Эта запись была опубликована на стене группы "Типичный Сисадмин" 2024-02-20 01:00:00.
Посмотреть все записи на стене
Типичный Сисадмин
2024-02-20 01:00:00
DNS можно надолго вывести из строя при помощи единственного запроса. Всё благодаря уязвимости KeyTrap
Специалисты обнаружили опасную уязвимость в механизме DNSSEC (наборе расширений протокола DNS), которая теоретически позволяет вывести из строя DNS-сервер путём проведения DoS-атаки.
Отправка сформированного специальным образом пакета данных приводит к тому, что DNS-резолвер, использующий DNSSEC, начинает выполнять огромный объём ресурсоёмких криптографических вычислений. Из-за такой алгоритмической атаки количество выполняемых CPU инструкций в DNS-резолвере возрастает в 2 млн раз, и система оказывается не в состоянии обрабатывать другие запросы. Один запрос может привести к недоступности сервера: это состояние длится от 56 секунд до 16 часов.
Сегодня DNS-резолверы с расширениями DNSSEC используют 31 % веб-клиентов в интернете.