Názor ke zprávičce DNS cache poisoning útoky od duri - V tomto pripade sa jedna o nedostatocne zabespecenie...

V tomto pripade sa jedna o nedostatocne zabespecenie DNS protokolu. Kazdy dns request obsahuje cookie ktore by malo suhlasit s cokie v reply. Problem je v tom ze to cookie je len 16bitove. Druhym problemom je ze bind (a asi aj mnoho inych DNS serverov) pouziva pre dns request stale ten isty port, nahodne vybrany pri starte servera. Tzn utocnik ma vysoku sancu ze dokaze podstrcit reply ktore bude obsahot rovnaky cookie ako bol v request.

Jednym z rieseni problemu je nahodna volba zdrojoveho portu requestu, a udrziavanie stavovej informacie o cookie a zdrojovom porte requestu a porovnavanie tychto informacii pri pri spracovani reply. Aj napriek tomuto vsak zabespecenie nieje 100%, pretoze nahodnost vyberu sa zvysi len na 32bitov ... Tymto sposobom tento problem "opravuju" napr. vsetky aktualne verzie bindu.

Skutocnym 100% riesenim problemu je vsak nasadenie dnssec protokolu.