Vlákno názorů k článku Útok na DNS náhodnými dotazy od j - Ehm ... nebylo by pak jednodussi povolit verejne...
-
j (neregistrovaný)
Ehm ... nebylo by pak jednodussi povolit verejne DNS transfer, a tim padem netreba zadny DNSsec? Jo aha, to by bylo moc jednoduchy ... a malo narocny na vykon ... on by totiz ten resolver pak mohl ziskat vsechny zaznamy jedinym dotazem. Takhle jich muze posilat i nekolik tisic, nez precte celou domenu ...
No nakonec se teda budem umet branit tomu, ze nekdo zneuzije verejne dostupne dns (pokud nas tedy pred tim bude hodlat branit prave jeho provozovatel, ktery k tomu ale nema zadny rozumny duvod) ... tak si trivialne napise trivialni script (protoze to nemusi byt ani zadna binarka) a ten spusti na stovkach tisic stroju.
A to sme u toho, ze drtiva vetsina domen DNSSEC nepouziva. Protoze z trivialni ulohy odpovedi na dotaz, dela vypocet atomovy bomby. Takze v primerene blizke budoucnosti prijde nekdo s trivialnim postupem, jak vykonostne slozit celej DNS strom.
-
ebik (neregistrovaný)
U autoritativního serveru to tak je. Nicméně problem vzniká na rekurzorech, ty by totiž mohly ošahávání domén zastavit, pokud mají potřebnou informaci. Protože jinak, jak již bylo zmíněno, mají povinnost odpověď z někoho vytřískat, což v případě přetíženého autoritativního serveru celou situaci zhoršuje.
A ano na to aby validující rekurzor odpověděl, musí validovat, a to není jednoduchá operace.
-
Filip JirsákStříbrný podporovatelPopsané útoky neútočí na rekurzory, ale na autoritativní servery. Pokud se bude rekurzor zabývat validací odpovědi a nebude mít čas posílat hloupé dotazy na autoritativní server, je to pro autoritativní server výhra. A pokud se někdo pokouší zahltit rekurzor, je to "v pořádku" - rekurzor obvykle poskytuje své služby do "své" sítě, takže stačí, když si správce udělá ve "své" síti pořádek. Ano, tou sítí může být ISP, ale podle mne by se ISP měl starat o to, že z jeho sítě se někdo pokouší útočit - a v tomto případě má ISP výhodu, protože útok je veden na jeho server a tudíž se o něm hned dozví. Pokud někdo, např. Google, provozuje otevřené rekurzory, má to těžší - ale rozhodl se k tomu dobrovolně, tak snad ví, co dělá a jaká to má rizika.
