Internetová infrastruktura je ohrožena novým útokem SAD DNS, o kterém jsme vás podrobně informovali minulý týden. Vývojář Petr Špaček dnes vydal článek, ve kterém shrnuje situaci v projektu Knot Resolver. Ten je podle jeho slov proti útoku odolný už od úplného počátku vývoje v roce 2015.
Důvodem jsou bezpečnostní mechanismy, které se do Knot Resolveru rozhodli vývojáři dát. Resolver například kontroluje, zda odpověď autoritativního serveru má stejnou signaturu (consisting of message ID, query class, query name, query type a 0×20 CaSe raNDOmIZatioN) jako původní dotaz. Pokud se některá z těchto položek liší, ignoruje se zpráva přicházející po UDP a odpověď se získá znovu bezpečnější cestou po TCP. Kontrolována je také IP adresa a port příchozích odpovědí.
Každý klientský dotaz má natvrdo nastavený limit na 10 sekund. Pokud do té doby není získána odpověď, je požadavek ukončen a další odpovědi už se nepřijímají. Resolver slučuje dotazy stejného typu, takže vícenásobný klientský dotaz na stejný objekt vygeneruje vždy jen jeden dotaz na autoritativní server.
V neposlední řadě Knot Resolver nikdy nepřepisuje aktuální platná data v keši, pokud nová verze není podepsaná pomocí DNSSEC. To zahrnuje i negativní odpovědi, tedy informaci o neexistenci domén. Výše uvedené důvody tedy vedou k tomu, že nový postup SAD DNS nedává útočníkovi žádnou výhodu proti dřívějšímu slepému hádání hodnot.
Dodává také, že definitivním řešením podobných útoků je DNSSEC. Pokud nemáte svou doménu zabezpečenou, udělejte to hned. Ochrání vás nejen před otrávením keše, ale i před dalšími útoky.
ČLÁNKY DO MAILU