Názory k článku Smutné DNS: nový způsob otrávení keše umožňuje podvrhnout údaje
-
DannyStříbrný podporovatelMoznosti utoku tady plne eliminuje stavovy firewall s drop (nikoliv reject) pravidlem na veskere prichozi UDP nenalezici jiz k navazanym spojenim - samozrejme krome tech portu, co maji byt legitimne otevrene. Pak se zadne icmp unreachable ven neposle, a utocnik se s timhle muze jit klouzat...
Ano, rozbije to unixove traceroute - ale to jde spravit vyjimkou na par portu, kde teda unreachable poslu.V dokumentu k utoku pisou o blokaci odchoziho ICMP coby mitigaci, ktere z pohledu funkcniho realne udela to same, co ten tichy drop na non-established UDP... a jeste se usetri nejaky ten procesorovy cas (generovanim ICMP unreachable, ktere stejne pak firewall na vystupu dropne).
-
Odkaz na citovaný článek mi nefunguje, správný link je zřejmě tento:
https://www.cs.ucr.edu/~zhiyunq/pub/ccs20_dns_poisoning.pdf
V celém článku jsem mimochodem nenašel ani jeden výskyt "SAD", takže to "Smutné DNS" v názvu je tím spíše dost mimo.
-
SAD DNS by mělo znamenat Side channel AttackeD DNS, takhle to používá v článku na svém webu třeba Cloudflare: https://blog.cloudflare.com/sad-dns-explained/
-
Ondřej CaletkaZlatý podporovatelJe to tak. Ten název a jeho vysvětlení tam asi někde mělo být, ale bohužel není. V každém případě odkaz v úvodu už zase funguje, zranitelnost už dokonce má i svoje logo :)
ČLÁNKY DO MAILU