Názor k článku Soukromí v DNS: krátké dotazy a šifrovaná komunikace od Ondřej Caletka - Každá zóna rozhodně nemusí mít svůj server. Krásně...
-
Ondřej CaletkaZlatý podporovatelKaždá zóna rozhodně nemusí mít svůj server. Krásně je to vidět třeba na reverzních IPv6 záznamech, kde rozhodně není samostatný server co každá tečka ve jméně. Pokud se zeptáte na neúplné jméno, dostanete takzvaný Empty Non-Terminal, tedy návratový kód
NOERRORa žádná data:$ dig 0.0.0.8.6.0.0.c.7.6.0.1.0.0.2.ip6.arpa ns @ns.iinfo.cz ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2452 ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 … ;; QUESTION SECTION: ;0.0.0.8.6.0.0.c.7.6.0.1.0.0.2.ip6.arpa. IN NS ;; AUTHORITY SECTION: 8.6.0.0.c.7.6.0.1.0.0.2.ip6.arpa. 3600 IN SOA ns.iinfo.cz. hostmaster.adminit.cz. 2015090701 21600 7200 2419200 3600
Unbound obsahuje optimalizaci, že pro reverzní IPv6 záznamy skáče po osmi labelech. Větší problém je, že spousta autoritativních DNS serverů se nechová v souladu se standardy a odpovídá návratovým kódem
NXDOMAINv případě dotazu na ENT. Příkladem je třeba tato zóna:$ host wildcard.whitehouse.gov.edgekey.net wildcard.whitehouse.gov.edgekey.net is an alias for wwws.eop-edge-lb.akadns.net. wwws.eop-edge-lb.akadns.net is an alias for e4036.dscb.akamaiedge.net. e4036.dscb.akamaiedge.net has address 104.103.75.94 e4036.dscb.akamaiedge.net has IPv6 address 2a02:26f0:11a:19f::fc4 e4036.dscb.akamaiedge.net has IPv6 address 2a02:26f0:11a:195::fc4 $ host whitehouse.gov.edgekey.net Host whitehouse.gov.edgekey.net not found: 3(NXDOMAIN)
Protože kód
NXDOMAINříká, že dané jméno neexistuje a neexistuje celý podstrom končící na dotazované jméno, je takové chování vcelku nebezpečné, protože položí-li někdo neúplný dotaz, otráví cache rekurzivního serveru, který přestane odpovídat i na poddotazy. Minimalizace dotazovaného jména tuto vadu autoritativních serverů exploituje ve velkém. Proto Unbound obsahuje úpravu proti standardu, kdy vypíná minimalizaci dotazovaného jména při návratovém kódu jiném nežNOERROR. To také dává aktivním útočníkům návod, jako minimalizaci eliminovat ;)Více informací k Unboundu zde: https://ripe72.ripe.net/archives/video/219/
