Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › OPENPGPKEY: Domain Name System…

Noch bessere DNS Amplification Attacken

  1. Thema

Neues Thema Ansicht wechseln


  1. Noch bessere DNS Amplification Attacken

    Autor: barforbarfoo 12.03.15 - 20:53

    Die DOS-Attacker werden sich freuen

  2. Re: Noch bessere DNS Amplification Attacken

    Autor: ikhaya 12.03.15 - 20:58

    Na wenn man die PGP-Records nur per TCP ausliefert ist das nicht so schlimm
    Auch kann man ja ECDSA einsetzen wie Cloudflare laut Artikel schon testet.
    Das seh ich jetzt nicht so als Problem an, scheint lösbar zu sein.

  3. Re: Noch bessere DNS Amplification Attacken

    Autor: barforbarfoo 12.03.15 - 21:35

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Na wenn man die PGP-Records nur per TCP ausliefert ist das nicht so
    > schlimm
    > Auch kann man ja ECDSA einsetzen wie Cloudflare laut Artikel schon testet.
    > Das seh ich jetzt nicht so als Problem an, scheint lösbar zu sein.

    Mit TCP könnte Anycast zu einem Problem werden.....

    Und TCP frißt einiges mehr an Ressourcen. Der TCP-Stack vom DNS-Server freut sich bestimmt wenn viele Clients riesige Windows anfordern oder die TCP-Session in ein Teerloch werfen.

    Und wenn die DNS-Root-CA fällt ist wenigstens alles im Arsch. Und je mehr Krypto ins DNS kommt um so mehr Staaten werden da aussteigen wollen.

  4. Re: Noch bessere DNS Amplification Attacken

    Autor: barforbarfoo 12.03.15 - 21:38

    Ach ja, und viele Firmen lassen keine Auflösung von externen DNS im internen Netz zu.

  5. Re: Noch bessere DNS Amplification Attacken

    Autor: ikhaya 12.03.15 - 21:42

    Ich finde es nicht zielführend jedes Mal wenn es um besser gesicherte Kommunikation geht mit einem Mehrbedarf an Ressourcen dagegen zu argumentieren.
    Klar braucht es mehr Ressourcen als ohne, aber das sollte es uns wert sein.

    Wenn die oberste Stelle fallen sollte, wird das zumindest auffallen. Besser als komplett auf Sicherheit zu verzichten ist das Risiko allemal.

  6. Re: Noch bessere DNS Amplification Attacken

    Autor: ikhaya 12.03.15 - 21:43

    Ist das wirklich ein Hinderungsgrund?

  7. Re: Noch bessere DNS Amplification Attacken

    Autor: super-tux 12.03.15 - 22:06

    barforbarfoo schrieb:
    --------------------------------------------------------------------------------
    > Und wenn die DNS-Root-CA fällt ist wenigstens alles im Arsch. Und je mehr
    > Krypto ins DNS kommt um so mehr Staaten werden da aussteigen wollen.

    Nun ja, wenn die Root DNS Server nicht mehr laufen, dann kümmert DNSSEC sowieso niemanden mehr. Dann hätten wir sowieso einen GAU. Doch die Root NS sind zahlreich vorhanden und weltweit verteilt, ich denke dieses Risiko ist sehr gering. Und die Signierung der Zone wird zudem von Verisign gemacht. Die Jungs wissen was Uptime ist :-)

    Ich finde DNSSEC hat aber auch klare Stärken. Gerade das man den DNSKey der Root Zone austauschen kann ohne, dass dies auf allen Child-Zonen (also allen Zonen Weltweit) auch gleichzeitig gemacht werden muss, ist gut gelöst. Andernfalls wäre das ganze unumsetzbar. Aber man bedenke: eine PKI kann das nicht. Dazu kommt: DNSSEC ist gratis. Für Zertifikate muss man schon öfters Mal viel Geld bezahlen.

    Aber die Nachteile, die beliben grundsätzlich vorhanden. Minimieren kann man sie etwas. Seit Version 3 von DNSSEC wurden wieder einge elminiert. Aber ganz zufiredenstellend ist es nicht.

  8. Re: Noch bessere DNS Amplification Attacken

    Autor: barforbarfoo 12.03.15 - 23:25

    ikhaya schrieb:

    > Klar braucht es mehr Ressourcen als ohne, aber das sollte es uns wert
    > sein.

    Wenn dadurch grundlegende Infrastruktur Dienste umfallen spielt das schon eine Rolle. Und es gibt keinen zwingenden Grund das da rein zu tun. Dividere et Impera ist meistens das bessere Prinzip.

    > Wenn die oberste Stelle fallen sollte, wird das zumindest auffallen. Besser
    > als komplett auf Sicherheit zu verzichten ist das Risiko allemal.

    Als wenn Sicherheit ohne DNSSEC nicht möglich wäre.

  9. Re: Noch bessere DNS Amplification Attacken

    Autor: barforbarfoo 12.03.15 - 23:33

    super-tux schrieb:

    > Ich finde DNSSEC hat aber auch klare Stärken. Gerade das man den DNSKey der
    > Root Zone austauschen kann ohne, dass dies auf allen Child-Zonen (also
    > allen Zonen Weltweit) auch gleichzeitig gemacht werden muss, ist gut
    > gelöst.

    Wo ist das beschrieben? Wie validieren dann die Clients?

    > Andernfalls wäre das ganze unumsetzbar. Aber man bedenke: eine PKI
    > kann das nicht. Dazu kommt: DNSSEC ist gratis. Für Zertifikate muss man
    > schon öfters Mal viel Geld bezahlen.

    Kohle für Zertifikate ist nicht zwingend, und wer sagt das DNS weiter so günstig bleibt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. SCHOTT AG, Mainz
  2. PIA Automation Holding GmbH, Bad Neustadt an der Saale, Amberg
  3. Dürr Systems AG, Bietigheim-Bissingen
  4. Vereinte Martin Luther + Althanauer Hospital Stiftung Hanau, Hanau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 107,00€ (Bestpreis!)
  2. 92,60€
  3. 135,80€
  4. (u. a. Alien 40th Anniversary Steelbook, Ash vs Evil Dead Collector's edition, Predator 1 - 4 Box...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

Dr. Mario World im Test: Spielspaß für Privatpatienten
Dr. Mario World im Test
Spielspaß für Privatpatienten

Schlimm süchtig machendes Gameplay, zuckersüße Grafik im typischen Nintendo-Stil und wunderbare Dudelmusik: Der Kampf von Dr. Mario World gegen böse Viren ist ein Mobile Game vom Feinsten - allerdings nur für Spieler mit gesunden Nerven oder tiefen Taschen.
Von Peter Steinlechner

  1. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  2. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor
  3. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung

Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft

  1. Coradia iLint: Alstoms Brennstoffzellenzüge bewähren sich
    Coradia iLint
    Alstoms Brennstoffzellenzüge bewähren sich

    Zwei Züge, 100.000 Kilometer, keine Probleme: Nach zehn Monaten regulärem Einsatz in Niedersachsen ist das französische Unternehmen Alstom zufrieden mit seinen Brennstoffzellenzügen.

  2. Matternet: Schweizer Post pausiert Drohnenlieferungen nach Absturz
    Matternet
    Schweizer Post pausiert Drohnenlieferungen nach Absturz

    Blutkonserven oder Gewebeproben müssen unter Umständen schnell zu ihrem Bestimmungsort gebracht werden. Die Schweizer Post setzt für solche Transporte Drohnen ein. Doch nach vielen problemlosen Flüge ist ein Copter abgestürzt. Das Drohnenprogramm wurde daraufhin vorerst gestoppt.

  3. Nintendo: Akku von überarbeiteter Switch schafft bis zu 9 Stunden
    Nintendo
    Akku von überarbeiteter Switch schafft bis zu 9 Stunden

    Die Hinweise auf eine Hardwarerevision bei der Nintendo Switch sind bestätigt. Bei der neuen Version ist die Akkulaufzeit deutlich verbessert - sie übertrumpft nun sogar die vom Handheld Switch Lite.


  1. 19:06

  2. 16:52

  3. 15:49

  4. 14:30

  5. 14:10

  6. 13:40

  7. 13:00

  8. 12:45