3

Я задаю этот вопрос как программное обеспечение (а также потому, что в прошлом здесь было несколько вопросов DNSSEC).

http://en.Wikipedia.org/wiki/DNS_cache_poisoning#Prevention_and_mitigation

Я видел это в Википедии и задавался вопросом, может ли кто-нибудь объяснить это мне:

«Как указывалось выше, рандомизация портов источника для DNS-запросов в сочетании с использованием криптографически безопасных случайных чисел для выбора как исходного порта, так и 16-битного криптографического одноразового номера, может значительно снизить вероятность успешных атак на гонки DNS»

Я не понимаю, как рандомизация портов предотвратит атаки отравления DNS на стороне клиента? Или это относится только к DNS-серверу? Может ли такая же рандомизация портов использоваться на стороне клиента?

|источник

1 ответ1

1

DNS- запросы всегда поступают от клиента к серверу, поэтому порт источника находится на стороне клиента и должен быть рандомизирован.

Ответ от сервера приходит от порта 53 к исходному порту источника на стороне клиента. Как вы, вероятно, догадались из своего чтения, если следующий исходный порт, который использует клиент, можно предсказать, то ответ может быть подделан перед реальным ответом.

Обратите внимание, что DNS-сервер сам по себе является клиентом, если он не является полномочным для запрошенного домена и ему включена рекурсия. Таким образом, вы спрашиваете у своего DNS-сервера IP-адрес Google.com, после чего этот DNS-сервер отключается и запрашивает корневые серверы, чтобы найти ответ. Именно здесь важно, чтобы ответы были реальными, поскольку запрашивающий DNS-сервер будет кэшировать любые ответы и предоставлять их в качестве ответов на любые последующие запросы.

Если бы я мог предсказать исходный порт, который DNS-сервер вашего интернет-провайдера будет использовать для своего следующего запроса, я мог бы внедрить свой собственный ответ на запрос перед реальным ответом, тогда ваш DNS-провайдер был бы отравлен для всех, кто его использует.

(обратите внимание, что этот сценарий значительно упрощен ради (обнадеживающей) ясности)

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .