DNSSECにはいくつかのリスクがありますが、それらは反射や増幅に直接関係しません。この場合、EDNS0メッセージサイズの拡張は、赤いニシンです。説明させてください。
以前の身元証明に依存しないパケット交換は、その未認証のパケット交換をリフレクタとして、またおそらくはアンプとして使用できるDDoS攻撃者による悪用の対象となります。たとえば、ICMP(「ping」の背後にあるプロトコル)はこの方法で悪用される可能性があります。SYNがそれらのSYN-ACKパケットを望まない被害者から来たようになりすました場合でも、最大40のSYN-ACKパケットを要求するTCP SYNパケットと同様に。そしてもちろん、NTP、SSDP、uPNPを含むすべてのUDPサービスは、この攻撃に対して脆弱です。また、DNSを含む他の応答で示されているように。
ほとんどの侵入検知、侵入防止、およびロードバランサアプライアンスはボトルネックであり、「ラインレート」トラフィックに対応できません。また、多くのルーターはラインレートで動作できず、一部のスイッチも動作します。これらのボトルネックは、「パス内」の最小のものであり、リンク自体よりも小さいため、輻輳ベースのDDoS攻撃の実際のターゲットです。攻撃トラフィックで誰かのファイアウォールをビジー状態に保つことができる場合、リンクがいっぱいではなくても、良好なトラフィックは通過しません。また、ファイアウォールの速度を低下させるのは、1秒あたりの総ビット数ではなく(より大きなメッセージを使用することで増加でき、EDNS0とDNSSECでも可能です)、1秒あたりの総パケット数です。
DNSSECのメッセージサイズが大きいためにDNSSECがDDoSを悪化させることについて、多くの都市伝説がありますが、これは直感的に理にかなっており、「良い音」ですが、それは単純に間違っています。しかし、この伝説に真実が刻まれていれば、本当の答えはまだ他の場所にあります-(DNSSECは常にEDNS0を使用しますが、DNSSECなしでEDNS0を使用できるため)、多くの通常の非DNSSEC応答はDNSSECと同じくらい大きいです応答になります。SPFポリシーまたはDKIMキーを表すために使用されるTXTレコードを検討してください。または、アドレスまたはMXレコードの大規模なセット。要するに、DNSSECを必要とする攻撃はないため、DDoSリスクとしてDNSSECに重点を置くのはエネルギーの浪費です。
DNSSECにはリスクがあります!使用するのが難しく、正しく使用するのが難しくなります。多くの場合、ゾーンデータの変更、レジストラ管理、新しいサーバーインスタンスのインストールのための新しいワークフローが必要です。これらはすべてテストおよび文書化する必要があり、DNSに関連する何かが壊れるたびに、DNSSECテクノロジーを考えられる原因として調査する必要があります。そして、あなたがすべてを正しくすれば、最終結果は、ゾーン署名者として、あなた自身のオンラインコンテンツとシステムがあなたの顧客により脆弱になるということです。遠端サーバーオペレーターとしての結果は、他のすべてのユーザーのコンテンツとシステムがより脆弱になることです。これらのリスクは多くの場合、メリットを上回ると考えられています。これは、DNSデータを実行中の変更または置換から保護することだけだからです。この攻撃は非常にまれであるため、この努力のすべての価値はありません。DNSSECが可能にする新しいアプリケーションのおかげで、DNSSECがいつか遍在することを願っています。しかし、真実は、今日、DNSSECはすべてコストがかかり、利益がなく、リスクが高いということです。
したがって、DNSSECを使用したくない場合、それは特権ですが、DNSSECの問題がDDoSアンプとしての役割であることをだれにも混乱させないでください。DNSSECにはDDoSアンプとしての必要な役割はありません。DNSをDDoSアンプとして使用する他の安価な方法があります。DNSSECを使用したくない場合は、まだKool Aidを飲んでおらず、先発者(今)ではなく、後発者(後)になりたいからです。
DNSはUDPを使用しているため、またUDPはスプーフィングされたソースパケットによって悪用されるため、「権限サーバー」と呼ばれることもあるDNSコンテンツサーバーは、アンプを反映するDNSとして悪用されないようにする必要があります。DNSコンテンツサーバーをこの種の悪用から保護する方法は、UDPをブロックすること、TCPを強制すること(TC = 1トリックを使用)、ANYクエリをブロックすること、DNSSECをオプトアウトすることではありません。これらはどれも役に立ちません。DNS応答レート制限が必要です(DNS RRL)、BIND、Knot、NSDを含むいくつかのオープンソースネームサーバーに存在する完全に無料の技術。ファイアウォールのDNSリフレクションの問題を修正することはできません。なぜなら、DNSサーバー自体(RRLが追加されている)などのコンテンツ対応ミドルボックスだけが、リクエストについて十分に知っているので、攻撃とは何かを正確に推測できるからです。繰り返しますが、DNS RRLは無料であり、すべての機関サーバーで実行する必要があります。
最後に、バイアスを明らかにしたいと思います。私はBIND8のほとんどを書き、EDNS0を発明し、DNS RRLを共同で発明しました。私は1988年から20代でDNSに取り組んでおり、今では50代で不機嫌で、誤解された問題に対する中途半端な解決策への忍耐はますます少なくなっています。このメッセージが「子供たちよ、私の芝生から消えてしまった!」