Možnost detekce takového útoku na DNS server mi připadá snadná - pokud dostanu ne nějaký dotaz více odpovědí a některé s nesprávným transaction ID jde o útok -> IP v odpovědi je špatná, za správnou tedy považuju odpověď s jinou IP, která má správné transaction ID a toto IP přišlo jen 1x.
Otázka je co s útokem, který stejným způsobem bude posílat správnou IP - při výše uvedené funkční ochraně pak znemožní provedení korektního překladu.
Vlákno názorů k článku
Internet ohrozila největší bezpečnostní hrozba desetiletí
pepak (neregistrovaný)
8. 8. 2008 11:53
Re: Detekce útoku
IP v odpovědi je špatná, za správnou tedy považuju odpověď s jinou IP
Co já vím, tak IP v odpovědi může být zcela libovolná, klidně náhodně generovaná. Nebo stejná jako IP oprávněného serveru.
Ray (neregistrovaný)
8. 8. 2008 12:08
Re: Detekce útoku
To by platilo v případě TCP protokolu, kde probíha handshake. V případě UDP a DNS, kde se zasíla jen samostatný paket nikoliv. Není problém posílat zdrojovou IP stejou, jako má autoritatidní DNS. Ne každý ISP na hraničních routrech blokuje ze své sítě cokoliv, co nemá SRC z jeho rozsahů...
R.
R.
