Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DNSメッセージの仕様による性能問題とその対策とこれから

Toshifumi Sakaguchi
December 02, 2024
Technology
0
12

 DNSメッセージの仕様による性能問題とその対策とこれから

DNSメッセージに含まれるリソースレコード数そのものには制限がないため、メッセージサイズの上限がレコード数の上限を決めます。さらにDNSメッセージにはドメイン名圧縮の機能があるため、ひとつのメッセージに非常に多くのレコードを持つことができます。
非常に多くのレコードを持つDNSメッセージは、様々なDNSサーバの性能問題をもたらし、それぞれ対策が実装されました。これらの性能問題とその対策、さらに対策の問題点を説明します。

Toshifumi Sakaguchi

December 02, 2024
Tweet

More Decks by Toshifumi Sakaguchi

See All by Toshifumi Sakaguchi
NSEC/NSEC3のType Bit Mapsについて
sischkg
0
200
Fuzzing Full Resolverのまとめ
sischkg
1
1.9k
BIND Memory leak Vulnerability and Root KSK Rollover
sischkg
0
110
BIND Memory leak Vulnerability and Root KSK Rollover
sischkg
0
800
きのこさんの宣伝
sischkg
0
57
DNS_Fullresolver_onsen.pdf
sischkg
0
340
Fuzzing Full-Resolver ver DNS Onsen
sischkg
0
150
DNS_Fullresolver_fuzzing_janog_42_5.pdf
sischkg
0
130
Fuzzing Full-Resolver ( JANOG interim 42.5 )
sischkg
0
140

Other Decks in Technology

See All in Technology
フロントエンド設計にモブ設計を導入してみた / 20241212_cloudsign_TechFrontMeetup
bengo4com
0
1.9k
統計データで2024年の クラウド・インフラ動向を眺める
ysknsid25
2
790
alecthomas/kong はいいぞ / kamakura.go#7
fujiwara3
1
280
AIのコンプラは何故しんどい?
shujisado
1
180
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
hiashisan
0
970
データパイプラインをなんとかした話 / Improving the Data Pipeline in IVRy
mirakui
1
330
イノベーショントークから見る クラウド運用の未来を振り返ってみた
nyankotaro
0
470
Snykで始めるセキュリティ担当者とSREと開発者が楽になる脆弱性対応 / Getting started with Snyk Vulnerability Response
yamaguchitk333
2
160
WACATE2024冬セッション資料(ユーザビリティ)
scarletplover
0
160
あの日俺達が夢見たサーバレスアーキテクチャ/the-serverless-architecture-we-dreamed-of
tomoki10
0
260
kargoの魅力について伝える
magisystem0408
0
190
実務につなげる数理最適化
recruitengineers
PRO
6
600

Featured

See All Featured
Imperfection Machines: The Place of Print at Facebook
scottboms
266
13k
YesSQL, Process and Tooling at Scale
rocio
169
14k
Producing Creativity
orderedlist
PRO
341
39k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
29
2k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
1.2k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
132
33k
Mobile First: as difficult as doing things right
swwweet
222
9k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
247
1.3M
Done Done
chrislema
181
16k
For a Future-Friendly Web
brad_frost
175
9.4k
How to Ace a Technical Interview
jacobian
276
23k
Building Applications with DynamoDB
mza
91
6.1k

Transcript

  1. DNSメッセージの仕様による性能問題と その対策とこれから 2024年11月26日 Internet Week 2024 DNSOPS.JP BoF 坂口 俊文

    1

  2. 自己紹介 • 坂口俊文 • 所属: なし • X: @siskrn •

    実績 • CVE-2015-1868(PowerDNS Recursor) • CVE-2016-2848(BIND) • CVE-2017-15120(PowerDNS Recursor) • CVE-2018-1110(Knot Resolver) • CVE-2018-14644(PowerDNS Recursor) • CVE-2018-5744(BIND) • CVE-2024-1737(BIND) ⇐ New • CVE-2024-8508(Unbound) ⇐ New • CVE-2024-25590(PowerDNS Recursor) ⇐New 2

  3. 2024年に発見した性能問題 • BIND: CVE-2024-1737 BIND’s database will be slow if

    a very large number of RRs exist at the same name • Unbound: CVE-2024-8508 Unbounded name compression could lead to Denial of Service • PowerDNS Recursor: CVE-2024-25590: Crafted responses can lead to a denial of service due to cache inefficiencies in the Recursor • Knot Resolver: 脆弱性として扱われていないが、CPU使用率が上昇し応答が遅 延する問題があり、libknot(knot DNS)が修正。 3

  4. 検証環境 • CPU: RYZEN 7 1700 • Memory 64GB •

    Windows 10 ProにインストールしたVMware Workstation上の仮想マシン • Rocky Linux 9 • 16 vCPU • 16 GBメモリ 4

  5. BINDの性能問題 • CVE: CVE-2024-1737 • 概要: 同じドメイン名に大量のRRが設定されたデータをキャッシュしているフルリ ゾルバにおいて、クライアントからのクエリを処理したとき、namedのCPU使用率 が増加し、応答の遅延やタイムアウトが発生。 •

    対策: RRsetのレコード数の上限をmax-records-per-type(default: 100)に制限。 同一ドメイン名のレコードのタイプ数の上限をmax-types-per-name(default: 100)に制限 5

  6. BINDの性能問題 権威サーバに次のRRset(レコード数2000)を設定。 フルリゾルバへこのRRsetのクエリを100qpsで送信。 6 a.example.com. IN A 192.0.2.1 a.example.com. IN

    A 192.0.2.2 a.example.com. IN A 192.0.2.3 … $ echo “a.example.com A” > query_data.txt $ resperf -d query_data.txt -c 1000 -m 100 -C 30 -R

  7. Unboundの性能問題 • CVE: CVE-2024-8508 • 概要: 多くのラベルを含むドメイン名を持つ、非常に大きなRRsetをキャッシュし ている場合、クライアントからのクエリを処理したとき、名前圧縮処理により unboundのCPU使用率が増加し、応答の遅延やタイムアウトが発生。 •

    対策: DNSメッセージ内での名前圧縮の回数を120に制限。 7

  8. Unboundの性能問題 権威サーバに次のRRset(レコード数2000)を設定。各ドメイン名のラベル”0”はそ れぞれ110個。 フルリゾルバへこのRRsetのクエリを1000qpsで送信。 • TransportはTCP • 各クエリはフルリゾルバへDNSメッセージを送信後、リプライを待たずに接続を 切断します。不要なトラフィックを避けるため。 8

    0.<snip>.0.example.com. IN MX 10 mx1.0.<snip>.0.example.com. 0.<snip>.0.example.com. IN MX 10 mx2.0.<snip>.0.example.com. …

  9. PowerDNS Recursorの性能問題 • CVE: CVE-2024-25590 • 概要:多くのラベルを含むドメイン名を持つ、非常に大きなRRsetをキャッシュして いるフルリゾルバにおいて、クライアントからのクエリを処理したとき、pdns- recursorのCPU使用率が増加し、応答の遅延やタイムアウトが発生。 •

    対策: RRsetのレコード数の上限をmax-rrset-size(default: 256)に制限。 9

  10. PowerDNS Recursorの性能問題 ゾーンexample.com.の権威サーバに次のレコードを設定。 ゾーンexample.jp.の権威サーバに、次のRRset(レコード数2000)を設定。各ドメイ ン名のラベル”0”はそれぞれ110個。 フルリゾルバへ*.example.com (ランダムサブドメイン)のクエリを1000qpsで送信。 10 $ resperf

    -d random_query_data.txt –m 1000 –C 30 a.0.<snip>.0.example.com. IN A 192.0.2.1 a.0.<snip>.0.example.com. IN A 192.0.2.2 … *.example.com. IN CNAME a.0.<snip>.0.example.com.

  11. Knot Resolverの性能問題 • CVE: なし • 概要: 非常に大きなRRsetをキャッシュしているフルリゾルバにおいて、クライア ントからのクエリを処理したとき、kresdのCPU使用率が増加し応答の遅延が発 生。

    • 対策: ライブラリlibknot(Knot DNS)のパフォーマンスの改善。 11 Version 3.3.9 Monday, August 26, 2024 Improvements: ➢ libknot: added EDE code 30 ➢ libknot: improved performance of knot_rrset_to_wire_extra() ➢ libs: upgraded embedded libngtcp2 to 1.7.0 ➢ doc: various fixes and updates

  12. Knot Resolverの性能問題 権威サーバに次のRRset(レコード数4000)を設定。 フルリゾルバへこのRRsetのクエリを2000qpsで送信。 • TransportはTCP • 各クエリはフルリゾルバへDNSメッセージを送信後、リプライを待たずに接続を切断します。不要 なトラフィックを避けるため。 12

    a.example.com. IN A 192.0.2.1 a.example.com. IN A 192.0.2.2 a.example.com. IN A 192.0.2.3 …

  13. 性能問題の比較 表の上のほうが攻撃が容易(QPSが少ない、UDPが利用可能)。 13 攻撃側の用意するRRsetの特徴 Transport BIND RRsetのレコード数 UDP/TCP PowerDNS Recusor

    RRsetのレコード数とラベル数 UDP/TCP Unbound RRsetのレコード数とラベル数 TCP Knot Resolver RRsetのレコード数 TCP

  14. DNSメッセージ内のレコード数 これらの問題はDNSメッセージ内に多数のレコードを入れることができることに起 因する。 • DNSメッセージでは、ANCOUNT/NSCOUNT/ARCOUNTでレコード数を表します が、符号なし16bit整数のため、実質的な上限値にはならない。 • レコード数の上限を決定するのは、DNSメッセージのサイズ上限。 • TCP利用時の2^16-1(65,535)byte

    • 名前圧縮により非常に多くのレコード(4000以上)を、ひとつのメッセージ内に入 れることが可能。 NXNSAttackもこの性質を利用。 • このときに本問題を発見すべきだったかもしれない。 14

  15. これからの課題 一部のフルリゾルバにおいて、RRsetのレコード数の上限値が導入 • メーリングリストbind-usersに、この制限に起因する問題が数件投稿 • ゾーン頂点のTXTレコード数がdefaultの上限数100に到達する可能性 • SPFレコードの名前解決失敗により、メールの送信ドメイン認証に影響を与える可能性 対策となりえるI-D •

    Upper limit values for DNS 共通のレコード数上限値が必要。 • Domain Control Validation using DNS ゾーン頂点にTXTレコードを置かない。 15

  16. これからの(個人的な)課題 • それぞれのフルリゾルバに制限されない項目があるため継続調査 16 対策(新しい制限) 制限されない項目 BIND RRsetのレコード数の制限 (default: 100)

    ラベル数、名前圧縮に制限なし PowerDNS Recusor RRsetのレコード数の制限 (default: 256) ラベル数、名前圧縮に制限なし Unbound 名前圧縮の回数制限(120) RRsetのレコード数に制限なし Knot Resolver 性能改善のみで新しい制限はな し RRsetのレコード数に制限なし ラベル数、名前圧縮に制限なし

  17. これからの(個人的な)課題 • 権威サーバ • セカンダリサービスなど他者がゾーンを自由に設定できるサービス • NSD • PowerDNS Authoritative

    Server • Knot DNS • YADIFA • DNSクライアント • 非常に多いレコード数のRRsetがある場合のDNSクライアントの動作 • 例:Postfix stable release 3.8.6, and legacy releases 3.7.11, 3.6.15, 3.5.25 • 宛先のドメイン名のMXレコードとそのAレコードが非常に多い場合、メール送信プロセス(postfix/smtp)がS tack領域を使い切り異常終了。 17

  18. まとめ • レコード数の非常に多いRRsetを利用することで、フルリゾルバの性能を低下す ることができる問題が存在した。 • その対策により一部のフルリゾルバでは、レコード数の制限が導入されたが、そ の影響が懸念される。 • レコード数の非常に多いRRsetの問題は、今後も調査予定。 18