論文の概要: Attacking with Something That Does Not Exist: Low-Rate Flood with 'Proof of Non-Existence' Can Exhaust DNS Resolver CPU

• arxiv url: http://arxiv.org/abs/2403.15233v1
• Date: Fri, 22 Mar 2024 14:27:45 GMT
• ステータス: 処理完了
• システム内更新日: 2024-03-25 17:09:34.213664
• Title: Attacking with Something That Does Not Exist: Low-Rate Flood with 'Proof of Non-Existence' Can Exhaust DNS Resolver CPU
• Title（参考訳）: DNSリゾルバのCPUを悪用できる「非存在の証明」で低レートの洪水
• Authors: Olivia Gruza, Elias Heftrig, Oliver Jacobsen, Haya Schulmann, Niklas Vogel, Michael Waidner,
• Abstract要約: NSEC3-encloser攻撃は、依然として72倍のCPU命令数を発生させることができる。 十分な量のDNSパケットを使用すれば、攻撃はCPU負荷を増大させ、パケットロスを引き起こす可能性があることを示す。
• 参考スコア（独自算出の注目度）: 17.213183581342502
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: NSEC3 is a proof of non-existence in DNSSEC, which provides an authenticated assertion that a queried resource does not exist in the target domain. NSEC3 consists of alphabetically sorted hashed names before and after the queried hostname. To make dictionary attacks harder, the hash function can be applied in multiple iterations, which however also increases the load on the DNS resolver during the computation of the SHA-1 hashes in NSEC3 records. Concerns about the load created by the computation of NSEC3 records on the DNS resolvers were already considered in the NSEC3 specifications RFC5155 and RFC9276. In February 2024, the potential of NSEC3 to exhaust DNS resolvers' resources was assigned a CVE-2023-50868, confirming that extra iterations of NSEC3 created substantial load. However, there is no published evaluation of the attack and the impact of the attack on the resolvers was not clarified. In this work we perform the first evaluation of the NSEC3-encloser attack against DNS resolver implementations and find that the NSEC3-encloser attack can still create a 72x increase in CPU instruction count, despite the victim resolver following RFC5155 recommendations in limiting hash iteration counts. The impact of the attack varies across the different DNS resolvers, but we show that with a sufficient volume of DNS packets the attack can increase CPU load and cause packet loss. We find that at a rate of 150 malicious NSEC3 records per second, depending on the DNS implementation, the loss rate of benign DNS requests varies between 2.7% and 30%. We provide a detailed description and implementation the NSEC3-encloser attack along with evaluation against five popular DNS resolver implementations. We also develop the first analysis how each NSEC3 parameter impacts the load inflicted on the victim resolver during NSEC3-encloser attack.
• Abstract（参考訳）: NSEC3はDNSSECに存在しないことの証明であり、クエリされたリソースがターゲットドメインに存在しないという認証された主張を提供する。 NSEC3は、検索されたホスト名の前と後をアルファベット順にソートしたハッシュネームで構成されている。 辞書攻撃を困難にするため、ハッシュ関数を複数回繰り返し適用することは可能であるが、NSEC3レコードのSHA-1ハッシュの計算においてDNSリゾルバの負荷も増大する。 DNSリゾルバ上の NSEC3 レコードの計算によって発生する負荷に関する懸念はすでに NSEC3 仕様 RFC5155 と RFC9276 で検討されている。 2024年2月、NSEC3がDNSリゾルバのリソースを消費する可能性があり、CVE-2023-50868が割り当てられた。 しかし,攻撃評価は公表されておらず,リゾルバに対する攻撃の影響は明らかにされていない。 本研究では,DNSリゾルバの実装に対する NSEC3-encloser 攻撃の最初の評価を行い, RFC5155 の勧告に従えば, NSEC3-encloser 攻撃は 72 倍のCPU命令数を発生させることができることを確認した。 攻撃の影響は、異なるDNSリゾルバによって異なるが、十分な量のDNSパケットがあれば、攻撃はCPU負荷を増大させ、パケットロスを引き起こす可能性があることを示す。 DNSの実装によって、毎秒150の悪意のあるNSEC3レコードのレートで、良質なDNSリクエストの損失率は2.7%から30%の間で異なる。 我々は、NSEC3-encloser攻撃の詳細な説明と実装と、5つの一般的なDNSリゾルバ実装に対する評価を提供する。 また,各NSEC3パラメータがNSEC3-encloser攻撃時の被害者リゾルバの負荷にどのように影響するかを解析した。

関連論文リスト

• MTDNS: Moving Target Defense for Resilient DNS Infrastructure [2.8721132391618256]
  DNS (Domain Name System) はインターネット上でもっとも重要なコンポーネントの1つである。 研究者は、DNSに対する攻撃を検出し、防御する方法を常に開発してきた。 ほとんどのソリューションは、防御アプローチのためにパケットを破棄し、正当なパケットをドロップする可能性がある。 我々は移動目標防衛技術を用いたMTDベースのレジリエントなMTDNSを提案する。
  論文  参考訳（メタデータ） (2024-10-03T06:47:16Z)
• The Harder You Try, The Harder You Fail: The KeyTrap Denial-of-Service Algorithmic Complexity Attacks on DNSSEC [19.568025360483702]
  我々は、DNSSECベースのアルゴリズムによる、DNSに対する新しいタイプの複雑性攻撃を開発し、KeyTrap攻撃をダブする。 1つのDNSパケットだけで、KeyTrap攻撃は脆弱性のあるDNSリゾルバのCPU数の2.0倍のスパイクを引き起こし、最大16時間停止する。 KeyTrapをエクスプロイトすることで、攻撃者はDNSSEC検証リゾルバを使用して、任意のシステムにおけるインターネットアクセスを効果的に無効にすることができる。
  論文  参考訳（メタデータ） (2024-06-05T10:33:04Z)
• Guardians of DNS Integrity: A Remote Method for Identifying DNSSEC Validators Across the Internet [0.9319432628663636]
  本稿ではDNSSEC検証リゾルバを識別する新しい手法を提案する。 ほとんどのオープンリゾルバはDNSSEC対応であるが、IPv4の18%(IPv6の38%)は受信した応答を検証している。
  論文  参考訳（メタデータ） (2024-05-30T08:58:18Z)
• TI-DNS: A Trusted and Incentive DNS Resolution Architecture based on Blockchain [8.38094558878305]
  ドメイン名システム(DNS)は、DNSキャッシュ中毒を含む悪意のある攻撃に対して脆弱である。 本稿では,ブロックチェーンベースのDNS解決アーキテクチャであるTI-DNSについて述べる。 TI-DNSは、現在のDNSインフラストラクチャのリゾルバ側だけを変更する必要があるため、簡単に採用できる。
  論文  参考訳（メタデータ） (2023-12-07T08:03:10Z)
• ResolverFuzz: Automated Discovery of DNS Resolver Vulnerabilities with Query-Response Fuzzing [22.15711226930362]
  ドメイン名システム(DNS)リゾルバは、DNSインフラストラクチャの中心部分である。 レゾルバの脆弱性を見つけるのは簡単ではなく、既存のツールでは問題に対処できない。 本稿では,DNSリゾルバに関わる問題に対処するため,ResolverFuzzと呼ばれるファジリングシステムを提案する。
  論文  参考訳（メタデータ） (2023-10-04T23:17:32Z)
• Quantization Aware Attack: Enhancing Transferable Adversarial Attacks by Model Quantization [57.87950229651958]
  量子ニューラルネットワーク(QNN)は、異常な一般化性のため、リソース制約のあるシナリオに注目が集まっている。 従来の研究では、ビット幅の異なるQNN間で転送性を実現することは困難であった。 マルチビット学習目的のQNN代替モデルを微調整するテキスト品質認識攻撃(QAA)を提案する。
  論文  参考訳（メタデータ） (2023-05-10T03:46:53Z)
• The #DNN-Verification Problem: Counting Unsafe Inputs for Deep Neural Networks [94.63547069706459]
  #DNN-Verification問題は、DNNの入力構成の数を数えることによって安全性に反する結果となる。 違反の正確な数を返す新しい手法を提案する。 安全クリティカルなベンチマークのセットに関する実験結果を示す。
  論文  参考訳（メタデータ） (2023-01-17T18:32:01Z)
• Robust and Verifiable Information Embedding Attacks to Deep Neural Networks via Error-Correcting Codes [81.85509264573948]
  ディープラーニングの時代、ユーザは、サードパーティの機械学習ツールを使用して、ディープニューラルネットワーク(DNN)分類器をトレーニングすることが多い。 情報埋め込み攻撃では、攻撃者は悪意のあるサードパーティの機械学習ツールを提供する。 本研究では,一般的なポストプロセッシング手法に対して検証可能で堅牢な情報埋め込み攻撃を設計することを目的とする。
  論文  参考訳（メタデータ） (2020-10-26T17:42:42Z)
• Efficient, Direct, and Restricted Black-Box Graph Evasion Attacks to Any-Layer Graph Neural Networks via Influence Function [62.89388227354517]
  グラフデータから学習する主流手法であるグラフニューラルネットワーク(GNN)は、グラフ回避攻撃に対して脆弱である。 既存の作業には、1)2層GNNを直接攻撃すること、2)非効率であること、3)GNNモデルパラメータの完全あるいは一部を知る必要があること、の2つの欠点の少なくとも1つがある。 本報告では,エフェクトベースの非効率,直接的,制限されたブラックボックス回避攻撃を,幻影層GNNに対して提案する。
  論文  参考訳（メタデータ） (2020-09-01T03:24:51Z)
• Boosting Deep Neural Networks with Geometrical Prior Knowledge: A Survey [77.99182201815763]
  ディープニューラルネットワーク(DNN)は多くの異なる問題設定において最先端の結果を達成する。 DNNはしばしばブラックボックスシステムとして扱われ、評価と検証が複雑になる。 コンピュータビジョンタスクにおける畳み込みニューラルネットワーク(CNN)の成功に触発された、有望な分野のひとつは、対称幾何学的変換に関する知識を取り入れることである。
  論文  参考訳（メタデータ） (2020-06-30T14:56:05Z)
• Adversarial Attacks and Defenses on Graphs: A Review, A Tool and Empirical Studies [73.39668293190019]
  敵攻撃は入力に対する小さな摂動によって容易に騙される。 グラフニューラルネットワーク(GNN)がこの脆弱性を継承することを実証している。 本調査では,既存の攻撃と防御を分類し,対応する最先端の手法を概観する。
  論文  参考訳（メタデータ） (2020-03-02T04:32:38Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。