今天小編分享的互聯網經驗:KeyTrap 攻擊:一個 DNS 數據包中斷互聯網訪問,歡迎閱讀。
網域名系統安全擴展 ( DNSSEC ) 功能中名為 KeyTrap 的嚴重漏洞,可能會長時間拒絕應用程式的互聯網訪問。
KeyTrap 的編号為 CVE-2023-50387,影響着所有流行的網域名系統 ( DNS ) 實施或服務。它允許遠程攻擊者通過發送單個 DNS 數據包,在易受攻擊的解析器中長期持續的拒絕服務 ( DoS ) 。
DNS 允許我們通過輸入網域名,而不是需要連接伺服器的 IP 地址來訪問在線位置。
DNSSEC 是 DNS 的一項功能,可為 DNS 記錄帶來加密籤名,從而為響應提供身份驗證;此驗證可确保 DNS 數據來源。
攻擊請求造成了重大損害
KeyTrap 已出現在 DNSSEC 标準中二十多年,由國家應用網絡安全研究中心 ATHENE 的研究人員以及法蘭克福歌德大學、Fraunhofer SIT 和達姆施塔特工業大學的專家發現。
研究人員解釋說,該問題源于 DNSSEC 要求發送受支持密碼的所有相關加密密鑰以及進行驗證的相應籤名。
即使某些 DNSSEC 密鑰配置錯誤、不正确或屬于不受支持的密碼,該過程也是相同的。
通過利用此漏洞,研究人員開發了一種新型的基于 DNSSEC 的算法復雜性攻擊,該攻擊可以使 DNS 解析器中的 CPU 指令數增加 200 萬倍,從而延遲其響應。
這種 DoS 狀态的持續時間取決于解析器的實現,但研究人員表示,單個攻擊請求可以使響應時間從 56 秒到長達 16 小時不等。
一次請求的 KeyTrap 攻擊中 DNS 解析器延遲
利用這種攻擊會對使用互聯網的應用程式造成嚴重後果,包括網絡浏覽、電子郵件和即時消息等技術。
研究人員表示:" 利用 KeyTrap,攻擊者可以完全禁用全球互聯網的大部分内容。"
自 2023 年 11 月初以來,研究人員已經展示了他們的 KeyTrap 攻擊,如何影響 DNS 服務提供商(例如 Google 和 Cloudflare),并與他們合作開發緩解方法。
DNS 實施容易受到 KeyTrap 的攻擊
ATHENE 表示,KeyTrap 自 1999 年以來就出現在廣泛使用的标準中,近 25 年來一直沒有引起人們的注意,主要是因為 DNSSEC 驗證要求的復雜性。
盡管受影響的供應商已經推出修復程式或正在減輕 KeyTrap 風險,但從根本上解決該問題可能需要重新評估 DNSSEC 設計理念。
為了應對 KeyTrap 威脅,Akamai 在 2023 年 12 月至 2024 年 2 月期間開發并部署了針對 DNSi 遞歸解析器的緩解措施,包括 CacheServe 和 AnswerX,以及雲和托管解決方案。
這一安全漏洞允許攻擊者對互聯網的功能進行破壞,使全球三分之一的 DNS 伺服器遭受高效的拒絕服務 ( DoS ) 攻擊,并影響了超過 10 億用戶。
Akamai 指出,根據 APNIC 數據,大約 35% 的美國用戶和全球 30% 的互聯網用戶依賴使用 DNSSEC 驗證的 DNS 解析器,極容易受到 KeyTrap 的攻擊。
目前,Google 和 Cloudflare 的 DNS 服務中已經存在修復程式。
