Tags:
Node Thumbnail

วิศวกรจากหัวเหว่ยและ ISC เสนอ RFC7873 DNS Cookie ให้กระบวนการขอข้อมูล DNS จะต้องมีกระบวนการยืนยันตัวตนก่อน

กระบวนการนี้เมื่อไคลเอนต์ต้องการขอข้อมูล DNS จะต้องส่งค่าสุ่มเสมือน (pseudorandom) Client Cookie ไปยังเซิร์ฟเวอร์ก่อน จากนั้นเซิร์ฟเวอร์จะส่งค่า Server Cookie กลับมา และใช้ค่านี้ในการขอข้อมูล DNS ครั้งต่อๆ ไป

กระบวนการนี้ทำให้เซิร์ฟเวอร์ DNS สามารถจำกัดปริมาณการขอข้อมูล DNS จากไคลเอนต์ที่ไม่ยอมยืนยันตัวตนได้ ในกรณีการโจมตี DNS Amplification แม้ว่าผู้โจมตีจะส่งข้อความขอ Server Cookie ด้วยการปลอมไอพีเป็นเครื่องของเหยื่อ แต่เซิร์ฟเวอร์ก็สามารถจำกัดปริมาณการขอ Server Cookie ได้ และเมื่อการเซิร์ฟเวอร์ตอบ Server Cookie ไปยังเครื่องของเหยื่อ ตัวผู้โจมตี DNS Amplification ก็จะไม่เห็น Server Cookie

นอกจากการป้องกันการใช้ DNS เป็นเครื่องมือการโจมตีแล้ว DNS Cookie ยังช่วยป้องกันการเชื่อมต่อระหว่างเซิร์ฟเวอร์ เมื่อเซิร์ฟเวอร์เชื่อมต่อไปยัง resolver ก็สามารถยืนยันตัวตนกันได้ก่อน ลดความเสี่ยงที่จะถูกแฮกเกอร์ยิง DNS reply เข้าไปยังเซิร์ฟเวอร์ได้อีกทาง

กระบวนการนี้เป็นกระบวนการเบื้องต้นที่ยังไม่สามารถแก้ปัญหาได้สมบูรณ์ เอกสาร RFC เองระบุถึงการหาแนวทางเพิ่มเติมเพื่อให้ DNS มีความปลอดภัยมากกว่านี้ต่อไป

ตอนนี้ BIND 9.10.3 เปิดฟีเจอร์นี้ในโหมดทดลองแล้ว

ที่มา - RFC, The Register

Get latest news from Blognone