Conceitos Básicos
Der NSEC3-Encloser-Angriff kann die CPU-Auslastung von DNS-Resolvern deutlich erhöhen und zu Paketverlusten bei legitimen Anfragen führen.
Resumo
Die Studie untersucht einen Angriff auf DNS-Resolver, der die Berechnung von NSEC3-Datensätzen ausnutzt, um die CPU-Auslastung der Resolver zu erhöhen. Der Angriff zwingt den Resolver, eine große Anzahl von Hash-Berechnungen durchzuführen, um den Beweis der Nicht-Existenz eines angefragten Domänennamens zu erbringen.
Die Autoren entwickeln eine Methode, um die Anzahl der NSEC3-Datensätze in der Antwort des autoritativen Nameservers zu maximieren, indem sie die NSEC3-Parameter wie Iterationen und Salz gezielt konfigurieren. Sie evaluieren den Angriff gegen verschiedene populäre DNS-Resolver und zeigen, dass der Angriff zu einer Erhöhung der CPU-Auslastung um bis zu 72x führen kann. Je nach Implementierung des Resolvers können bei einer Angriffsrate von 150 schädlichen NSEC3-Datensätzen pro Sekunde 2,7% bis 30% der legitimen DNS-Anfragen verloren gehen.
Die Autoren analysieren den Quellcode der Resolver, um die Unterschiede in der Reaktion auf den Angriff zu verstehen. Sie stellen fest, dass einige Resolver zusätzliche Schutzmaßnahmen gegen den NSEC3-Angriff implementiert haben, während andere Nutzer die eingeführten Schutzmaßnahmen überschreiben können.
Estatísticas
Bei einer Angriffsrate von 150 schädlichen NSEC3-Datensätzen pro Sekunde kann die Verlustrate von legitimen DNS-Anfragen je nach DNS-Implementierung zwischen 2,7% und 30% betragen.
Citações
Der NSEC3-Encloser-Angriff kann die CPU-Auslastung der Resolver um bis zu 72x erhöhen.
Der Einsatz von Salt erhöht die Belastung der Resolver um etwa 30%.