KeyTrap 攻擊:一個(gè) DNS 數(shù)據(jù)包可中斷互聯(lián)網(wǎng)訪問

研究人員解釋說,該問題源于DNSSEC要求發(fā)送受支持密碼的所有相關(guān)加密密鑰以及進(jìn)行驗(yàn)證的相應(yīng)簽名。

本文來自微信公眾號“嘶吼專業(yè)版”,作者/胡金魚。

一個(gè)域名系統(tǒng)安全擴(kuò)展(DNSSEC)功能中名為KeyTrap的嚴(yán)重漏洞,可能會(huì)長時(shí)間拒絕應(yīng)用程序的互聯(lián)網(wǎng)訪問。

KeyTrap的編號為CVE-2023-50387,影響著所有流行的域名系統(tǒng)(DNS)實(shí)施或服務(wù)。它允許遠(yuǎn)程攻擊者通過發(fā)送單個(gè)DNS數(shù)據(jù)包,在易受攻擊的解析器中長期持續(xù)的拒絕服務(wù)(DoS)。

DNS允許我們通過輸入域名,而不是需要連接服務(wù)器的IP地址來訪問在線位置。

DNSSEC是DNS的一項(xiàng)功能,可為DNS記錄帶來加密簽名,從而為響應(yīng)提供身份驗(yàn)證;此驗(yàn)證可確保DNS數(shù)據(jù)來源。

攻擊請求造成了重大損害

KeyTrap已出現(xiàn)在DNSSEC標(biāo)準(zhǔn)中二十多年,由國家應(yīng)用網(wǎng)絡(luò)安全研究中心ATHENE的研究人員以及法蘭克福歌德大學(xué)、Fraunhofer SIT和達(dá)姆施塔特工業(yè)大學(xué)的專家發(fā)現(xiàn)。

研究人員解釋說,該問題源于DNSSEC要求發(fā)送受支持密碼的所有相關(guān)加密密鑰以及進(jìn)行驗(yàn)證的相應(yīng)簽名。

即使某些DNSSEC密鑰配置錯(cuò)誤、不正確或?qū)儆诓皇苤С值拿艽a,該過程也是相同的。

通過利用此漏洞,研究人員開發(fā)了一種新型的基于DNSSEC的算法復(fù)雜性攻擊,該攻擊可以使DNS解析器中的CPU指令數(shù)增加200萬倍,從而延遲其響應(yīng)。

這種DoS狀態(tài)的持續(xù)時(shí)間取決于解析器的實(shí)現(xiàn),但研究人員表示,單個(gè)攻擊請求可以使響應(yīng)時(shí)間從56秒到長達(dá)16小時(shí)不等。

640 (1).jpg

一次請求的KeyTrap攻擊中DNS解析器延遲

利用這種攻擊會(huì)對使用互聯(lián)網(wǎng)的應(yīng)用程序造成嚴(yán)重后果,包括網(wǎng)絡(luò)瀏覽、電子郵件和即時(shí)消息等技術(shù)。

研究人員表示:“利用KeyTrap,攻擊者可以完全禁用全球互聯(lián)網(wǎng)的大部分內(nèi)容。”

自2023年11月初以來,研究人員已經(jīng)展示了他們的KeyTrap攻擊,如何影響DNS服務(wù)提供商(例如Google和Cloudflare),并與他們合作開發(fā)緩解方法。

640 (1).jpg

DNS實(shí)施容易受到KeyTrap的攻擊

ATHENE表示,KeyTrap自1999年以來就出現(xiàn)在廣泛使用的標(biāo)準(zhǔn)中,近25年來一直沒有引起人們的注意,主要是因?yàn)镈NSSEC驗(yàn)證要求的復(fù)雜性。

盡管受影響的供應(yīng)商已經(jīng)推出修復(fù)程序或正在減輕KeyTrap風(fēng)險(xiǎn),但從根本上解決該問題可能需要重新評估DNSSEC設(shè)計(jì)理念。

為了應(yīng)對KeyTrap威脅,Akamai在2023年12月至2024年2月期間開發(fā)并部署了針對DNSi遞歸解析器的緩解措施,包括CacheServe和AnswerX,以及云和托管解決方案。

這一安全漏洞允許攻擊者對互聯(lián)網(wǎng)的功能進(jìn)行破壞,使全球三分之一的DNS服務(wù)器遭受高效的拒絕服務(wù)(DoS)攻擊,并影響了超過10億用戶。

Akamai指出,根據(jù)APNIC數(shù)據(jù),大約35%的美國用戶和全球30%的互聯(lián)網(wǎng)用戶依賴使用DNSSEC驗(yàn)證的DNS解析器,極容易受到KeyTrap的攻擊。

目前,Google和Cloudflare的DNS服務(wù)中已經(jīng)存在修復(fù)程序。

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論