DNSSEC 的一个严重缺陷需要对关键互联网安全标准进行彻底改革。

德国国家应用网络安全研究中心 ATHENE 发现了域名安全系统（DNSSEC ）中的 一个严重漏洞，该漏洞可能会给整个互联网带来严重后果。

DNSSEC 规范中隐藏了 24 年的一个错误，仅允许一个数据包就使服务器超载，导致用户无法使用。这一发现可能会威胁互联网的稳定性，因为它影响域名系统的基本运作。

DNSSEC 是域名系统的扩展，旨在通过使用加密技术来防止数据欺骗。然而，发现的漏洞（称为 KeyTrap 并指定为 CVE-2023-50387 ）可以绕过此保护，导致服务器处理器负载过重。

研究人员发现，KeyTrap 攻击可以完全阻止 Google 和 Cloudflare 等公共 DNS 服务。

攻击的后果可能是真正毁灭性的，包括中断对网站、电子邮件和即时消息的访问。据估计，全球大约 31% 的互联网客户端使用易受攻击的 DNS 解析器，并可能受到此漏洞的影响。

该安全漏洞允许攻击者通过迫使 DNS 解析器执行复杂的计算来实施攻击，导致解析器停止几秒到 16 小时不等。该攻击基于恶意服务器的特定响应，该响应在尝试验证 DNSSEC 时会导致 CPU 过载。

DNS服务器软件开发商和主要DNS提供商已经发布了补丁来修复该漏洞。 Google、NLnet Labs 和 PowerDNS 已确认发布旨在防止 KeyTrap 利用的更新。与此同时，正如研究人员指出的，彻底消除该漏洞需要对 DNSSEC 标准进行建设性修订。

KeyTrap的发现提出了进一步完善互联网安全标准的必要性，并凸显了学术界和工业界在网络安全领域合作的重要性。

文章原文链接:https://www.anquanke.com/post/id/293246