Det uvenlige internet - Klartekst DNS opslag deaktiveres i september
Klartest UDP og TCP DNS opslag på port 53 (og på denne service også port 5353) bliver permanent deaktiveret om lidt over 6 måneder, den 1. september 2022. Krypterede opslag bliver ved med at virke som i dag.
Grunden til denne store ændring er tofold: 1) Jeg vil gerne have så mange som muligt til at bruge de krypterede og authentificerede DNS protokoller og 2) jeg er træt at at slås mod UDP amplification angreb.
1) Om krypteret DNS
Krypteret DNS (mellem resolver og recursive server) er en moderne erstatning for klassiske klartekst DNS opslag. To forkortelser du skal kende når vi snakker om krypteret DNS: DoT er DNS-over-TLS (RFC7858), og DoH er DNS-over-HTTPS (RFC8484).
Begge disse protokoller transporterer DNS opslag, men de gør det krypteret og authentificeret. Det garanterer at dine DNS opslag ikke kan aflyttes bare ved at kigge på netværks trafikken, og det garanterer også at du faktisk kommunikerer med de servere du tror.
DoT har været aktivt på denne service siden midten af 2017, og DoH har været aktivt siden oktober 2020. Jeg synes det er på tide at sætte en dato nu for at slå klartekst DNS opslag fra i september 2022.
Mange af jer er allerede skiftet til en af de krypterede protokoller, og I behøver ikke gøre noget. Men hvis du stadig bruger normale klartekst DNS opslag har du nu 6 måneder til at få det fikset :)
Jeg har oprettet et nyt repository på Github til vejledninger, how-tos, konfigurationsfiler og andet til at hjælpe med transitionen. Hvis du får DoT eller DoH til at virke på en eller anden router, et OS eller en telefon så kan du måske lave en PR på https://github.com/censurfridns/client-configs og forklare hvordan.
Indtil videre har Stubbys eksempel config allerede alle serverne og pinsets for både RSA og ECDSA nøglerne, så det er et godt sted at starte.
Jeg har ikke så meget fritid til overs disse dage så jeg håber virkelig at I allesammen vil hjælpe til med at bidrage med konfigurations eksempler og guides og sådan til repositoriet! :) Jeg prøver at få lavet noget grundlæggende repo struktur snart.
2) Om UDP amplification angreb
Alle DNS server operatører skal bøvle med spoofet UDP trafik, og ekstra meget når man driver åbne recursive servere. Det kræver en masse pillen ved grænserne i anti-ddos softwaren som identificerer angreb for at følge med det konstant skiftende angrebsbillede. Nogen gange ligner angrebene normal trafik så meget at det er svært at skelne fra rigtige brugere, hvilket er grunden til at mange af jer har haft den irriterende oplevelse at blive blokeret som et falsk positiv.
Uden at blive for teknisk: UDP trafik kan spoofes, dvs. afsender IP kan forfalskes. Det er primært muligt fordi dovne eller inkompetente internet udbydere ikke filtrerer ordentligt på deres udgående trafik. Uanset grunden, når angriberen kan forfalske afsender IP, så kan det bruges til at angribe. Hvis ofret har IP 192.0.2.42 (eksempel IP) så sender angriberen nogen DNS opslag med falsk afsender IP 192.0.2.42 til mine servere, og beder om en masse data f.eks. DNSSEC nøgler, så de store svar bliver sendt til 192.0.2.42.
Slutresultatet er at serverne ufrivilligt deltager i angrebet mod 192.0.2.42 - ihvertfald indtil anti ddos softwaren rammer grænsen og blokerer IPen. Forskellen mellem båndbredden sendt fra angriberen til mine servere og båndbredden sendt fra mine servere til ofret kaldes amplification ratio.
Siden både DoT og DoH kører over TCP så betyder det at jeg slipper helt for UDP når jeg deaktiverer klartekst DNS opslag i semptember, hvilket kommer til at eliminere en ret stor kilde til problemer. Jeg glæder mig!
Kategorier: doh dns dot