Hlavní navigace

Názor k článku TCP ve světě DNS: více dat a méně útoků od Petr Krčmář - Takový útok na DNSSEC není možný – není...

  • Článek je starý, nové názory již nelze přidávat.
  • 15. 4. 2016 10:38

    Petr Krčmář

    Takový útok na DNSSEC není možný – není možné nenápadně zatajit část informací. Pokud přijede odpověď bez podpisů (nebo s neplatnými) a ty tam mají být, tak to resolver pozná a vrátí SERVFAIL. To je princip DNSSEC, nikdo nemůže po cestě ty informace měnit nebo zatajit existenci DNSSEC.

    Samozřejmě je možné odpovědi prostě zatajit, což je logické – DNSSEC jsou podpisy, ne křišťálová koule. Takže odpovědi, které nedorazí, nedokáže vyvěštit.