Názor k článku Dan Kaminsky a jeho útok na DNS servery od Ondřej Surý - Podle mě dostání neexistujících záznamů do DNS cache...
-
Podle mě dostání neexistujících záznamů do DNS cache může být stejný problém jako přepsání údajů v ní.
Představ si například podvrhnutou odpověď:
;; QUESTION SECTION:
006a.klient5.ebanka.cz. 86400 IN A 1.2.3.4
;; AUTHORITY SECTION:
klient5.ebanka.cz. 86400 IN NS 006a.klient5.ebanka.cz.
;; ADDITIONAL SECTION:
006a.klient5.ebanka.cz. 86400 IN A 1.2.3.4
(Tj. útočník má kontrolu nad tím, co do cache dostane.)
V tu chvíli jediné, co potřebuju, je uživatele nějak nasměrovat na "nové" stránky bankovnictví.
Nebo můžu zkusit něco jako wvw.původnístránky.cz... nebo nechvalně známé .cy vs. .cz. - tj. podvrhnout www.internetovabanka.cy - jasně, že si toho spousta lidí všimne, ale určitě se najdou i takoví, co překlep přehlédnou.
***
Chápu, že základem je druhý odstavec. Mě se na tvém návrhu v podstatě nelíbí dvě věci:
a) řeší to jenom část problému (viz. výše)
b) podle mě ty validní nekonzistence budou nastávat právě u nejvíce exponovaných adres (například www.l.google.com). Přiznám se, že mám pouze obecnou představu, jaké algoritmy používají CDN (typu Akamai) na přidělování IP adres, ale mám takové tušení, že zrovna tady by to mohlo narážet nejčastěji. Různé load-balancery od Cisca a dalších fungují v jednom módu například tak, že přidělí záznamu nízké TTL a vyberou IP adresu stroje, který má požadavek obsloužit. Pokud je výběr IP adresy řízený aktuálním zatížením (nebo round robinem) strojů v clusteru, tak se opravdu může stát, že na každý dotaz bude vrácena jiná IP adresa.
Ale v zásadě pokud tvůj návrh bude obsahovat i řešení konfliktních situací, tak bych navrhoval, abys jej hodil do angličtiny a poslal do namedroppers. Nicméně osobně si myslím, že na něj bude stejná reakce, jako jsem posílal citaci od Vixieho (nebo žádná).
Mimochodem, našel jsem ještě jeden příklad toho, jak může vypadat legitimní rozdíl mezi odpověďmi:
authority foo.org NS ns1.a.foo.org
additional ns1.a.foo.org A 10.0.0.51
authority a.foo.org NS ns1.a.foo.org
additional ns1.a.foo.org A 10.0.0.71
(Vixie navrhuje používat vždy ten nejhlubší záznam; Matasaka udržovat kontext.)
ČLÁNKY DO MAILU