Názory k článku
Turečtí poskytovatelé blokují Google DNS a nahrazují je svou službou
-
pp (neregistrovaný)
Laicky jsem měl za to, že DNSSEC "podepisuje" doménu, tedy že mi umožní si ověřit, že překlad "root.cz=>IP" není podvržen. Jak může tento mechanismus ochránit Google DNS?
Hádám že Turci prostě přeroutují IP adresy serverů na vlastní. Takže 8.8.8.8 a 8.8.4.4 končí na jejich vlastním serveru. Protože jde jen o IP, kde do toho vstoupí DNSSec? Nebo pokud je myšlen podpis dotazovaných domén, tak ty přece nemá Google pod kontrolou vůbec.
-
Ondřej CaletkaZlatý podporovatelKdyby bylo Youtube podepsáno a koncové stanice důsledně validovaly DNSSEC data, nemohl by nikdo podvrhnout IP adresy Youtube, ani kdyby unesl Googlí DNS. Validátory by vyhodnotili nevalidní doménu a místo IP adresy by vrátili chybu, takže by se uživatelé na podvržené Youtube nedostali… Ale počkat, to je přesně to, co Turecká vláda chce… :)
Jinými slovy, DNSSEC nedokáže vykouzlit pravou odpověď, pokud vám jí někdo soustavně po cestě mění. Dokáže vám jen říct, že vám někdo po cestě mění data.
-
Ondřej CaletkaZlatý podporovatel
Kdepak, tohle je často se objevující mýtus. Kdyby to tak bylo, neměl by DNSSEC žádný smysl.
Každý validátor v sobě musí mít předkonfigurovaný otisk veřejného klíče pro pevný bod důvěry − nejčastěji jím je veřejný klíč kořenové zóny. Tenhle klíč se do něj musí dostat jiným způsobem. Všechny podstromy od pevného bodu důvěry následně musí být buď důvěryhodně podepsány, nebo musí být důvěryhodně popřena existence podpisu. Jinak validace selže.
-
Ondřej CaletkaZlatý podporovatel
Zajímavé doplnění přidává RIPE NCC: Sondy RIPE Atlas v Turecku zaznamenaly prudký pokles RTT pro adresu 8.8.8.8. Tím se dá potvrdit, že byla skutečně unesena.
Podrobnější rozbor je k přečtení na blogu Stéphane Bortzmeyera.
-
very BGP (neregistrovaný)
Jj, hijackuji BGP. Dalsi pekny clanek je zde: http://www.bgpmon.net/turkey-hijacking-ip-addresses-for-popular-global-dns-providers/
