SlideShare ist ein Scribd-Unternehmen logo

Ripe64 - ljubljana - dnssec - udp issues-20120418

SURFnet
SURFnet
Technologie
1 von 16
DNSSEC: dealing with hosts that don’t get fragments RIPE 64 DNS wg, Ljubljana, April 18th 2012 Roland van Rijswijk roland.vanrijswijk@surfnet.nl
Introducing the issue -In 2010 and in March last year we had “issues” with a very large ISP in The Netherlands -Customers of the ISP were unable to resolve names in surfnet.nl -The cause turned out to be an issue with the ISP’s firewall 2 SURFnet. We make innovation work cb
A picture to make it clearer ;-) Authoritative Name Server ➀ ➁ min(MTU) = 1500 bytes Internet (somewhere in transit) ➂ ➄ Firewall ➃ ➅ Recursive Caching Name Server 3 (resolver)
Serious business -Even though we do everything by the book w.r.t. DNSSEC, and even if people don’t validate they still have trouble resolving host names in our zone -We are a research network, so a few bumps in the road don’t scare us -But think of the big enterprises we are trying to convince to start deploying DNSSEC! -Also: the ISP was unable/unwilling to change the firewall setting (“It’s almost Christmas”) 4 SURFnet. We make innovation work cb
Research at SURFnet -Short student assignment to confirm the problem http://bit.ly/dnssec-frags -Student research confirmed: FRTE messages show up when UDP fragments are dropped -Currently: M.Sc. student working on problem mitigation options and better detection 5 SURFnet. We make innovation work cb
How big is the problem? #1 -- EDNS0 use: 6 Well over 50% of querying hosts use EDNS0
How big is the problem? #2 -- EDNS0 advertised buffer size 7 About 90% advertise (default) 4K buffer size
How big is the problem? #3 -- DNSSEC OK bit set: 8 The vast majority sets DO=1
Mitigation approaches -Two approaches to mitigation -One: lowering the EDNS0 buffer size on one of the authoritative name servers in the NS set of a domain -Two: detecting problem hosts with a sensor and adapting name server behaviour (dynamically adjusting EDNS0 buffer size) 9 SURFnet. We make innovation work cb
Real detection -ICMP may be blocked by a firewall -How to detect problem hosts that aren’t allowing ICMP through? -Heuristic approach, 5 rules #1 ICMP FRTE is seen #2 EDNS0 header toggled on/off by querying host #3 (Excessive) retries within TTL of record #4 Changing EDNS0 buffer size in queries #5 Fallback to TCP without truncation 10 SURFnet. We make innovation work cb
Experiments -Experiment #1: Lowering the EDNS0 buffer size on one authoritative name server to 1232 bytes, so below IPv6 minimum MTU -Experiment #2: Selectively modify advertised EDNS0 buffer size in queries originating from “problem” hosts before they reach the name server 11 SURFnet. We make innovation work cb
Problem hosts detected Problem(Hosts(per(Case(Type( 100,00%$ 80,00%$ 60,00%$ 40,00%$ 20,00%$ 0,00%$ Case$1$ Case$2$ Case$3$ Case$4$ Case$5$ Problem(Hosts(with(Case(Types( 25000! 20000! 15000! 10000! 5000! 0! ! ! ! ! ! 1!case!type! 2!case!types! 3!case!types! 4!case!types! 5!case!types! Pct.! 0,538605791! 0,386232935! 0,072760914! 0,00240036! 0! Occ.! 21541! 15447! 2910! 96! 0! Analysis shows: ≥2% confirmed problem host 12 SURFnet. We make innovation work cb
ICMP FRTE behaviour 5,00%$ 4,50%$ 4,00%$ Normal$Opera>ons$IPv4$ 3,50%$ maxCudpCsize=1232$IPv4$ 3,00%$ 2,50%$ Using$DNSRM$IPv4$ 2,00%$ Normal$Opera>ons$IPv6$ 1,50%$ maxCudpCsize=1232$IPv6$ 1,00%$ 0,50%$ Using$DNSRM$IPv6$ 0,00%$ FRTE$sending$hosts$ 7,00# 6,00# Normal#OperaAons#IPv4# 5,00# maxFudpFsize=1232#IPv4# 4,00# Using#DNSRM#IPv4# 3,00# Normal#OperaAons#IPv6# 2,00# maxFudpFsize=1232#IPv6# 1,00# Using#DNSRM#IPv6# 0,00# FRTE#messages/FRTE#Sending#Host# Bottom line: both approaches tackle the problem 13 SURFnet. We make innovation work cb
Some side-effects 2,00%$ 1,80%$ 1,60%$ Normal$Opera>ons$IPv4$ 1,40%$ maxBudpBsize=1232$IPv4$ 1,20%$ 1,00%$ Using$DNSRM$IPv4$ 0,80%$ Normal$Opera>ons$IPv6$ 0,60%$ maxBudpBsize=1232$IPv6$ 0,40%$ 0,20%$ Using$DNSRM$IPv6$ 0,00%$ Truncated$UDP$messages$ 3,00%$ 2,50%$ Normal$Opera?ons$IPv4$ 2,00%$ maxDudpDsize=1232$IPv4$ 1,50%$ Using$DNSRM$IPv4$ Normal$Opera?ons$IPv6$ 1,00%$ maxDudpDsize=1232$IPv6$ 0,50%$ Using$DNSRM$IPv6$ 0,00%$ Hosts$falling$back$to$TCP$ Note: long bars, but very low percentages 14 SURFnet. We make innovation work cb
Conclusion -This seems to be a serious issue for DNSSEC- signed zones -There are ways to ameliorate the problem -We are considering writing a best-practice paper (or even an informational RFC) -Expect a paper in IEEE CC Review or ACM Transactions on Networking -Check your firewall settings if you start doing DNSSEC validation on your resolvers! 15 SURFnet. We make innovation work cb
roland.vanrijswijk@surfnet.nl Questions? Comments? nl.linkedin.com/in/rolandvanrijswijk Please contact me! @reseauxsansfil

Empfohlen

Cloud gebaseeerde infrastructuur voor bevolkingsonderzoek
Cloud gebaseeerde infrastructuur voor bevolkingsonderzoekCloud gebaseeerde infrastructuur voor bevolkingsonderzoek
Cloud gebaseeerde infrastructuur voor bevolkingsonderzoek
SURFnet
 
Cloud services via Netherlight
Cloud services via NetherlightCloud services via Netherlight
Cloud services via Netherlight
SURFnet
 
Maak student meer de baas over eigen data
Maak student meer de baas over eigen dataMaak student meer de baas over eigen data
Maak student meer de baas over eigen data
SURFnet
 
The Big Switch
The Big SwitchThe Big Switch
The Big Switch
SURFnet
 
Opening
OpeningOpening
Opening
SURFnet
 
Eisen en wensen van een onderzoeker – Saskia Haitjema - SNRD2016
Eisen en wensen van een onderzoeker – Saskia Haitjema - SNRD2016Eisen en wensen van een onderzoeker – Saskia Haitjema - SNRD2016
Eisen en wensen van een onderzoeker – Saskia Haitjema - SNRD2016
SURFnet
 
Nieuwe onderwijs- en onderzoekstoepassingen door slimme wifi-netwerken - Roy ...
Nieuwe onderwijs- en onderzoekstoepassingen door slimme wifi-netwerken - Roy ...Nieuwe onderwijs- en onderzoekstoepassingen door slimme wifi-netwerken - Roy ...
Nieuwe onderwijs- en onderzoekstoepassingen door slimme wifi-netwerken - Roy ...
SURFnet
 
Opening SURFnet Relatiedagen 2012
Opening SURFnet Relatiedagen 2012 Opening SURFnet Relatiedagen 2012
Opening SURFnet Relatiedagen 2012
SURFnet
 

Empfohlen

Cloud gebaseeerde infrastructuur voor bevolkingsonderzoek
Cloud gebaseeerde infrastructuur voor bevolkingsonderzoekCloud gebaseeerde infrastructuur voor bevolkingsonderzoek
Cloud gebaseeerde infrastructuur voor bevolkingsonderzoek
SURFnet
 
Cloud services via Netherlight
Cloud services via NetherlightCloud services via Netherlight
Cloud services via Netherlight
SURFnet
 
Maak student meer de baas over eigen data
Maak student meer de baas over eigen dataMaak student meer de baas over eigen data
Maak student meer de baas over eigen data
SURFnet
 
The Big Switch
The Big SwitchThe Big Switch
The Big Switch
SURFnet
 
Opening
OpeningOpening
Opening
SURFnet
 
Eisen en wensen van een onderzoeker – Saskia Haitjema - SNRD2016
Eisen en wensen van een onderzoeker – Saskia Haitjema - SNRD2016Eisen en wensen van een onderzoeker – Saskia Haitjema - SNRD2016
Eisen en wensen van een onderzoeker – Saskia Haitjema - SNRD2016
SURFnet
 
Nieuwe onderwijs- en onderzoekstoepassingen door slimme wifi-netwerken - Roy ...
Nieuwe onderwijs- en onderzoekstoepassingen door slimme wifi-netwerken - Roy ...Nieuwe onderwijs- en onderzoekstoepassingen door slimme wifi-netwerken - Roy ...
Nieuwe onderwijs- en onderzoekstoepassingen door slimme wifi-netwerken - Roy ...
SURFnet
 
Opening SURFnet Relatiedagen 2012
Opening SURFnet Relatiedagen 2012 Opening SURFnet Relatiedagen 2012
Opening SURFnet Relatiedagen 2012
SURFnet
 
Expertmeeting OpenSocial portals - Liferay bij avans
Expertmeeting OpenSocial portals - Liferay bij avansExpertmeeting OpenSocial portals - Liferay bij avans
Expertmeeting OpenSocial portals - Liferay bij avans
SURFnet
 
Privacy in the cloud
Privacy in the cloudPrivacy in the cloud
Privacy in the cloud
SURFnet
 
Workshop 'Big Data' Jop Esmeijer
Workshop 'Big Data' Jop EsmeijerWorkshop 'Big Data' Jop Esmeijer
Workshop 'Big Data' Jop Esmeijer
SURFnet
 
Help! Het internet is weg! – Jeffeny Hoogervorst - SNRD2016
Help! Het internet is weg! – Jeffeny Hoogervorst - SNRD2016Help! Het internet is weg! – Jeffeny Hoogervorst - SNRD2016
Help! Het internet is weg! – Jeffeny Hoogervorst - SNRD2016
SURFnet
 
Krachten bundelen voor een excellente draadvrije infrastructuur voor onderwij...
Krachten bundelen voor een excellente draadvrije infrastructuur voor onderwij...Krachten bundelen voor een excellente draadvrije infrastructuur voor onderwij...
Krachten bundelen voor een excellente draadvrije infrastructuur voor onderwij...
SURFnet
 
TNC 2012: 4g and eduroam
TNC 2012: 4g and eduroamTNC 2012: 4g and eduroam
TNC 2012: 4g and eduroam
SURFnet
 
SURFnet - ICP overleg 18 april 2012 -Erwin Bleumink
SURFnet - ICP overleg 18 april 2012 -Erwin BleuminkSURFnet - ICP overleg 18 april 2012 -Erwin Bleumink
SURFnet - ICP overleg 18 april 2012 -Erwin Bleumink
SURFnet
 
Workshop 'Big data' Simon Hania
Workshop 'Big data' Simon HaniaWorkshop 'Big data' Simon Hania
Workshop 'Big data' Simon Hania
SURFnet
 
Parallelsessie Crisismanagement - Cyber Security Congres
Parallelsessie Crisismanagement - Cyber Security CongresParallelsessie Crisismanagement - Cyber Security Congres
Parallelsessie Crisismanagement - Cyber Security Congres
SURFnet
 
Cybersecurity op de bestuurstafel
Cybersecurity op de bestuurstafelCybersecurity op de bestuurstafel
Cybersecurity op de bestuurstafel
SURFnet
 
7-minute-speeches. Deel 3.
7-minute-speeches. Deel 3.7-minute-speeches. Deel 3.
7-minute-speeches. Deel 3.
SURFnet
 
The mobile evolution of the employee and student pass
The mobile evolution of the employee and student passThe mobile evolution of the employee and student pass
The mobile evolution of the employee and student pass
SURFnet
 
Location-based services: van theorie naar praktijk. Deel 2
Location-based services: van theorie naar praktijk. Deel 2Location-based services: van theorie naar praktijk. Deel 2
Location-based services: van theorie naar praktijk. Deel 2
SURFnet
 
Automatisering en orkestratie: update en toekomstplannen
Automatisering en orkestratie: update en toekomstplannenAutomatisering en orkestratie: update en toekomstplannen
Automatisering en orkestratie: update en toekomstplannen
SURFnet
 
Welke nieuwe mogelijkheden biedt het SURFnet8-netwerk? Deel 2
Welke nieuwe mogelijkheden biedt het SURFnet8-netwerk? Deel 2Welke nieuwe mogelijkheden biedt het SURFnet8-netwerk? Deel 2
Welke nieuwe mogelijkheden biedt het SURFnet8-netwerk? Deel 2
SURFnet
 
Welke nieuwe mogelijkheden biedt het SURFnet8-netwerk? Deel 1
Welke nieuwe mogelijkheden biedt het SURFnet8-netwerk? Deel 1Welke nieuwe mogelijkheden biedt het SURFnet8-netwerk? Deel 1
Welke nieuwe mogelijkheden biedt het SURFnet8-netwerk? Deel 1
SURFnet
 
RUGnet, een service oriented internationaal netwerk van Fryslân tot China
RUGnet, een service oriented internationaal netwerk van Fryslân tot ChinaRUGnet, een service oriented internationaal netwerk van Fryslân tot China
RUGnet, een service oriented internationaal netwerk van Fryslân tot China
SURFnet
 
Opening en netwerkvisie SURF
Opening en netwerkvisie SURFOpening en netwerkvisie SURF
Opening en netwerkvisie SURF
SURFnet
 
Trends in unwired communications
Trends in unwired communicationsTrends in unwired communications
Trends in unwired communications
SURFnet
 
Netwerkfunctievirtualisatie: proof-of-concept en demo
Netwerkfunctievirtualisatie: proof-of-concept en demoNetwerkfunctievirtualisatie: proof-of-concept en demo
Netwerkfunctievirtualisatie: proof-of-concept en demo
SURFnet
 
SURF-dienstenportfolio: draadvrije netwerk. Deel 4
SURF-dienstenportfolio: draadvrije netwerk. Deel 4SURF-dienstenportfolio: draadvrije netwerk. Deel 4
SURF-dienstenportfolio: draadvrije netwerk. Deel 4
SURFnet
 
SURF-dienstenportfolio: draadvrije netwerk. Deel 3
SURF-dienstenportfolio: draadvrije netwerk. Deel 3SURF-dienstenportfolio: draadvrije netwerk. Deel 3
SURF-dienstenportfolio: draadvrije netwerk. Deel 3
SURFnet
 

Weitere ähnliche Inhalte

Andere mochten auch

TNC 2012: 4g and eduroam
TNC 2012: 4g and eduroamTNC 2012: 4g and eduroam
TNC 2012: 4g and eduroam
SURFnet
 
SURFnet - ICP overleg 18 april 2012 -Erwin Bleumink
SURFnet - ICP overleg 18 april 2012 -Erwin BleuminkSURFnet - ICP overleg 18 april 2012 -Erwin Bleumink
SURFnet - ICP overleg 18 april 2012 -Erwin Bleumink
SURFnet
 

Andere mochten auch (10)

Expertmeeting OpenSocial portals - Liferay bij avans
Expertmeeting OpenSocial portals - Liferay bij avansExpertmeeting OpenSocial portals - Liferay bij avans
Expertmeeting OpenSocial portals - Liferay bij avans
 
Privacy in the cloud
Privacy in the cloudPrivacy in the cloud
Privacy in the cloud
 
Workshop 'Big Data' Jop Esmeijer
Workshop 'Big Data' Jop EsmeijerWorkshop 'Big Data' Jop Esmeijer
Workshop 'Big Data' Jop Esmeijer
 
Help! Het internet is weg! – Jeffeny Hoogervorst - SNRD2016
Help! Het internet is weg! – Jeffeny Hoogervorst - SNRD2016Help! Het internet is weg! – Jeffeny Hoogervorst - SNRD2016
Help! Het internet is weg! – Jeffeny Hoogervorst - SNRD2016
 
Krachten bundelen voor een excellente draadvrije infrastructuur voor onderwij...
Krachten bundelen voor een excellente draadvrije infrastructuur voor onderwij...Krachten bundelen voor een excellente draadvrije infrastructuur voor onderwij...
Krachten bundelen voor een excellente draadvrije infrastructuur voor onderwij...
 
TNC 2012: 4g and eduroam
TNC 2012: 4g and eduroamTNC 2012: 4g and eduroam
TNC 2012: 4g and eduroam
 
SURFnet - ICP overleg 18 april 2012 -Erwin Bleumink
SURFnet - ICP overleg 18 april 2012 -Erwin BleuminkSURFnet - ICP overleg 18 april 2012 -Erwin Bleumink
SURFnet - ICP overleg 18 april 2012 -Erwin Bleumink
 
Workshop 'Big data' Simon Hania
Workshop 'Big data' Simon HaniaWorkshop 'Big data' Simon Hania
Workshop 'Big data' Simon Hania
 
Parallelsessie Crisismanagement - Cyber Security Congres
Parallelsessie Crisismanagement - Cyber Security CongresParallelsessie Crisismanagement - Cyber Security Congres
Parallelsessie Crisismanagement - Cyber Security Congres
 
Cybersecurity op de bestuurstafel
Cybersecurity op de bestuurstafelCybersecurity op de bestuurstafel
Cybersecurity op de bestuurstafel
 

Mehr von SURFnet

Mehr von SURFnet (20)

7-minute-speeches. Deel 3.
7-minute-speeches. Deel 3.7-minute-speeches. Deel 3.
7-minute-speeches. Deel 3.
 
The mobile evolution of the employee and student pass
The mobile evolution of the employee and student passThe mobile evolution of the employee and student pass
The mobile evolution of the employee and student pass
 
Location-based services: van theorie naar praktijk. Deel 2
Location-based services: van theorie naar praktijk. Deel 2Location-based services: van theorie naar praktijk. Deel 2
Location-based services: van theorie naar praktijk. Deel 2
 
Automatisering en orkestratie: update en toekomstplannen
Automatisering en orkestratie: update en toekomstplannenAutomatisering en orkestratie: update en toekomstplannen
Automatisering en orkestratie: update en toekomstplannen
 
Welke nieuwe mogelijkheden biedt het SURFnet8-netwerk? Deel 2
Welke nieuwe mogelijkheden biedt het SURFnet8-netwerk? Deel 2Welke nieuwe mogelijkheden biedt het SURFnet8-netwerk? Deel 2
Welke nieuwe mogelijkheden biedt het SURFnet8-netwerk? Deel 2
 
Welke nieuwe mogelijkheden biedt het SURFnet8-netwerk? Deel 1
Welke nieuwe mogelijkheden biedt het SURFnet8-netwerk? Deel 1Welke nieuwe mogelijkheden biedt het SURFnet8-netwerk? Deel 1
Welke nieuwe mogelijkheden biedt het SURFnet8-netwerk? Deel 1
 
RUGnet, een service oriented internationaal netwerk van Fryslân tot China
RUGnet, een service oriented internationaal netwerk van Fryslân tot ChinaRUGnet, een service oriented internationaal netwerk van Fryslân tot China
RUGnet, een service oriented internationaal netwerk van Fryslân tot China
 
Opening en netwerkvisie SURF
Opening en netwerkvisie SURFOpening en netwerkvisie SURF
Opening en netwerkvisie SURF
 
Trends in unwired communications
Trends in unwired communicationsTrends in unwired communications
Trends in unwired communications
 
Netwerkfunctievirtualisatie: proof-of-concept en demo
Netwerkfunctievirtualisatie: proof-of-concept en demoNetwerkfunctievirtualisatie: proof-of-concept en demo
Netwerkfunctievirtualisatie: proof-of-concept en demo
 
SURF-dienstenportfolio: draadvrije netwerk. Deel 4
SURF-dienstenportfolio: draadvrije netwerk. Deel 4SURF-dienstenportfolio: draadvrije netwerk. Deel 4
SURF-dienstenportfolio: draadvrije netwerk. Deel 4
 
SURF-dienstenportfolio: draadvrije netwerk. Deel 3
SURF-dienstenportfolio: draadvrije netwerk. Deel 3SURF-dienstenportfolio: draadvrije netwerk. Deel 3
SURF-dienstenportfolio: draadvrije netwerk. Deel 3
 
SURF-dienstenportfolio: draadvrije netwerk. Deel 2
SURF-dienstenportfolio: draadvrije netwerk. Deel 2SURF-dienstenportfolio: draadvrije netwerk. Deel 2
SURF-dienstenportfolio: draadvrije netwerk. Deel 2
 
SURF-dienstenportfolio: draadvrije netwerk. Deel 1
SURF-dienstenportfolio: draadvrije netwerk. Deel 1SURF-dienstenportfolio: draadvrije netwerk. Deel 1
SURF-dienstenportfolio: draadvrije netwerk. Deel 1
 
De toekomst van netwerkinfrastructuur op de campus: in gesprek!
De toekomst van netwerkinfrastructuur op de campus: in gesprek!De toekomst van netwerkinfrastructuur op de campus: in gesprek!
De toekomst van netwerkinfrastructuur op de campus: in gesprek!
 
Research data zone: veilige en geoptimaliseerde netwerkomgeving voor onderzoe...
Research data zone: veilige en geoptimaliseerde netwerkomgeving voor onderzoe...Research data zone: veilige en geoptimaliseerde netwerkomgeving voor onderzoe...
Research data zone: veilige en geoptimaliseerde netwerkomgeving voor onderzoe...
 
7-minute-speeches. Deel 2
7-minute-speeches. Deel 27-minute-speeches. Deel 2
7-minute-speeches. Deel 2
 
Nieuwe mogelijkheden van het SURFnet-netwerk Dashboard
Nieuwe mogelijkheden van het SURFnet-netwerk DashboardNieuwe mogelijkheden van het SURFnet-netwerk Dashboard
Nieuwe mogelijkheden van het SURFnet-netwerk Dashboard
 
7-minute-speeches
7-minute-speeches7-minute-speeches
7-minute-speeches
 
Winnende voorstellen location-based services - deel 2
Winnende voorstellen location-based services - deel 2Winnende voorstellen location-based services - deel 2
Winnende voorstellen location-based services - deel 2
 

Kürzlich hochgeladen

Boost PC performance: How more available memory can improve productivity
Boost PC performance: How more available memory can improve productivityBoost PC performance: How more available memory can improve productivity
Boost PC performance: How more available memory can improve productivity
Principled Technologies
 
Driving Behavioral Change for Information Management through Data-Driven Gree...
Driving Behavioral Change for Information Management through Data-Driven Gree...Driving Behavioral Change for Information Management through Data-Driven Gree...
Driving Behavioral Change for Information Management through Data-Driven Gree...
Enterprise Knowledge
 
+971581248768>> SAFE AND ORIGINAL ABORTION PILLS FOR SALE IN DUBAI AND ABUDHA...
+971581248768>> SAFE AND ORIGINAL ABORTION PILLS FOR SALE IN DUBAI AND ABUDHA...+971581248768>> SAFE AND ORIGINAL ABORTION PILLS FOR SALE IN DUBAI AND ABUDHA...
+971581248768>> SAFE AND ORIGINAL ABORTION PILLS FOR SALE IN DUBAI AND ABUDHA...
?#DUbAI#??##{{(☎️+971_581248768%)**%*]'#abortion pills for sale in dubai@
 
Strategies for Unlocking Knowledge Management in Microsoft 365 in the Copilot...
Strategies for Unlocking Knowledge Management in Microsoft 365 in the Copilot...Strategies for Unlocking Knowledge Management in Microsoft 365 in the Copilot...
Strategies for Unlocking Knowledge Management in Microsoft 365 in the Copilot...
Drew Madelung
 

Kürzlich hochgeladen (20)

The 7 Things I Know About Cyber Security After 25 Years | April 2024
The 7 Things I Know About Cyber Security After 25 Years | April 2024The 7 Things I Know About Cyber Security After 25 Years | April 2024
The 7 Things I Know About Cyber Security After 25 Years | April 2024
 
[2024]Digital Global Overview Report 2024 Meltwater.pdf
[2024]Digital Global Overview Report 2024 Meltwater.pdf[2024]Digital Global Overview Report 2024 Meltwater.pdf
[2024]Digital Global Overview Report 2024 Meltwater.pdf
 
04-2024-HHUG-Sales-and-Marketing-Alignment.pptx
04-2024-HHUG-Sales-and-Marketing-Alignment.pptx04-2024-HHUG-Sales-and-Marketing-Alignment.pptx
04-2024-HHUG-Sales-and-Marketing-Alignment.pptx
 
HTML Injection Attacks: Impact and Mitigation Strategies
HTML Injection Attacks: Impact and Mitigation StrategiesHTML Injection Attacks: Impact and Mitigation Strategies
HTML Injection Attacks: Impact and Mitigation Strategies
 
Data Cloud, More than a CDP by Matt Robison
Data Cloud, More than a CDP by Matt RobisonData Cloud, More than a CDP by Matt Robison
Data Cloud, More than a CDP by Matt Robison
 
Exploring the Future Potential of AI-Enabled Smartphone Processors
Exploring the Future Potential of AI-Enabled Smartphone ProcessorsExploring the Future Potential of AI-Enabled Smartphone Processors
Exploring the Future Potential of AI-Enabled Smartphone Processors
 
Workshop - Best of Both Worlds_ Combine KG and Vector search for enhanced R...
Workshop - Best of Both Worlds_ Combine KG and Vector search for enhanced R...Workshop - Best of Both Worlds_ Combine KG and Vector search for enhanced R...
Workshop - Best of Both Worlds_ Combine KG and Vector search for enhanced R...
 
Bajaj Allianz Life Insurance Company - Insurer Innovation Award 2024
Bajaj Allianz Life Insurance Company - Insurer Innovation Award 2024Bajaj Allianz Life Insurance Company - Insurer Innovation Award 2024
Bajaj Allianz Life Insurance Company - Insurer Innovation Award 2024
 
Boost PC performance: How more available memory can improve productivity
Boost PC performance: How more available memory can improve productivityBoost PC performance: How more available memory can improve productivity
Boost PC performance: How more available memory can improve productivity
 
Driving Behavioral Change for Information Management through Data-Driven Gree...
Driving Behavioral Change for Information Management through Data-Driven Gree...Driving Behavioral Change for Information Management through Data-Driven Gree...
Driving Behavioral Change for Information Management through Data-Driven Gree...
 
Scaling API-first – The story of a global engineering organization
Scaling API-first – The story of a global engineering organizationScaling API-first – The story of a global engineering organization
Scaling API-first – The story of a global engineering organization
 
Apidays Singapore 2024 - Building Digital Trust in a Digital Economy by Veron...
Apidays Singapore 2024 - Building Digital Trust in a Digital Economy by Veron...Apidays Singapore 2024 - Building Digital Trust in a Digital Economy by Veron...
Apidays Singapore 2024 - Building Digital Trust in a Digital Economy by Veron...
 
What Are The Drone Anti-jamming Systems Technology?
What Are The Drone Anti-jamming Systems Technology?What Are The Drone Anti-jamming Systems Technology?
What Are The Drone Anti-jamming Systems Technology?
 
Apidays New York 2024 - The value of a flexible API Management solution for O...
Apidays New York 2024 - The value of a flexible API Management solution for O...Apidays New York 2024 - The value of a flexible API Management solution for O...
Apidays New York 2024 - The value of a flexible API Management solution for O...
 
presentation ICT roal in 21st century education
presentation ICT roal in 21st century educationpresentation ICT roal in 21st century education
presentation ICT roal in 21st century education
 
Axa Assurance Maroc - Insurer Innovation Award 2024
Axa Assurance Maroc - Insurer Innovation Award 2024Axa Assurance Maroc - Insurer Innovation Award 2024
Axa Assurance Maroc - Insurer Innovation Award 2024
 
Tata AIG General Insurance Company - Insurer Innovation Award 2024
Tata AIG General Insurance Company - Insurer Innovation Award 2024Tata AIG General Insurance Company - Insurer Innovation Award 2024
Tata AIG General Insurance Company - Insurer Innovation Award 2024
 
A Domino Admins Adventures (Engage 2024)
A Domino Admins Adventures (Engage 2024)A Domino Admins Adventures (Engage 2024)
A Domino Admins Adventures (Engage 2024)
 
+971581248768>> SAFE AND ORIGINAL ABORTION PILLS FOR SALE IN DUBAI AND ABUDHA...
+971581248768>> SAFE AND ORIGINAL ABORTION PILLS FOR SALE IN DUBAI AND ABUDHA...+971581248768>> SAFE AND ORIGINAL ABORTION PILLS FOR SALE IN DUBAI AND ABUDHA...
+971581248768>> SAFE AND ORIGINAL ABORTION PILLS FOR SALE IN DUBAI AND ABUDHA...
 
Strategies for Unlocking Knowledge Management in Microsoft 365 in the Copilot...
Strategies for Unlocking Knowledge Management in Microsoft 365 in the Copilot...Strategies for Unlocking Knowledge Management in Microsoft 365 in the Copilot...
Strategies for Unlocking Knowledge Management in Microsoft 365 in the Copilot...
 

Ripe64 - ljubljana - dnssec - udp issues-20120418

  • 1. DNSSEC: dealing with hosts that don’t get fragments RIPE 64 DNS wg, Ljubljana, April 18th 2012 Roland van Rijswijk roland.vanrijswijk@surfnet.nl
  • 2. Introducing the issue -In 2010 and in March last year we had “issues” with a very large ISP in The Netherlands -Customers of the ISP were unable to resolve names in surfnet.nl -The cause turned out to be an issue with the ISP’s firewall 2 SURFnet. We make innovation work cb
  • 3. A picture to make it clearer ;-) Authoritative Name Server ➀ ➁ min(MTU) = 1500 bytes Internet (somewhere in transit) ➂ ➄ Firewall ➃ ➅ Recursive Caching Name Server 3 (resolver)
  • 4. Serious business -Even though we do everything by the book w.r.t. DNSSEC, and even if people don’t validate they still have trouble resolving host names in our zone -We are a research network, so a few bumps in the road don’t scare us -But think of the big enterprises we are trying to convince to start deploying DNSSEC! -Also: the ISP was unable/unwilling to change the firewall setting (“It’s almost Christmas”) 4 SURFnet. We make innovation work cb
  • 5. Research at SURFnet -Short student assignment to confirm the problem http://bit.ly/dnssec-frags -Student research confirmed: FRTE messages show up when UDP fragments are dropped -Currently: M.Sc. student working on problem mitigation options and better detection 5 SURFnet. We make innovation work cb
  • 6. How big is the problem? #1 -- EDNS0 use: 6 Well over 50% of querying hosts use EDNS0
  • 7. How big is the problem? #2 -- EDNS0 advertised buffer size 7 About 90% advertise (default) 4K buffer size
  • 8. How big is the problem? #3 -- DNSSEC OK bit set: 8 The vast majority sets DO=1
  • 9. Mitigation approaches -Two approaches to mitigation -One: lowering the EDNS0 buffer size on one of the authoritative name servers in the NS set of a domain -Two: detecting problem hosts with a sensor and adapting name server behaviour (dynamically adjusting EDNS0 buffer size) 9 SURFnet. We make innovation work cb
  • 10. Real detection -ICMP may be blocked by a firewall -How to detect problem hosts that aren’t allowing ICMP through? -Heuristic approach, 5 rules #1 ICMP FRTE is seen #2 EDNS0 header toggled on/off by querying host #3 (Excessive) retries within TTL of record #4 Changing EDNS0 buffer size in queries #5 Fallback to TCP without truncation 10 SURFnet. We make innovation work cb
  • 11. Experiments -Experiment #1: Lowering the EDNS0 buffer size on one authoritative name server to 1232 bytes, so below IPv6 minimum MTU -Experiment #2: Selectively modify advertised EDNS0 buffer size in queries originating from “problem” hosts before they reach the name server 11 SURFnet. We make innovation work cb
  • 12. Problem hosts detected Problem(Hosts(per(Case(Type( 100,00%$ 80,00%$ 60,00%$ 40,00%$ 20,00%$ 0,00%$ Case$1$ Case$2$ Case$3$ Case$4$ Case$5$ Problem(Hosts(with(Case(Types( 25000! 20000! 15000! 10000! 5000! 0! ! ! ! ! ! 1!case!type! 2!case!types! 3!case!types! 4!case!types! 5!case!types! Pct.! 0,538605791! 0,386232935! 0,072760914! 0,00240036! 0! Occ.! 21541! 15447! 2910! 96! 0! Analysis shows: ≥2% confirmed problem host 12 SURFnet. We make innovation work cb
  • 13. ICMP FRTE behaviour 5,00%$ 4,50%$ 4,00%$ Normal$Opera>ons$IPv4$ 3,50%$ maxCudpCsize=1232$IPv4$ 3,00%$ 2,50%$ Using$DNSRM$IPv4$ 2,00%$ Normal$Opera>ons$IPv6$ 1,50%$ maxCudpCsize=1232$IPv6$ 1,00%$ 0,50%$ Using$DNSRM$IPv6$ 0,00%$ FRTE$sending$hosts$ 7,00# 6,00# Normal#OperaAons#IPv4# 5,00# maxFudpFsize=1232#IPv4# 4,00# Using#DNSRM#IPv4# 3,00# Normal#OperaAons#IPv6# 2,00# maxFudpFsize=1232#IPv6# 1,00# Using#DNSRM#IPv6# 0,00# FRTE#messages/FRTE#Sending#Host# Bottom line: both approaches tackle the problem 13 SURFnet. We make innovation work cb
  • 14. Some side-effects 2,00%$ 1,80%$ 1,60%$ Normal$Opera>ons$IPv4$ 1,40%$ maxBudpBsize=1232$IPv4$ 1,20%$ 1,00%$ Using$DNSRM$IPv4$ 0,80%$ Normal$Opera>ons$IPv6$ 0,60%$ maxBudpBsize=1232$IPv6$ 0,40%$ 0,20%$ Using$DNSRM$IPv6$ 0,00%$ Truncated$UDP$messages$ 3,00%$ 2,50%$ Normal$Opera?ons$IPv4$ 2,00%$ maxDudpDsize=1232$IPv4$ 1,50%$ Using$DNSRM$IPv4$ Normal$Opera?ons$IPv6$ 1,00%$ maxDudpDsize=1232$IPv6$ 0,50%$ Using$DNSRM$IPv6$ 0,00%$ Hosts$falling$back$to$TCP$ Note: long bars, but very low percentages 14 SURFnet. We make innovation work cb
  • 15. Conclusion -This seems to be a serious issue for DNSSEC- signed zones -There are ways to ameliorate the problem -We are considering writing a best-practice paper (or even an informational RFC) -Expect a paper in IEEE CC Review or ACM Transactions on Networking -Check your firewall settings if you start doing DNSSEC validation on your resolvers! 15 SURFnet. We make innovation work cb
  • 16. roland.vanrijswijk@surfnet.nl Questions? Comments? nl.linkedin.com/in/rolandvanrijswijk Please contact me! @reseauxsansfil

Hinweis der Redaktion

  1. \n
  2. \n
  3. \n
  4. \n
  5. \n
  6. \n
  7. \n
  8. \n
  9. \n
  10. \n
  11. \n
  12. \n
  13. \n
  14. \n
  15. \n
  16. \n