BerandaComputers and TechnologyMengukur Interferensi Middlebox dengan Catatan DNS

Mengukur Interferensi Middlebox dengan Catatan DNS

Gambaran

Sistem Nama Domain (DNS) sering disebut sebagai “buku telepon Internet”. Ini bertanggung jawab untuk menerjemahkan nama domain yang dapat dibaca manusia – seperti mozilla.org – ke alamat IP , yang diperlukan untuk hampir semua komunikasi di Internet. Pada tingkat tinggi, klien biasanya menyelesaikan nama dengan mengirimkan kueri ke resolver rekursif , yang bertanggung jawab untuk menjawab pertanyaan atas nama klien. Penyelesai rekursif menjawab kueri dengan melintasi hierarki DNS, mulai dari server root, server domain tingkat atas (misalnya untuk .com), dan terakhir server otoritatif untuk nama domain. Setelah resolver rekursif menerima jawaban untuk kueri tersebut, ia menyimpan jawaban tersebut dan mengirimkannya kembali ke klien.

Sayangnya, DNS pada awalnya tidak dirancang dengan mempertimbangkan keamanan, membuat pengguna rentan terhadap serangan. Misalnya, pekerjaan sebelumnya telah menunjukkan bahwa resolver rekursif rentan terhadap serangan keracunan cache , di mana penyerang yang berada di jalur meniru nama server nama yang berwenang dan mengirimkan jawaban yang salah untuk pertanyaan ke resolver rekursif. Jawaban yang salah ini kemudian disimpan dalam cache di resolver rekursif, yang dapat menyebabkan klien yang kemudian menanyakan nama domain yang sama untuk mengunjungi situs web berbahaya. Serangan ini berhasil karena protokol DNS biasanya tidak memberikan pengertian tentang kebenaran tanggapan DNS. Ketika resolver rekursif menerima jawaban untuk sebuah pertanyaan, itu mengasumsikan bahwa jawabannya benar.

DNSSEC mampu mencegah serangan tersebut dengan memungkinkan pemilik nama domain untuk memberikan tanda tangan kriptografi untuk catatan DNS mereka. Ini juga membangun rantai kepercayaan antara server dalam hierarki DNS, memungkinkan klien untuk memvalidasi bahwa mereka menerima jawaban yang benar.

Sayangnya, penerapan DNSSEC relatif lambat: pengukuran menunjukkan, pada November 2020, hanya sekitar 1,8% dari Catatan .com ditandatangani , dan sekitar 25% klien di seluruh dunia menggunakan resolver rekursif yang memvalidasi DNSSEC . Lebih buruk lagi, pada dasarnya tidak ada klien yang memvalidasi DNSSEC sendiri, yang berarti mereka harus mempercayai resolver rekursif mereka.

Salah satu kendala potensial untuk validasi sisi klien adalah middlebox jaringan. Pengukuran menunjukkan bahwa beberapa middlebox tidak meneruskan semua data DNS dengan benar. Jika middlebox memblokir catatan RRSIG yang membawa tanda tangan DNSSEC, klien tidak akan dapat membedakan ini dari serangan, membuat penerapan DNSSEC bermasalah. Sayangnya, pengukuran ini dilakukan sejak lama dan tidak secara khusus ditargetkan ke DNSSEC. Untuk menyelesaikannya, kami memutuskan untuk menjalankan eksperimen.

Deskripsi Pengukuran

Ada dua pertanyaan utama yang ingin kami jawab:

  • Pada tingkat apa middlebox jaringan antara klien dan resolver rekursif mengganggu catatan DNSSEC ( misalnya, DNSKEY dan RRSIG)?
  • Bagaimana tingkat gangguan DNSSEC dibandingkan dengan gangguan dengan jenis catatan yang relatif baru lainnya ( misalnya, SMIMEA dan HTTPSSVC)?

Pada tingkat tinggi, bekerja sama dengan Cloudflare pertama-tama kami akan menyajikan jenis catatan di atas dari nama domain yang kami kontrol . Kami kemudian akan menerapkan percobaan add-on ke klien desktop Firefox Beta yang meminta masing-masing jenis catatan untuk nama domain kami. Akhirnya, kami akan memeriksa apakah kami mendapat tanggapan yang diharapkan (atau tanggapan sama sekali). Seperti biasa, pengguna yang memilih untuk tidak mengirim telemetri atau berpartisipasi dalam studi tidak akan menerima add-on.

Untuk menganalisis tingkat gangguan middlebox jaringan dengan catatan DNSSEC, kami akan mengirimkan tanggapan DNS ke sistem telemetri kami, daripada melakukan analisis apa pun secara lokal di dalam browser klien. Ini akan memungkinkan kami untuk melihat berbagai cara tanggapan DNS diganggu tanpa bergantung pada logika analisis apa pun yang kami masukkan ke dalam pengaya eksperimen kami. Untuk melindungi privasi pengguna, kami hanya akan mengirimkan informasi untuk nama domain dalam eksperimen yang kami kontrol — bukan untuk nama domain lain yang diminta oleh klien saat menjelajahi web. Selain itu, kami tidak mengumpulkan header UDP, TCP, atau IP. Kami hanya mengumpulkan payload respons DNS, yang kami ketahui format yang diharapkan. Data yang kami minati tidak boleh menyertakan informasi pengenal tentang klien, kecuali middlebox menyuntikkan informasi tersebut ketika mereka mengganggu permintaan / tanggapan DNS.

Kami meluncurkan percobaan hari ini untuk 1% klien desktop Firefox Beta dan berharap untuk mempublikasikan hasil awal kami sekitar akhir tahun.

Read More

RELATED ARTICLES

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Most Popular

Recent Comments