 어떤 것도 당신을 도울 수 없습니다. DNS 응답 속도 제한 이 필요 합니다BIND, Knot 및 NSD를 포함한 여러 오픈 소스 이름 서버에 현재 존재하는 완전 무료 기술인 (DNS RRL). DNS 서버 자체 (RRL이 추가 된)와 같은 콘텐츠 인식 미들 박스 만 공격의 내용과 그렇지 않은 내용을 정확하게 추측 할 수있는 요청에 대해 충분히 알고 있기 때문에 방화벽으로 DNS 반영 문제를 해결할 수 없습니다. 다시 강조하겠습니다. DNS RRL은 무료이며 모든 권한 서버가이를 실행해야합니다.
마지막으로 편견을 드러내고 싶습니다. 나는 대부분의 BIND8을 작성했고, EDNS0을 발명했으며, DNS RRL을 공동 발명했습니다. 1988 년 이래 DNS를 20대로 일해 왔으며, 이제 50 개 정도의 소문이 나고, 문제를 오해하기위한 반도 금 해결책에 대한 인내심이 줄어 들었습니다. 이 메시지가 "아이들 이여, 내 잔디밭에 엎드려!"