Analyse van DNS-beschermingsstrategieën tijdens DDoS

Het Domein Naam Systeem (DNS) wordt vaak bestookt met DDoS-aanvallen. Dyn, een grote DNS-provider, werd getroffen door een DDoS van 1.6Tb/s afkomstig van IoT-apparaten in het massale Mirai botnet. Ook de root-servers van het DNS zijn al diverse keren doelwit geweest -- de DDoS-aanval in november 2015 werd geschat op 35Gb/s.

Dissecting DNS Defences

Het DNS is uitgerust met diverse bestrijdingsstrategieën om de beschikbaarheid en stabiliteit te verhogen, zowel aan de kant van de autoritatieve servers als aan de kant van de recursieve resolvers.

Autoritatieve DNS-servers (servers die hele zones hosten, zoals de root-servers) vertrouwen voornamelijk op replicatie door nameservers en/of IP anycast. Bij nameserver replicatie worden meerdere servers voor dezelfde zone gebruikt, zoals bij de root zone, die 13 nameservers heeft. Die nameservers kunnen elk op hun beurt weer verder worden gekopieerd door middel van IP anycast. Hierbij delen verschillende fysieke locaties hetzelfde IP-adres en kan BGP een client aan iedere locatie koppelen.

Aan de kant van de recursieve resolvers zijn de twee belangrijkste tactieken om de stabiliteit te verbeteren caching (soms op meerdere niveaus) van DNS-antwoorden en retrying queries.

Aangezien er diverse strategieën in gebruik zijn, hebben we onderzocht hoe deze strategieën de stabiliteit en latency van het DNS in het wild beïnvloeden. Hierbij hebben we gekeken naar zowel de gebruikservaring met het DNS aan de client-kant als het verkeer aan de server-kant. Daarvoor hebben we gecontroleerde experimenten met Ripe Atlas uitgevoerd en het verkeer van twee productiezones (.nl en de roots) geanalyseerd.

Uit ons onderzoek hebben we vier belangrijke conclusies kunnen trekken, die dienen als aanbevelingen voor zowel beheerders als ontwikkelaars:

  • We constateerden dat caching in het wild vaak verloopt zoals verwacht, maar dat clients hier ongeveer 30% van de tijd geen baat bij hebben (Hoofdstuk 3). Dit gold voor zowel de .nl zone en de root-zones (Hoofdstuk 4).

  • Aan de kant van de recursieve resolvers houden caching en retries tijdens DDoS-aanvallen de gebruikservaring bij clients behoorlijk stabiel (Hoofdstuk 5). Zelfs bij zwaar query-verlies (90%) op alle autoritatieve servers beschermen volle caches 50% van de clients en retries 30%.

  • Aan de autoritatieve kant toonden we aan dat legitiem verkeer tijdens een DDoS-aanval sterk toeneemt (tot acht keer zoveel in onze experimenten), vooral door de retries. Deze uitkomst suggereert dat de mate van overprovisioning van DNS-servers – hoewel doorgaans al zwaar – moet worden herzien (Hoofdstuk 6).

  • Tot slot kunnen we op basis van de resultaten aangeven waarom gebruikers relatief weinig hinder hebben ondervonden van DDoS-aanvallen op root-servers, terwijl klanten van sommige DNS-providers het effect meteen bemerkten (Hoofdstuk 8).

Het volledige rapport (PDF) kan worden gedownload op de website van zowel SIDN als USC/ISI.

Een vorige versie van deze blog verscheen op de Ripe Atlas blog.

Reacties

  • donderdag 25 oktober 2018

    Nieuws

    Is jouw bedrijf hackproof?

    Hackman+-socialpost-persbericht-thumbnail

    Doe de test!

    Lees meer
  • maandag 29 april 2019

    Weblog

    Een toppositie die niemand wil

    Thumb-silhouette-sad-girl.jpg

    Zijn we wel effectief genoeg in het bestrijden?

    Lees meer
  • donderdag 8 februari 2018

    Nieuws

    SIDN fonds biedt nieuwe financieringskansen voor baanbrekende internetprojecten

    Idee+met+lef-overtuig+ons-SIDN+fonds-homepage

    Projecten gericht op kunstmatige intelligentie krijgen speciale aandacht.

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.