Los puntos clave no están disponibles para este artículo en este momento.
En los últimos cinco años hemos sido testigos de la introducción de DNSSEC, una extensión de seguridad para el DNS que se basa en firmas digitales. DNSSEC fortalece el DNS al prevenir ataques como la contaminación de la caché. Sin embargo, un argumento común en contra del despliegue de DNSSEC es su potencial para el abuso en ataques de Denegación de Servicio Distribuida (DDoS), en particular ataques de reflexión y amplificación. Las respuestas DNS para un dominio firmado con DNSSEC son típicamente más grandes que las de un dominio no firmado, por lo que puede parecer que DNSSEC podría empeorar el problema de los ataques DDoS basados en DNS. Sin embargo, el potencial de abuso en dominios firmados con DNSSEC nunca se ha evaluado a gran escala. En este documento establecemos la verdad objetiva en torno a esta pregunta abierta. Realizamos una medición detallada en un gran conjunto de datos de dominios firmados con DNSSEC, cubriendo el 70% (2.5 millones) de todos los dominios firmados en operación hoy en día, y comparamos el potencial de ataques de amplificación con una muestra representativa de dominios sin DNSSEC. A primera vista, el resultado de estas mediciones confirma que DNSSEC efectivamente empeora el fenómeno DDoS. Sin embargo, un examen más detenido ofrece una imagen más matizada. DNSSEC realmente solo empeora la situación para un tipo de consulta particular (ANY), para el cual las respuestas pueden ser más de 50 veces más grandes que la consulta original (y en raras ocasiones hasta 179x). También discutimos una serie de estrategias de mitigación que pueden tener un impacto inmediato para los operadores y sugerimos direcciones de investigación futura con respecto a estas estrategias de mitigación.
Rijswijk-Deij et al. (Wed,) estudiaron esta cuestión.
Synapse has enriched 5 closely related papers on similar clinical questions. Consider them for comparative context: