DNSSEC memiliki beberapa risiko, tetapi tidak secara langsung terkait dengan refleksi atau amplifikasi. Perluasan ukuran pesan EDNS0 adalah herring merah dalam kasus ini. Biarkan saya jelaskan.
Setiap pertukaran paket yang tidak bergantung pada bukti identitas sebelumnya dapat disalahgunakan oleh penyerang DDoS yang dapat menggunakan pertukaran paket yang tidak terauthentikasi sebagai reflektor, dan mungkin juga sebagai penguat. Misalnya, ICMP (protokol di balik "ping") dapat disalahgunakan dengan cara ini. Seperti halnya paket TCP SYN, yang mengumpulkan hingga 40 paket SYN-ACK bahkan jika SYN itu dipalsukan berasal dari beberapa korban yang tidak menginginkan paket SYN-ACK tersebut. Dan tentu saja, semua layanan UDP rentan terhadap serangan ini, termasuk NTP, SSDP, uPNP, dan sebagaimana dicatat oleh tanggapan lain di sini, juga termasuk DNS.
Sebagian besar deteksi intrusi, pencegahan intrusi, dan peralatan penyeimbang beban adalah kemacetan, tidak dapat mengikuti lalu lintas "line rate". Juga banyak router tidak dapat berjalan pada kecepatan garis, dan beberapa switch. Kemacetan ini, dengan menjadi hal terkecil "di jalur", dan lebih kecil dari tautan itu sendiri, adalah target aktual serangan DDoS berbasis kemacetan. Jika Anda dapat membuat firewall seseorang sibuk dengan lalu lintas serangan, lalu lintas yang baik tidak akan dapat melewatinya, bahkan jika tautannya tidak penuh. Dan apa yang memperlambat firewall bukanlah jumlah total bit per detik (yang dapat ditingkatkan dengan menggunakan pesan yang lebih besar, dan EDNS0 dan DNSSEC akan melakukannya), melainkan jumlah total paket per detik.
Ada banyak legenda urban di luar sana tentang bagaimana DNSSEC membuat DDoS lebih buruk karena ukuran pesan DNSSEC yang lebih besar, dan sementara ini membuat akal intuitif dan "terdengar bagus", itu hanya salah. Tetapi jika ada sedikit kebenaran pada legenda ini, jawaban sebenarnya masih ada di tempat lain - [karena DNSSEC selalu menggunakan EDNS0, tetapi EDNS0 dapat digunakan tanpa DNSSEC], dan banyak respons non-DNSSEC normal sebesar DNSSEC tanggapan akan. Pertimbangkan catatan TXT yang digunakan untuk mewakili kebijakan SPF atau kunci DKIM. Atau sembarang kumpulan alamat atau catatan MX besar. Singkatnya, tidak ada serangan yang memerlukan DNSSEC, dan karenanya setiap fokus pada DNSSEC sebagai risiko DDoS adalah energi yang salah sasaran.
DNSSEC memang memiliki risiko! Sulit untuk digunakan, dan lebih sulit untuk digunakan dengan benar. Seringkali itu membutuhkan alur kerja baru untuk perubahan data zona, manajemen pendaftar, pemasangan instance server baru. Semua itu harus diuji dan didokumentasikan, dan setiap kali ada sesuatu yang berhubungan dengan DNS, teknologi DNSSEC harus diselidiki sebagai kemungkinan penyebabnya. Dan hasil akhirnya jika Anda melakukan segalanya dengan benar adalah, sebagai penanda zona, konten dan sistem daring Anda sendiri akan lebih rapuh bagi pelanggan Anda. Sebagai operator server yang jauh, hasilnya adalah, bahwa konten dan sistem orang lain akan lebih rapuh bagi Anda. Risiko-risiko ini sering terlihat lebih besar daripada manfaatnya, karena satu-satunya manfaat adalah melindungi data DNS dari modifikasi atau substitusi dalam penerbangan. Serangan itu sangat langka sehingga tidak sebanding dengan semua upaya ini. Kita semua berharap DNSSEC suatu hari ada di mana-mana, karena aplikasi baru itu akan memungkinkan. Tetapi kenyataannya adalah bahwa hari ini, DNSSEC adalah semua biaya, tanpa manfaat, dan dengan risiko tinggi.
Jadi, jika Anda tidak ingin menggunakan DNSSEC, itu hak prerogatif Anda, tetapi jangan biarkan orang membingungkan Anda bahwa masalah DNSSEC adalah perannya sebagai penguat DDoS. DNSSEC tidak memiliki peran yang diperlukan sebagai penguat DDoS; ada cara lain yang lebih murah dan lebih baik untuk menggunakan DNS sebagai penguat DDoS. Jika Anda tidak ingin menggunakan DNSSEC, biarkan karena Anda belum meminum Kool Aid dan Anda ingin menjadi penggerak terakhir (nanti) bukan penggerak pertama (sekarang).
Server konten DNS, kadang-kadang disebut "server otoritas", harus dicegah agar tidak disalahgunakan sebagai penguat yang mencerminkan DNS, karena DNS menggunakan UDP, dan karena UDP dapat disalahgunakan oleh paket sumber palsu. Cara untuk mengamankan server konten DNS Anda dari penyalahgunaan semacam ini adalah tidak untuk memblokir UDP, atau untuk memaksa TCP (menggunakan trik TC = 1), atau untuk memblokir permintaan APA PUN, atau untuk memilih keluar dari DNSSEC. Tak satu pun dari hal-hal itu akan membantu Anda. Anda perlu Membatasi Tingkat Respons DNS(DNS RRL), teknologi gratis yang sekarang hadir di beberapa server nama sumber terbuka termasuk BIND, Knot, dan NSD. Anda tidak dapat memperbaiki masalah refleksi DNS dengan firewall Anda, karena hanya middlebox yang sadar-konten seperti server DNS itu sendiri (dengan RRL ditambahkan) yang cukup tahu tentang permintaan untuk dapat secara akurat menebak serangan dan apa yang tidak. Saya ingin menekankan, lagi: DNS RRL gratis, dan setiap server otoritas harus menjalankannya.
Sebagai penutup, saya ingin mengekspos bias saya. Saya menulis sebagian besar BIND8, saya menemukan EDNS0, dan saya turut menciptakan DNS RRL. Saya telah bekerja pada DNS sejak tahun 1988 sebagai 20-sesuatu, dan saya sekarang 50-an pemarah, dengan semakin sedikit kesabaran untuk solusi setengah matang untuk masalah disalahpahami. Tolong terimalah permintaan maaf saya jika pesan ini kedengarannya seperti "hai anak-anak, pergi dari halaman saya!"