Vlákno názorů k článku Útok na DNS náhodnými dotazy od it ide do prdele - neviem ci som sam ale it ide do...
-
it ide do prdele (neregistrovaný)
neviem ci som sam ale it ide do prdele. vyvoj zaspal v dobe kamennej.
dns je tomu jasnym prikladom.
Miesto toho aby sa domenova databaza zotriedila na X skupin podla logaritmu periodicity zmien a nasledne zotriedila abecedne a rozdelila na rozumne velke bloky po cca 100 KB. Nasledne pri zmene alokacie by master jednoducho notifikoval subscriberov ze blok 54as5d6 vyprsal a aktualizoval sa na 456sfd5.
"mirror" server by mal nacacheovanu tabulku prvych zaznamov v kazdom bloku a hashe blokov a tu by odposielal. nasledne client by dopytoval cele bloky. na co mirror by poslal bud obsah bloku alebo hash + obsah aktualizovaneho bloku.
naslnedne deploynut tisice mirror serverov a problem vyrieseny.
-
Filip JirsákStříbrný podporovatelTakže bychom někde měli abecední seznam všech domén rozdělený po cca 100 kB blocích (protože by se samozřejmě všechny domény nacpaly do té skupiny s nejčastější obnovou - dát doménový název do jiné skupiny by přinášelo jen samé problémy). Celá tahle databáze by se nepřetržitě distribuovala na tisíce zrcadel. Zároveň by nezadržitelně rostla, jak by se do ní neustále přidávaly další a další záznamy - a hackeři by soutěžili, kdo dokáže doménové záznamy vytvářet rychleji a komu se jako prvnímu podaří celý ten systém zahltit. Také by vznikaly zajímavé chyby souběhu, kdy by někdo měl uložený nějaký blok, zjistil by, že pro zodpovězení dotazu potřebuje blok následující - jenže než by o něj požádal, došlo by k distribuci další verze databáze, všechny bloky by se samozřejmě posunuly, a on by musel s dotazováním začít znova (a stihnout to do té doby, než dojde k další distribuci nové verze).
V čem by to bylo lepší, než současný systém? Třeba na vyčerpání zdrojů pomocí dotazů na neexistující domény by ten systém byl náchylnější, než dnes, protože odpovědí na dotaz by nebyl krátký UDP paket o neexistenci záznamu, ale celý 100 kB blok.
