insight - DNS-Sicherheit - # NSEC3-Angriff auf DNS-Resolver

Angriff mit etwas, das nicht existiert: Niedrigrate-Flut mit "Beweis der Nicht-Existenz" kann die CPU-Auslastung des DNS-Resolvers erschöpfen

Q: Wie können DNS-Resolver noch besser gegen solche Ressourcenerschöpfungsangriffe geschützt werden?

Um DNS-Resolver besser gegen Ressourcenerschöpfungsangriffe wie den NSEC3-Encloser-Angriff zu schützen, können verschiedene Maßnahmen ergriffen werden: Implementierung von Rate Limiting: Durch die Implementierung von Rate Limiting können DNS-Resolver die Anzahl der Anfragen pro Sekunde von einer einzelnen IP-Adresse begrenzen, um eine Überlastung zu verhindern. Überwachung der CPU-Auslastung: Durch die kontinuierliche Überwachung der CPU-Auslastung können ungewöhnlich hohe Lastspitzen erkannt und Gegenmaßnahmen ergriffen werden. Aktualisierung und Patching: Regelmäßige Aktualisierungen und Patches der Resolver-Software sind entscheidend, um bekannte Sicherheitslücken zu schließen und die Widerstandsfähigkeit gegen Angriffe zu verbessern. Implementierung von NSEC3-Parametern: Die Implementierung von strengeren NSEC3-Parametern wie maximalen Iterations- und Salzlängen kann die Auswirkungen von Angriffen verringern. Verwendung von Firewalls und Intrusion Detection Systems: Firewalls und Intrusion Detection Systems können dazu beitragen, verdächtigen Datenverkehr zu erkennen und zu blockieren, um die Sicherheit des DNS-Resolvers zu gewährleisten.

Q: Welche anderen Schwachstellen in DNSSEC könnten ähnliche Angriffe ermöglichen?

Neben dem NSEC3-Encloser-Angriff könnten auch andere Schwachstellen in DNSSEC ähnliche Angriffe ermöglichen. Einige potenzielle Schwachstellen sind: Zone Enumeration Attacks: Ähnlich wie bei NSEC und NSEC3 könnten Zone Enumeration Attacks auftreten, bei denen Angreifer durch Analyse von DNSSEC-Records Informationen über die Struktur und Inhalte einer Domain erhalten. Schwachstellen in der Schlüsselverwaltung: Schwachstellen in der Schlüsselverwaltung von DNSSEC könnten es Angreifern ermöglichen, gefälschte Signaturen zu erstellen oder die Authentizität von DNS-Einträgen zu beeinträchtigen. Fehlerhafte Implementierungen von DNSSEC-Standards: Fehlerhafte Implementierungen von DNSSEC-Standards könnten unerwartete Sicherheitslücken aufweisen, die von Angreifern ausgenutzt werden könnten, um DNS-Resolver zu beeinträchtigen.

Q: Welche Auswirkungen hätte ein solcher Angriff auf die Verfügbarkeit kritischer Internetinfrastrukturen?

Ein solcher Angriff auf die Verfügbarkeit kritischer Internetinfrastrukturen, insbesondere auf DNS-Resolver, könnte schwerwiegende Auswirkungen haben: Ausfall von DNS-Diensten: Ein erfolgreicher Angriff könnte dazu führen, dass DNS-Resolver überlastet werden und nicht mehr in der Lage sind, DNS-Anfragen zu beantworten, was zu einem Ausfall von DNS-Diensten führen würde. Einschränkung des Internetzugangs: Da DNS eine grundlegende Komponente des Internets ist, könnte ein Angriff auf DNS-Resolver zu einer Einschränkung des Internetzugangs für Benutzer und Organisationen führen. Erhöhtes Risiko von Phishing- und Man-in-the-Middle-Angriffen: Durch die Beeinträchtigung der DNS-Infrastruktur könnten Angreifer die Gelegenheit nutzen, um Phishing- oder Man-in-the-Middle-Angriffe durchzuführen, bei denen sensible Daten abgefangen oder manipuliert werden könnten. Wirtschaftliche Schäden: Ein Ausfall kritischer Internetinfrastrukturen könnte zu erheblichen wirtschaftlichen Schäden führen, insbesondere für Unternehmen, die auf eine zuverlässige Internetkonnektivität angewiesen sind.

Core Concepts

Der NSEC3-Encloser-Angriff kann die CPU-Auslastung von DNS-Resolvern deutlich erhöhen und zu Paketverlusten bei legitimen Anfragen führen.

Abstract

Die Studie untersucht einen Angriff auf DNS-Resolver, der die Berechnung von NSEC3-Datensätzen ausnutzt, um die CPU-Auslastung der Resolver zu erhöhen. Der Angriff zwingt den Resolver, eine große Anzahl von Hash-Berechnungen durchzuführen, um den Beweis der Nicht-Existenz eines angefragten Domänennamens zu erbringen.
Die Autoren entwickeln eine Methode, um die Anzahl der NSEC3-Datensätze in der Antwort des autoritativen Nameservers zu maximieren, indem sie die NSEC3-Parameter wie Iterationen und Salz gezielt konfigurieren. Sie evaluieren den Angriff gegen verschiedene populäre DNS-Resolver und zeigen, dass der Angriff zu einer Erhöhung der CPU-Auslastung um bis zu 72x führen kann. Je nach Implementierung des Resolvers können bei einer Angriffsrate von 150 schädlichen NSEC3-Datensätzen pro Sekunde 2,7% bis 30% der legitimen DNS-Anfragen verloren gehen.
Die Autoren analysieren den Quellcode der Resolver, um die Unterschiede in der Reaktion auf den Angriff zu verstehen. Sie stellen fest, dass einige Resolver zusätzliche Schutzmaßnahmen gegen den NSEC3-Angriff implementiert haben, während andere Nutzer die eingeführten Schutzmaßnahmen überschreiben können.

Stats

Bei einer Angriffsrate von 150 schädlichen NSEC3-Datensätzen pro Sekunde kann die Verlustrate von legitimen DNS-Anfragen je nach DNS-Implementierung zwischen 2,7% und 30% betragen.

Quotes

Der NSEC3-Encloser-Angriff kann die CPU-Auslastung der Resolver um bis zu 72x erhöhen.
Der Einsatz von Salt erhöht die Belastung der Resolver um etwa 30%.

Key Insights Distilled From

Attacking with Something That Does Not Exist

by Oliv... at arxiv.org 03-25-2024

https://arxiv.org/pdf/2403.15233.pdf

Attacking with Something That Does Not Exist

Deeper Inquiries

Wie können DNS-Resolver noch besser gegen solche Ressourcenerschöpfungsangriffe geschützt werden?

Um DNS-Resolver besser gegen Ressourcenerschöpfungsangriffe wie den NSEC3-Encloser-Angriff zu schützen, können verschiedene Maßnahmen ergriffen werden:

Implementierung von Rate Limiting: Durch die Implementierung von Rate Limiting können DNS-Resolver die Anzahl der Anfragen pro Sekunde von einer einzelnen IP-Adresse begrenzen, um eine Überlastung zu verhindern.
Überwachung der CPU-Auslastung: Durch die kontinuierliche Überwachung der CPU-Auslastung können ungewöhnlich hohe Lastspitzen erkannt und Gegenmaßnahmen ergriffen werden.
Aktualisierung und Patching: Regelmäßige Aktualisierungen und Patches der Resolver-Software sind entscheidend, um bekannte Sicherheitslücken zu schließen und die Widerstandsfähigkeit gegen Angriffe zu verbessern.
Implementierung von NSEC3-Parametern: Die Implementierung von strengeren NSEC3-Parametern wie maximalen Iterations- und Salzlängen kann die Auswirkungen von Angriffen verringern.
Verwendung von Firewalls und Intrusion Detection Systems: Firewalls und Intrusion Detection Systems können dazu beitragen, verdächtigen Datenverkehr zu erkennen und zu blockieren, um die Sicherheit des DNS-Resolvers zu gewährleisten.

Welche anderen Schwachstellen in DNSSEC könnten ähnliche Angriffe ermöglichen?

Neben dem NSEC3-Encloser-Angriff könnten auch andere Schwachstellen in DNSSEC ähnliche Angriffe ermöglichen. Einige potenzielle Schwachstellen sind:

Zone Enumeration Attacks: Ähnlich wie bei NSEC und NSEC3 könnten Zone Enumeration Attacks auftreten, bei denen Angreifer durch Analyse von DNSSEC-Records Informationen über die Struktur und Inhalte einer Domain erhalten.
Schwachstellen in der Schlüsselverwaltung: Schwachstellen in der Schlüsselverwaltung von DNSSEC könnten es Angreifern ermöglichen, gefälschte Signaturen zu erstellen oder die Authentizität von DNS-Einträgen zu beeinträchtigen.
Fehlerhafte Implementierungen von DNSSEC-Standards: Fehlerhafte Implementierungen von DNSSEC-Standards könnten unerwartete Sicherheitslücken aufweisen, die von Angreifern ausgenutzt werden könnten, um DNS-Resolver zu beeinträchtigen.

Welche Auswirkungen hätte ein solcher Angriff auf die Verfügbarkeit kritischer Internetinfrastrukturen?

Ein solcher Angriff auf die Verfügbarkeit kritischer Internetinfrastrukturen, insbesondere auf DNS-Resolver, könnte schwerwiegende Auswirkungen haben:

Ausfall von DNS-Diensten: Ein erfolgreicher Angriff könnte dazu führen, dass DNS-Resolver überlastet werden und nicht mehr in der Lage sind, DNS-Anfragen zu beantworten, was zu einem Ausfall von DNS-Diensten führen würde.
Einschränkung des Internetzugangs: Da DNS eine grundlegende Komponente des Internets ist, könnte ein Angriff auf DNS-Resolver zu einer Einschränkung des Internetzugangs für Benutzer und Organisationen führen.
Erhöhtes Risiko von Phishing- und Man-in-the-Middle-Angriffen: Durch die Beeinträchtigung der DNS-Infrastruktur könnten Angreifer die Gelegenheit nutzen, um Phishing- oder Man-in-the-Middle-Angriffe durchzuführen, bei denen sensible Daten abgefangen oder manipuliert werden könnten.
Wirtschaftliche Schäden: Ein Ausfall kritischer Internetinfrastrukturen könnte zu erheblichen wirtschaftlichen Schäden führen, insbesondere für Unternehmen, die auf eine zuverlässige Internetkonnektivität angewiesen sind.

Angriff mit etwas, das nicht existiert: Niedrigrate-Flut mit "Beweis der Nicht-Existenz" kann die CPU-Auslastung des DNS-Resolvers erschöpfen

Attacking with Something That Does Not Exist

Wie können DNS-Resolver noch besser gegen solche Ressourcenerschöpfungsangriffe geschützt werden?

Welche anderen Schwachstellen in DNSSEC könnten ähnliche Angriffe ermöglichen?

Welche Auswirkungen hätte ein solcher Angriff auf die Verfügbarkeit kritischer Internetinfrastrukturen?

Visualize This Page

Generate with Undetectable AI

Translate to Another Language

Scholar Search

Get PDF Summary in Seconds