論文の概要: The Harder You Try, The Harder You Fail: The KeyTrap Denial-of-Service Algorithmic Complexity Attacks on DNSSEC
- arxiv url: http://arxiv.org/abs/2406.03133v1
- Date: Wed, 5 Jun 2024 10:33:04 GMT
- ステータス: 処理完了
- システム内更新日: 2024-06-06 18:50:02.296375
- Title: The Harder You Try, The Harder You Fail: The KeyTrap Denial-of-Service Algorithmic Complexity Attacks on DNSSEC
- Title(参考訳): The KeyTrap Denial-of-Service Algorithmic Complexity Attacks on DNSSEC
- Authors: Elias Heftrig, Haya Schulmann, Niklas Vogel, Michael Waidner,
- Abstract要約: 我々は、DNSSECベースのアルゴリズムによる、DNSに対する新しいタイプの複雑性攻撃を開発し、KeyTrap攻撃をダブする。
1つのDNSパケットだけで、KeyTrap攻撃は脆弱性のあるDNSリゾルバのCPU数の2.0倍のスパイクを引き起こし、最大16時間停止する。
KeyTrapをエクスプロイトすることで、攻撃者はDNSSEC検証リゾルバを使用して、任意のシステムにおけるインターネットアクセスを効果的に無効にすることができる。
- 参考スコア(独自算出の注目度): 19.568025360483702
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Availability is a major concern in the design of DNSSEC. To ensure availability, DNSSEC follows Postel's Law [RFC1123]: "Be liberal in what you accept, and conservative in what you send." Hence, nameservers should send not just one matching key for a record set, but all the relevant cryptographic material, e.g., all the keys for all the ciphers that they support and all the corresponding signatures. This ensures that validation succeeds, and hence availability, even if some of the DNSSEC keys are misconfigured, incorrect or correspond to unsupported ciphers. We show that this design of DNSSEC is flawed. Exploiting vulnerable recommendations in the DNSSEC standards, we develop a new class of DNSSEC-based algorithmic complexity attacks on DNS, we dub KeyTrap attacks. All popular DNS implementations and services are vulnerable. With just a single DNS packet, the KeyTrap attacks lead to a 2.000.000x spike in CPU instruction count in vulnerable DNS resolvers, stalling some for as long as 16 hours. This devastating effect prompted major DNS vendors to refer to KeyTrap as the worst attack on DNS ever discovered. Exploiting KeyTrap, an attacker could effectively disable Internet access in any system utilizing a DNSSEC-validating resolver. We disclosed KeyTrap to vendors and operators on November 2, 2023, confidentially reporting the vulnerabilities to a closed group of DNS experts, operators and developers from the industry. Since then we have been working with all major vendors to mitigate KeyTrap, repeatedly discovering and assisting in closing weaknesses in proposed patches. Following our disclosure, the industry-wide umbrella CVE-2023-50387 has been assigned, covering the DNSSEC protocol vulnerabilities we present in this work.
- Abstract(参考訳): DNSSECの設計において、可用性は大きな懸念事項である。
有効性を確保するため、DNSSECはPostelの法則[RFC1123]に従う。
したがって、ネームサーバは、レコードセットにマッチするキーを1つだけ送信するだけでなく、関連する暗号材料、例えば、サポートするすべての暗号と対応するシグネチャのすべてのキーを送信すべきである。
これにより、DNSSECキーの一部が誤って、誤って、あるいはサポートされていない暗号に対応している場合でも、バリデーションが成功し、可用性が保証される。
DNSSECのこの設計には欠陥があることが示されている。
DNSSEC標準の脆弱性のあるレコメンデーションをエクスプロットし、DNSにDNSSECベースのアルゴリズムによる複雑性攻撃の新しいクラスを開発し、KeyTrap攻撃をダブする。
一般的なDNSの実装とサービスは、すべて脆弱である。
1つのDNSパケットだけで、KeyTrap攻撃は脆弱性のあるDNSリゾルバのCPU命令数2000.000倍のスパイクを引き起こし、最大16時間停止する。
この破壊的な影響により、主要なDNSベンダーは、KeyTrapをDNSに対する最悪の攻撃として言及した。
KeyTrapをエクスプロイトすることで、攻撃者はDNSSEC検証リゾルバを使用して、任意のシステムにおけるインターネットアクセスを効果的に無効にすることができる。
私たちは2023年11月2日にベンダーとオペレータにKeyTrapを公開し、その脆弱性を業界の専門家、オペレータ、開発者からなるクローズドなグループに秘密に報告しました。
それ以来、私たちはすべての主要なベンダーと協力してKeyTrapを緩和し、提案されたパッチの弱点を何度も発見し、支援しています。
開示後、業界全体のCVE-2023-50387が割り当てられた。
関連論文リスト
- MTDNS: Moving Target Defense for Resilient DNS Infrastructure [2.8721132391618256]
DNS (Domain Name System) はインターネット上でもっとも重要なコンポーネントの1つである。
研究者は、DNSに対する攻撃を検出し、防御する方法を常に開発してきた。
ほとんどのソリューションは、防御アプローチのためにパケットを破棄し、正当なパケットをドロップする可能性がある。
我々は移動目標防衛技術を用いたMTDベースのレジリエントなMTDNSを提案する。
論文 参考訳(メタデータ) (2024-10-03T06:47:16Z) - DNSSEC+: An Enhanced DNS Scheme Motivated by Benefits and Pitfalls of DNSSEC [1.8379423176822356]
DNSSECのセキュリティとデプロイ性に対処するDNSSEC+を紹介する。
DNSSEC+は、名前解決のために9つのセキュリティ、プライバシ、デプロイ性プロパティをどのように満たしているかを示す。
論文 参考訳(メタデータ) (2024-08-02T01:25:14Z) - Guardians of DNS Integrity: A Remote Method for Identifying DNSSEC Validators Across the Internet [0.9319432628663636]
本稿ではDNSSEC検証リゾルバを識別する新しい手法を提案する。
ほとんどのオープンリゾルバはDNSSEC対応であるが、IPv4の18%(IPv6の38%)は受信した応答を検証している。
論文 参考訳(メタデータ) (2024-05-30T08:58:18Z) - Attacking with Something That Does Not Exist: 'Proof of Non-Existence' Can Exhaust DNS Resolver CPU [17.213183581342502]
NSEC3はDNSSECにおける非存在計算の証明である。
NSEC3-encloser攻撃は、依然として72倍のCPU命令数を発生させることができる。
十分な量のDNSパケットを使用すれば、攻撃はCPU負荷を増大させ、パケットロスを引き起こす可能性があることを示す。
論文 参考訳(メタデータ) (2024-03-22T14:27:45Z) - TI-DNS: A Trusted and Incentive DNS Resolution Architecture based on Blockchain [8.38094558878305]
ドメイン名システム(DNS)は、DNSキャッシュ中毒を含む悪意のある攻撃に対して脆弱である。
本稿では,ブロックチェーンベースのDNS解決アーキテクチャであるTI-DNSについて述べる。
TI-DNSは、現在のDNSインフラストラクチャのリゾルバ側だけを変更する必要があるため、簡単に採用できる。
論文 参考訳(メタデータ) (2023-12-07T08:03:10Z) - Randomized Message-Interception Smoothing: Gray-box Certificates for Graph Neural Networks [95.89825298412016]
グラフニューラルネットワーク(GNN)のための新しいグレーボックス証明書を提案する。
我々はランダムにメッセージを傍受し、敵に制御されたノードからのメッセージがターゲットノードに到達する確率を分析する。
我々の証明書は、より遠くからの攻撃に対してより強力な保証を提供する。
論文 参考訳(メタデータ) (2023-01-05T12:21:48Z) - Hardly Perceptible Trojan Attack against Neural Networks with Bit Flips [51.17948837118876]
ほとんど知覚できないトロイア攻撃(HPT)を呈する。
HPTは、加算ノイズと画素あたりのフロー場を利用して、知覚しにくいトロイの木像を作成する。
より優れた攻撃性能を達成するために,ビットフリップ,付加雑音,流れ場を協調的に最適化することを提案する。
論文 参考訳(メタデータ) (2022-07-27T09:56:17Z) - Quarantine: Sparsity Can Uncover the Trojan Attack Trigger for Free [126.15842954405929]
トロイの木馬攻撃はディープニューラルネットワーク(DNN)を脅かし、ほとんどのサンプルで正常に動作させるが、トリガーを付けた入力に対して操作された結果を生成する。
そこで我々は,まず,クリーンな入力において,ほぼ完全なトロイの木馬の情報のみを保存し,かつ,すでに孤立しているサブネットワークに埋め込まれたトリガを復元する,新しいトロイの木馬ネットワーク検出方式を提案する。
論文 参考訳(メタデータ) (2022-05-24T06:33:31Z) - Practical Detection of Trojan Neural Networks: Data-Limited and
Data-Free Cases [87.69818690239627]
本稿では,データスカース方式におけるトロイの木馬ネットワーク(トロイの木馬網)検出の問題点について検討する。
本稿では,データ限定型TrojanNet検出器(TND)を提案する。
さらに,データサンプルにアクセスせずにTrojanNetを検出できるデータフリーTNDを提案する。
論文 参考訳(メタデータ) (2020-07-31T02:00:38Z) - An Embarrassingly Simple Approach for Trojan Attack in Deep Neural
Networks [59.42357806777537]
トロイの木馬攻撃は、ハッカーが挿入した隠れトリガーパターンに依存する、デプロイされたディープニューラルネットワーク(DNN)を攻撃することを目的としている。
そこで本研究では,有毒データセットの再学習モデルによりトロイの木馬の挙動を注入する,従来と異なる学習自由攻撃手法を提案する。
提案したTrojanNetには,(1)小さなトリガパターンによって起動し,他の信号に対してサイレントを維持する,(2)モデルに依存しない,ほとんどのDNNに注入可能な,(3)攻撃シナリオを劇的に拡張する,(3)訓練不要のメカニズムは従来のトロイの木馬攻撃方法と比較して大規模なトレーニング作業の削減など,いくつかの優れた特性がある。
論文 参考訳(メタデータ) (2020-06-15T04:58:28Z) - Defending against Backdoor Attack on Deep Neural Networks [98.45955746226106]
トレーニングデータの一部にバックドアトリガーを注入する、いわゆるテキストバックドア攻撃について検討する。
実験の結果,本手法は攻撃成功率を効果的に低減し,クリーン画像の分類精度も高いことがわかった。
論文 参考訳(メタデータ) (2020-02-26T02:03:00Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。