核心概念
DNSリゾルバCPUを消耗させるNSEC3-encloser攻撃の影響と対策について。
要約
この記事は、DNSセキュリティにおけるNSEC3の脆弱性とその悪用に焦点を当てています。NSEC3-encloser攻撃がDNSリゾルバのCPU負荷を増加させ、正当なクライアントクエリへの応答に影響を与えることが示されています。各セクションでは、攻撃の詳細な説明から実際の影響まで包括的に分析されています。
ABSTRACT
- NSEC3はDNSSECでの存在しない証明であり、辞書攻撃を困難にします。
- NSEC3-encloser攻撃は、DNSリゾルバ実装に対する影響を初めて評価しました。
INTRODUCTION
- CVE-2023-50868登録された脆弱性が報告されました。
- DNSセキュリティ標準RFC4035やRFC5155で定義された技術が利用されます。
OVERVIEW OF DNSSEC AND NSEC3
- DNSセキュリティ標準RFC4035やRFC5155で定義された技術が利用されます。
- NSEC3はハッシュ化したホスト名を使用してゾーン列挙攻撃から保護します。
NSEC3-ENCLOSER ATTACK
- NSEC3攻撃は最も効果的なパラメータ選択下ですべてのリゾルバが脆弱性を示すことが確認されました。
EVALUATION OF THE ATTACK
Effect on Benign Clients
- 攻撃は全体的なDoSを引き起こさず、正当なクライアントクエリの喪失率は比較的低いです。