Aðalsíða
03.11.2014

Um selgeymslutíma (TTL) í DNS

Tæknileg krafa ISNIC um 86400 sekúndna selgeymslutíma (e. TTL) í nafnaþjónum kemur tæknimönnum stundum spánskt fyrir sjónir og pirrar jafnvel einhverja. Margir eru óvanir slíkri kröfu og sumir vita jafnvel ekki hvernig á að stilla TTL-gildið í nafnaþjónunum sem þeir stjórna. Þeir álykt því sem svo að þetta sé óþarfa stjórnsemi í ISNIC, en fyrir kröfunni eru gildar ástæður eins og nýlegt atvik sýnir:

1. TTL-gildi í DNS færslum segja DNS biðlurum (e. resolvers) hversu lengi þeir eiga að geyma svarið hjá sér án þess að spyrja uppruna-nafnaþjóninn (t.d. ISNIC) um sömu færslur aftur. Flestar DNS færslur léna breytast sjaldan og því verður til óþarfa álag og tímaeyðsla ef TTL-gildið er stutt og alltaf verið að fletta upp sömu færslum í uppruna-nafnaþjónum. Eini ókosturinn, ef óskost skyldi kalla, við hátt TTL-gildi er sá að stjórnandi (tæknimaður) nafnaþjóns þarf að ákveða breytingar á færslum með nokkrum fyrirvara og lækka TTL-gildið niður í nokkurar mínútur á meðan breyting er gerð, ella taka breytingar lengri tíma að verða sjáanlegar hjá öllum notendum, þar sem biðlarar geyma gamla svarið hjá sér í a.m.k. jafn langan tíma og TTL-gildið segir til um. Að loknum breytingum þarf að færa TTL-gildin á ný upp í 86400 sekúndur til að uppfylla tæknilegar kröfur ISNIC. Þetta vill stundum gleymast, sem getur í versta falli orsakað sjálfvirka tímabundna lokun léns ef ekki er brugðist við sjálfvirkum ábendingum ISNIC-kerfisins, en það fylgist sjálfvirkt með tæknilegum uppsetningum allra .is-léna. Í þessu felst m.a. hátt öryggi .is-léna.

2. Ný tegund af tölvuárás, sem hefur verið all fyrirferðamikil að undanförnu, er svokölluð „DNS Slow Drip Attack“. Hún er ákveðið afbrigði af svonefndri „DDoS-árás“ þar sem fjöldinn allur af tölvum er notaður til að mynda flóð fyrirspurna á nafnaþjóna léns þar til þeir hafa ekki undan að svara og gera þar með lénið og allar þjónustur þess, svo sem tölvupóst og vef, óvirkar. DNS-kerfið er viðkvæmt fyrir slíkum árásum þar sem það er í eðli sínu opið öllum, sem þýðir að hægt er að falsa uppruna árásarinnar þar sem þjónustan styður m.a. UDP samskipti, sem aftur þýðir að erfitt er að sía fyrirspurnir tengdar árásinni frá eðlilegri umferð.

3. Árásin lýsir sér þannig að árásaraðilinn, sem ætlar að ráðast á ákveðið lén, sendir gríðarlegan fjölda fyrirspurna í gegnum opna biðlara (t.d. Google Public DNS) og biður um eitthvað handahófskennt nafn undir léninu sem um ræðir. Hver fyrirspurn spyr um nýtt handahófskennt nafn og aumingja nafnaþjónarnir, sem hafa engar færslur fyrir þessi nöfn, reyna eftir bestu getu að svara neitandi (NXDOMAIN) eins hratt og eins lengi og þeir geta. Sumar af þessum árásum hafa verið nægilega öflugar til að trufla þjónustu heilu landalénanna (sjá árás á dafa888.wf).

4. Ef TTL-gildi NS færslna léna sem lenda í slíkri árás er mjög lágt (dafa888.wf er t.d. með TTL upp á 600 sekúndur) þýðir það að nafnaþjónar höfuðlénsins (í þessu tiilfelli .wf) verða fyrir barðinu á árásaraðilanum. Í stað þess að hver biðlari geymi svarið í sólahring og sleppi að spyrja nafnaþjóna höfuðlénsins .wf ótt og títt um NS færslurnar fyrir lénið dafa888.wf, þá geyma þeir svarið eingöngu í 600 sekúndur þar til þeir biðja aftur um nákvæmlega sömu færslurnar. Sé árásin nógu öflug getur árás sem þessi komið niður á nafnaþjónustunni við öll lén undir viðkomandi höfuðléni eins og dæmið sýnir.

Því miður þá hjálpar hátt TTL-gildi ekki nafnaþjónum lénsins sjálfs nema að litlu leyti (sjá Negative Cache), en hátt TTL-gildi hindrar að árásin margfaldist og trufli þjónustu annara léna undir sama höfuðléni. Hátt TTL-gildi ISNIC, sem stundum er gagnrýnt að ósekju, hefur út frá öryggissjónarmiðum margsinnis sannað gildi sitt.