Hlavní navigace

Názor k článku TCP ve světě DNS: více dat a méně útoků od Filip Jirsák - DNSSEC je funkcne proti nahodnym utocnikom, ale nie...

  • Článek je starý, nové názory již nelze přidávat.
  • 15. 4. 2016 10:50

    Filip Jirsák

    DNSSEC je funkcne proti nahodnym utocnikom, ale nie ked "utocnik" ma pod kontrolou celu siet (resp. je siet).
    To není pravda. Ani pokud má útočník pod kontrolou celou síť, nedokáže podvrhnout DNSSEC. Jediné, co dokáže, je „zabavit“ odpovědi – jenže když se uživateli nepodaří přeložit doménové jméno, u kterého si je jist, že by mělo existovat, přijde na to, že mu odpovědi někdo cenzuruje.

    Falsovatel na urovni ISP alebo vlady mi posle "svoju" odpoved na moj DNS request. A v tej sfalsovanej DNS odpovedi nie je o DNSSEC ani zmienka.
    Jenže z nadřazené domény vím, že tam DNSSEC má být. Takže vím, že ta odpověď je falešná.

    Takze si mozem vybrat, ci zahodim odpoved, v ktorej DNSSEC nie je aj ked ja by som ho tam ocakaval, alebo ci zozeriem aj s navijakom, co v tej odpovedi je.
    Proč bych používal zfalšovanou DNS odpověď? Vím, že je zfalšovaná, tak za prvé budu řešit, kdo na mne útočí, a za druhé se pokusím správnou odpověď získat jiným způsobem.

    Skoda len, ze nech sa rozhodnem akokolvek, ja neviem spravnu IP-adresu a cenzor je rad, ze ma zablokoval.
    Jenže vy víte, že došlo k manipulaci s DNS odpovědí, takže můžete tu adresu přeložit jinak. Třeba VPN tunelem do nějaké bezpečné sítě.