Vlákno názorů k článku Dan Kaminsky a jeho útok na DNS servery od Yenya - Proc by nestacilo, aby se obratilo poradi protokolu?...
-
Yenya (neregistrovaný)Proc by nestacilo, aby se obratilo poradi protokolu? Dnes se DNS pta pres UDP, a pokud je odpoved > 512 bytu, tak zkusi znovu pres TCP. Kdyby se ptal pres TCP rovnou (za cenu nekolikrat vic packetu, ale co uz), ziskal by lepsi duveryhodnost. Dalsi moznost by byla nucene zkraceni TTL u vseho, co DNS server dostal jen jako additional section.
-Yenya, http://www.fi.muni.cz/~kas/ -
Leoš Bitto (neregistrovaný)Používat TCP místo UDP navrhovalo hodně lidí, ale vzhledem k značnému nárůstu režie by to nameservery které jsou už dnes hodně zatížené (tedy ty, které mají hodně klientů a na které právě kvůli tomu má velký smysl útočit) nezvládly. Korektně navázat a ukončit TCP spojení je dost velká režie, v porovnání s odesláním a přijetím UDP paketu. Už teď se některým správcům nelíbí, že jejich BINDu najednou nestačí pro příjem odpovědí jen jeden UDP port (je třeba zvedat ulimit -n).
-
Už jsem na to samé odpovídal na lupě ;), tak přidávám link:
http://www.lupa.cz/clanky/nejvetsi-bezpecnostni-hrozba-posledniho-desetileti/nazory/230819/
A ještě jeden komentář... DNS přes UDP už dávno (resp. od EDNS0) není omezeno velikostí 512 bytů. Pro DNSSEC je například EDNS0 nutné.
ČLÁNKY DO MAILU