Hlavní navigace

Otevřený resolver od CZ.NIC vypíná ochranu proti DNS Rebinding a upravuje DoH

9. 7. 2020

Sdílet

DNS over HTTPS

CZ.NIC na svém blogu oznámil úpravy konfigurace otevřeného resolveru (ODVR). Ten měl od začátku zapnutou ochranu proti útoku DNS Rebinding, který obchází princip same-origin policy v prohlížečích a umožňuje útočníkovi z JavaScriptu oslovovat další zařízení v místní síti.

Ochrana byla realizována tak, že resolver filtroval odpovědi s IP adresami z privátních rozsahů a vracel stav REFUSED. Ukázalo se ale, že pro řadu uživatelů je legitimní mít ve veřejné doméně lokální adresy a navíc ostatní otevřené resolvery (Google, Cloudflare a další) mají tuto filtraci vypnutou.

Druhá úprava se týká DNS-over-HTTPS (DoH), který byl na ODVR spuštěn před rokem. Původně šlo o zkušební provoz pouze na jedné z adres anycastu, konkrétně 185.43.135.1/2001:148f:fffe::1. Nyní byla podpora rozšířena i na druhou adresu, tedy 193.17.47.1/2001:148f:ffff::1.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.

Byl pro vás článek přínosný?

Autor zprávičky

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.