IETF建议使用cookie提高DNS安全性

DNS是一个古老而又根本的互联网架构，可为人类可读地址和IP地址之间提供转换服务。DNS多年来数次被用于流量放大的DoS攻击中(即DNS放 大攻击)。Donald Eastlake跟Mark Andrews在所著的RFC 7873中提出一个有趣的观点，那就是部署一个cookie就能增强DNS的安全。他们认为DNS cookie对于客户端和服务器而言就是一个“轻量级的DNS交易安全机制”。虽然他们的想法能够提供的仅仅是“有限的保护”，但他们认为这样做能解决 DoS攻击、DNS放大攻击、伪造攻击和缓存投毒攻击。

作者表示，提案说明DNS cookie应该被返回到原始的IP地址，防止被用作一种追踪机制。DNS cookie所提供的保护机制来源于这样一种事实，那就是攻击者将不得不猜测出cookie的64位伪随机值。客户端的cookie是由客户端的IP地 址、服务器的IP地址和“只有客户端知道的一个秘密值”计算出来的。客户端的IP地址、客户端cookie以及只有服务器知道的一个秘密值用来计算服务器 的cookie。

作者认为cookie能帮助阻止多种DNS攻击的场景如下：

• 使用伪造地址的DoS攻击—基础的DNS拒绝服务攻击使用一个伪造的客户端地址。这个cookie无法阻止此类攻击，但是确实可以识别出客户端的真实IP地址，这就让攻击的匿名性降低。
• DNS放大攻击—RFC中指出，“强制执行的DNS cookie（Enforced DNS Cookies）”会让来自异常路径的攻击者难以将高于速率限制的短出错响应发送给一个伪造的IP地址，这样攻击就会被减弱而非放大。
• 服务器DoS—服务器接收的任何DNS请求都会使用资源通过大量请求导致服务器崩溃。而cookie会在“任何递归查询或公钥加密行为发生之前”拒绝伪造的请求。
• 缓存投毒和伪造攻击—DNS cookie会让解析器拒绝伪造回复。

标签： dns 安全 服务器 互联网

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。