Analyse van DNS-beschermingsstrategieën tijdens DDoS

Het Domein Naam Systeem (DNS) wordt vaak bestookt met DDoS-aanvallen. Dyn, een grote DNS-provider, werd getroffen door een DDoS van 1.6Tb/s afkomstig van IoT-apparaten in het massale Mirai botnet. Ook de root-servers van het DNS zijn al diverse keren doelwit geweest -- de DDoS-aanval in november 2015 werd geschat op 35Gb/s.

Dissecting DNS Defences

Het DNS is uitgerust met diverse bestrijdingsstrategieën om de beschikbaarheid en stabiliteit te verhogen, zowel aan de kant van de autoritatieve servers als aan de kant van de recursieve resolvers.

Autoritatieve DNS-servers (servers die hele zones hosten, zoals de root-servers) vertrouwen voornamelijk op replicatie door nameservers en/of IP anycast. Bij nameserver replicatie worden meerdere servers voor dezelfde zone gebruikt, zoals bij de root zone, die 13 nameservers heeft. Die nameservers kunnen elk op hun beurt weer verder worden gekopieerd door middel van IP anycast. Hierbij delen verschillende fysieke locaties hetzelfde IP-adres en kan BGP een client aan iedere locatie koppelen.

Aan de kant van de recursieve resolvers zijn de twee belangrijkste tactieken om de stabiliteit te verbeteren caching (soms op meerdere niveaus) van DNS-antwoorden en retrying queries.

Aangezien er diverse strategieën in gebruik zijn, hebben we onderzocht hoe deze strategieën de stabiliteit en latency van het DNS in het wild beïnvloeden. Hierbij hebben we gekeken naar zowel de gebruikservaring met het DNS aan de client-kant als het verkeer aan de server-kant. Daarvoor hebben we gecontroleerde experimenten met Ripe Atlas uitgevoerd en het verkeer van twee productiezones (.nl en de roots) geanalyseerd.

Uit ons onderzoek hebben we vier belangrijke conclusies kunnen trekken, die dienen als aanbevelingen voor zowel beheerders als ontwikkelaars:

  • We constateerden dat caching in het wild vaak verloopt zoals verwacht, maar dat clients hier ongeveer 30% van de tijd geen baat bij hebben (Hoofdstuk 3). Dit gold voor zowel de .nl zone en de root-zones (Hoofdstuk 4).

  • Aan de kant van de recursieve resolvers houden caching en retries tijdens DDoS-aanvallen de gebruikservaring bij clients behoorlijk stabiel (Hoofdstuk 5). Zelfs bij zwaar query-verlies (90%) op alle autoritatieve servers beschermen volle caches 50% van de clients en retries 30%.

  • Aan de autoritatieve kant toonden we aan dat legitiem verkeer tijdens een DDoS-aanval sterk toeneemt (tot acht keer zoveel in onze experimenten), vooral door de retries. Deze uitkomst suggereert dat de mate van overprovisioning van DNS-servers – hoewel doorgaans al zwaar – moet worden herzien (Hoofdstuk 6).

  • Tot slot kunnen we op basis van de resultaten aangeven waarom gebruikers relatief weinig hinder hebben ondervonden van DDoS-aanvallen op root-servers, terwijl klanten van sommige DNS-providers het effect meteen bemerkten (Hoofdstuk 8).

Het volledige rapport (PDF) kan worden gedownload op de website van zowel SIDN als USC/ISI.

Een vorige versie van deze blog verscheen op de Ripe Atlas blog.

Reacties

  • vrijdag 22 juni 2018

    Nieuws

    Aantal domeinnamen blijft wereldwijd groeien: meer dan 330 miljoen

    Thumb-domains

    Groei generieke TLD’s onder druk

    Lees meer
  • donderdag 15 november 2018

    Nieuws

    Onderhoud website 15-11-2018 en 29-11-2018

    Onderhoud+en+storingen

    Door onderhoudswerkzaamheden is de website korte tijd niet of beperkt beschikbaar.

    Lees meer
  • vrijdag 19 april 2019

    Weblog

    SIDN gaat adoptie van internetstandaard DANE stimuleren

    Thumb-e-mail

    Standaard voor veiliger e-mail wordt onderdeel van de Registrar Scorecard

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.