Názor k článku Dan Kaminsky a jeho útok na DNS servery od Ondřej Surý - Motáte dohromady dvě věci. Já o software...

Motáte dohromady dvě věci. Já o software nic netvrdil. Mluvím o DNS datech - tedy obsahu všech těch zónových souborů, které v DNS stromu momentálně jsou.

Současné implementace fungují tak, že odpověď, které jsou na stejné úrovni podle RFC 2181 sekce 5.4.1., je přijmuta do cache následujícím způsobem:

a) pokud jsou data stejná - prodloužíme TTL
b) pokud jsou data rozdílná - použij novější data

Obecně panuje názor, že by to nemuselo ničemu ublížit, a mohlo by se vyzkoušet experimentálně nasimulovat, co by se stalo, kdyby se chování v tomto případě změnilo.

Každopádně to v zásadě nic neřeší, budu citovat Paula Vixieho:

"nonreplacement of rrsets is not a general fix. there are plenty of kaminsky
message patterns that rely only on insertion of new data. so while i'm having
great fun with just reducing the TTL when a replacement is attempted,
especially with NS RRsets, it doesn't make me safe."


Mimochodem opatrnost je opravdu na místě. Každá změna může potencionálně zasáhnout milióny uživatelů. Pořád se bavíme o protokolu DNS.