这篇研究报告探讨了DNSSEC(DNS安全扩展)在DDoS攻击中的潜力。DNSSEC通过数字签名来加强DNS的安全性,但同时也可能被用于DDoS攻击中,特别是反射和放大攻击。研究人员对DNSSEC签名域进行了大规模测量,覆盖了70%的今天运行的所有已签名域,并将扩增攻击的可能性与不含DNSSEC的域的代表性样品进行比较。研究结果发现,DNSSEC确实会使DDoS现象恶化,但只会使一种特定查询类型(ANY)的情况变得更糟,其响应可能比原始查询大50倍以上(在极少数情况下高达179)。研究人员还讨论了一些可以对运营商产生直接影响的缓解策略,并建议未来的研究。
