The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализаций DNSSEC "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализаций DNSSEC "  +/
Сообщение от opennews (??), 14-Фев-24, 18:16 
В различных реализациях протокола DNSSEC выявлены две уязвимости, затрагивающие  DNS-серверы BIND, PowerDNS, dnsmasq и Unbound. Уязвимости позволяют добиться отказа в обслуживании  DNS-резолверов, выполняющих валидацию при помощи DNSSEC, через создание  высокой нагрузки на CPU, мешающей обработке других запросов. Для совершения атаки достаточно отправить на DNS-резолвер, использующий DNSSEC,  запрос, приводящий к обращению к специально оформленной DNS-зоне на сервере злоумышленника...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=60599

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 14-Фев-24, 18:16   +/
Knot dns не подвержен? Получается, настоящие днс в безопасности?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

2. Сообщение от Аноним (2), 14-Фев-24, 18:23   +13 +/
>В качестве мер для блокирования уязвимостей

полный отказ от DNSSEC по причине ugly by design

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

3. Сообщение от Аноним (3), 14-Фев-24, 18:28   +9 +/
DNS без DNSSEC слишком прост и надёжен.

Кому вообще нужны системы, которые просто работают? Если ничего не падает, то зачем нужен админ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #6

4. Сообщение от Аноним (4), 14-Фев-24, 18:29   +1 +/
Только что обновление вышло https://www.knot-resolver.cz/2024-02-13-knot-resolver-5.7.1....
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

5. Сообщение от Аноним (6), 14-Фев-24, 18:45   –1 +/
Валидация DNSSEC сейчас используется примерно на 30% публичных резолверов. Начали более-менее массово использовать, появился интерес со стороны исследователей, начали находить дыры. Нормальный процесс в действии. Но диванные в комментариях всё равно будут ныть о том, что им сразу нормально не сделали™. Собаки лают, караван идёт.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

6. Сообщение от Аноним (6), 14-Фев-24, 18:48   –2 +/
> DNS без DNSSEC слишком прост и надёжен.

DNS (и с DNSSEC, и без) не прост и не надёжен. То, что у тебя дома на OpenWRT dnsmasq без проблем годами работает не значит, что так везде. Кто публичные резолверы держал тот знает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #7, #29

7. Сообщение от Аноним (3), 14-Фев-24, 18:53   +/
# echo 'showServers()' | dnsdist -c
#   Name                 Address                                      State     Qps    Qlim        Ord         Wt    Queries   Drops Drate   Lat   TCP Outstanding Pools
0                        10.75.0.53:53                                  up    74.0       0          1          1    4049028     277   0.0   0.2   0.3           0
1                        10.85.0.53:53                                  up    49.0       0          1          1    3674731     262   0.0   0.8   2.0           0
All                                                                           121.0                                  7723759     539                              

Этот кусочек инфры сойдёт за маленький dnsmasq?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #11, #38, #50

8. Сообщение от Аноним (3), 14-Фев-24, 19:00   +3 +/
Если стандарт 2005 года начали "массово использовать" только в 2024, то караван не очень-то идёт.

Ну и главное отличие DNSSEC от HTTPS — в случае проблем с HTTPS пользователь видит в браузере нормальное сообщение о том, что произошло (просроченый серт, некорректное доменное имя, самоподпись), а в случае проблем с DNSSEC — "не удалось найти сервер". И это приговор DNSSEC как системе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #16, #37

10. Сообщение от Tron is Whistling (?), 14-Фев-24, 19:39   +2 +/
DNSSEC - это конечно редкостное удолбище.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

11. Сообщение от Гость (??), 14-Фев-24, 20:16   +/
dnsdist, по сравнению с dnsmasq жрёт ресурсы немерено и не умеет также быстро опросить все серверы и ответить, если часть из них не работает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #12, #18

12. Сообщение от Sw00p aka Jerom (?), 14-Фев-24, 20:54   +1 +/
это же балансировщик
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

13. Сообщение от birdie (ok), 14-Фев-24, 21:02   –4 +/
Хорошо, что товарищ майор не состоит в ISO.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #17

14. Сообщение от birdie (ok), 14-Фев-24, 21:02   +/
А что с systemd-resolved? Неуязвим?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

15. Сообщение от Аноним (15), 14-Фев-24, 21:23   +/
Там DNSSEC дописан наполовину и выключен по умолчанию и разработчиков колышет слабо: https://github.com/systemd/systemd/issues/25676#issuecomment...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #21

16. Сообщение от Аноним (1), 14-Фев-24, 21:44   +/
Так ослаблять сеть начали не так давно, раньше это никому в голову не приходило. Теперь нельзя доверять совершенно никому.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #20

17. Сообщение от Аноним (3), 14-Фев-24, 21:46   +3 +/
Там только господа майоры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

18. Сообщение от Аноним (3), 14-Фев-24, 21:48   +/
> dnsdist, по сравнению с dnsmasq жрёт ресурсы немерено

Поэтому и запускаем мы его не на роутере с OpenWRT.

> и не умеет также быстро опросить все серверы и ответить, если часть из них не работает

Это не входит в его задачи. Его функция — распределять нагрузку, а не умножать её, дублируя один и тот же запрос на все апстримы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #39

19. Сообщение от IdeaFix (ok), 14-Фев-24, 21:49   –1 +/
nsd еще жив?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #24

20. Сообщение от Аноним (3), 14-Фев-24, 21:49   +/
То ли дело раньше, никакого SSL и TLS. Что перехватил — все твоё!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #23

21. Сообщение от Аноним (3), 14-Фев-24, 21:54   +/
> It's very hard to get this work in a reasonable way given the state of DNSSEC servers in the wild.

Можно корректно реализовать DNSSEC и подарить пользователям случайные отвалы любимых сайтов, а можно этого не делать, и пользователи будут довольны.

Поттеринг выбрал второе. Потому что он очень злой и нехороший. Только и думает о том, как бы сделать, чтобы пользователи не страдали.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

22. Сообщение от anonymous (??), 14-Фев-24, 21:57   +1 +/
Ты дурной? NSD authoritative only, он валидацией не занимается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #27

23. Сообщение от Аноним (1), 14-Фев-24, 22:04   +/
Ну собственно провайдеры занимавшиеся продажей подобных данных поступали незаконно, но хотя бы не встраивали рекламные сети с малварью в трафик. Как это стало обычной практикой, все перешли на шифрованный трафик. Начали подменять dns, dnssec получил распространение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #25

24. Сообщение от Editor (-), 14-Фев-24, 22:04   +1 +/
> CVE-2023-50868 (кодовое имя NSEC3)

Уважаемый автор новости, NSEC3 это не кодое имя уязвимости. У этой уязвимости нет "имени" типа KeyTrap. NSEC3 это тип записей в DNS зонах, где используется DNSSEC. Является альтернативой записям типа NSEC.

(пишу в ветке, потому что не удаётся постить комментарий первого уровня).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #26, #28

25. Сообщение от Аноним (3), 14-Фев-24, 22:16   +/
О да, наш любимый DNSSEC очень вам поможет, если провайдер встроит что-то в текст страницы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

26. Сообщение от Аноним (3), 14-Фев-24, 22:18   +/
В первоисточнике
> CVE-2023-50387 (referred here as the KeyTrap vulnerability) and
> CVE-2023-50868 (referred here as the NSEC3 vulnerability).

 

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #34

27. Сообщение от IdeaFix (ok), 14-Фев-24, 23:11   +/
> Ты дурной? NSD authoritative only, он валидацией не занимается.

Если оставить за скобками что ты дурной и перечитать мой вопрос, будет ли там что-то про то, что nsd занимается валидацией? Правильно, не будет. Так что, ты дурной, да. На вопрос можешь не отвечать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #31

28. Сообщение от IdeaFix (ok), 14-Фев-24, 23:15   +/
>> CVE-2023-50868 (кодовое имя NSEC3)
> Уважаемый автор новости, NSEC3 это не кодое имя уязвимости. У этой уязвимости
> нет "имени" типа KeyTrap. NSEC3 это тип записей в DNS зонах,
> где используется DNSSEC. Является альтернативой записям типа NSEC.
> (пишу в ветке, потому что не удаётся постить комментарий первого уровня).

The Closest Encloser Proof aspect of the DNS protocol (in RFC 5155 when RFC 9276 guidance is skipped) allows remote attackers to cause a denial of service (CPU consumption for SHA-1 computations) via DNSSEC responses in a random subdomain attack, aka the "NSEC3" issue.

https://www.cve.org/CVERecord?id=CVE-2023-50868

aka the "NSEC3" issue говорят...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

29. Сообщение от Ivan_83 (ok), 14-Фев-24, 23:21   +/
И что же он знает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #44

30. Сообщение от Ivan_83 (ok), 14-Фев-24, 23:23   +1 +/
Нет DNSSEC - нет проблем.
Сколько вам ещё должно сломатся чтобы понять?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

31. Сообщение от Аноним (3), 15-Фев-24, 00:10   +/
Вообще-то, тут обсуждают новость про

> Уязвимости позволяют добиться отказа в обслуживании DNS-резолверов, выполняющих валидацию при помощи DNSSEC

И авторитативные серверы тут вообще не при делах.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

32. Сообщение от Аноним (3), 15-Фев-24, 00:11   +/
Просто кому-то эти проблемы выгодны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #33

33. Сообщение от Ivan_83 (ok), 15-Фев-24, 01:00   +1 +/
Нет, просто DNSSEC это костыль, который не хотят выкидывать ибо везде театр безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

34. Сообщение от Editor (-), 15-Фев-24, 02:42   +/
Хорошо, но контест тоже важен. И в отличие от KeyTrap vulnerability, где уязвимости дали название (тренд поставил Heartbleed в OpenSSL, если помните) "NSEC3 vulnerability" имеется в виду "уязвимость связанный с NSEC3", а не уязвимость, которое имеет "кодовое имя NSEC3".

В любом случае, не важно. Спасибо автору за перевод, 100%-ая корректность тут не важна.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #36

35. Сообщение от bOOster (ok), 15-Фев-24, 10:15   +/
Будет время - надо свои YADIFA погонять на предмет уязвимости. Хотя разговор вроде идет о проблемах в проектировании самого DNSSEC
Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от Аноним (3), 15-Фев-24, 10:57   +/
Ниже приводится выдержка из описания CVE, в которой уточнено, что уязвимость назвали NSEC3 в честь, неожиданно, NSEC3.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

37. Сообщение от Аноним (6), 15-Фев-24, 18:28   –3 +/
> главное отличие DNSSEC от HTTPS

В том же, в чём отличие мягкого от зелёного. Дальше читать твои измышления смысла нет, ты не понимаешь базовых вещей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #45

38. Сообщение от Аноним (6), 15-Фев-24, 18:34   –1 +/
Без аптайма это фигня какая-то, а не инфа. 7723759 — это за день? За час? В секунду? Или может быть ты «работает — не трогай» и это за три года?

Впрочем, я по «красивеньким» RFC1918 адресам вижу, что это какой-то нескучный ланчик — то ли общажная сеть, то ли завод, то ли местячковый провайдер с тысячей клиентов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #43

39. Сообщение от Аноним (6), 15-Фев-24, 18:39   –2 +/
Первое, от чего стоит избавиться в проде — от балансировщика днс. Его функция — увеличивать задержки и являться единой точкой отказа. Хуже придумать просто нельзя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #42

42. Сообщение от Аноним (3), 15-Фев-24, 21:25   +/
> Первое, от чего стоит избавиться в проде

... это от советов людей, которые прода никогда не видели

> являться единой точкой отказа

... и наивно верят, что перед L7-балансировщиками нет L3 (BGP) и L4 (IPVS) яруса.

А ещё эти гадкие балансировщики позволяют делать так
-- Drop rules
addAction(MaxQPSIPRule(2500, 32, 64), DropAction())
addAction(MaxQPSIPRule(5000, 24, 48), DropAction())

-- Refuse rules
addAction(MaxQPSIPRule(2000, 32, 64), RCodeAction(DNSRCode.REFUSED))
addAction(MaxQPSIPRule(4000, 24, 48), RCodeAction(DNSRCode.REFUSED))

-- Truncate (force TCP) rules
addAction(AndRule({MaxQPSIPRule(500, 32, 64), TCPRule(false)}), TCAction())
addAction(AndRule({MaxQPSIPRule(1000, 24, 48), TCPRule(false)}), TCAction())

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #46

43. Сообщение от Аноним (3), 15-Фев-24, 21:28   +/
>  Без аптайма это фигня какая-то, а не инфа. 7723759 — это за день? За час? В секунду? Или может быть ты «работает — не трогай» и это за три года?

Для умеющих читать, там есть столбец Qps.
Попробуйте позвать к компьютеру кого-то, кто владеет этим сакральным знанием, пусть он вам прочитает :)

> Впрочем, я по «красивеньким» RFC1918 адресам вижу, что это какой-то нескучный ланчик — то ли общажная сеть, то ли завод, то ли местячковый провайдер с тысячей клиентов.

И действительно, серьёзные дяди выставляют все бэкенды голой задницей в интернет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #47

44. Сообщение от Аноним (3), 15-Фев-24, 21:30   +/
Ну, уважаемый "Аноним (6)" явно знает, как делать громкие заявления, но определённо не знает, как устроены продовые DNS-резолверы (судя по его реакции на балансировщик).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

45. Сообщение от Аноним (3), 15-Фев-24, 21:33   +/
> В том же, в чём отличие мягкого от зелёного

Ну да, точно. У них действительно нет ничего общего, даже предназначения. HTTPS нужен для безопасности (в том числе, для аутентификации открываемого сайта), DNSSEC — для прикола.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #48

46. Сообщение от Аноним (6), 15-Фев-24, 22:28   +/
> ... и наивно верят, что перед L7-балансировщиками нет L3 (BGP) и L4 (IPVS) яруса.

Больше балансировщиков к трону бога балансировщиков! Ну наслаждайся своим ланчиком. Там действительно можно что угодно ставить в любых количествах, хоть на RPI DNS-инфраструктуру развернуть, и всё равно работать будет.

> А ещё эти гадкие балансировщики позволяют делать так

Такой примитив и сам ДНС-сервер может делать. Я бы ещё понял, если бы у тебя там какая-то эвристика была, анализ потока с детектором аномалий, сложные алгоритмы, ИИ, ещё что-то интересное. Но нет, ты выбрал просто увеличение латенси и лишние сущности. Нужно больше золота^Wбалансировщиков!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

47. Сообщение от Аноним (6), 15-Фев-24, 22:37   +/
> Для умеющих читать, там есть столбец Qps.

А для умеющих думать ещё и очевидно, что Qps сильно зависит от времени измерений, и чем оно уже, тем больший вес имеют случайные пики. Так что твой выпендрёж снова мимо кассы. Как и смешная цифра в 121 запрос в секунду. Для таких тривиальных объёмов городить три уровня балансировки — это уровень университетской лабы, где надо показать уверенное понимание модели OSI.

> И действительно, серьёзные дяди выставляют все бэкенды голой задницей в интернет.

Серьёзные дяди пользуются публичным адресным пространством и хардварными фаерволлами. Клиенты за лишнюю миллисекунду задержки ответа начинают ЗВОНИТЬ в саппорт и требовать всё срочно починить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

48. Сообщение от Аноним (6), 15-Фев-24, 22:43   +/
Я не могу тебе запретить упорствовать в твоём невежестве.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

49. Сообщение от Tron is Whistling (?), 16-Фев-24, 10:28   +/
Название - тоненький намёк на то, что NSEC3 - это и есть дыра.
Ответить | Правка | Наверх | Cообщить модератору

50. Сообщение от Аноним (50), 17-Фев-24, 14:59   +/
Прастити, у вас ДНС работают на ZX-Spectrum, раз перед ими при нагрузке аж в 121 запрос в секунду пришлось поставить балансировщик?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру