DNSSEC respecto a

Question

DNSpeticionessiempre son de un cliente al servidor, por lo que el puerto de origen está en el extremo del cliente y es el que debe ser aleatorio.

La respuesta del servidor proviene del puerto 53 al puerto de origen original en el extremo del cliente. Como probablemente habrás deducido de tu lectura, si se puede predecir el próximo puerto de origen que utilizará el cliente, entonces se podría falsificar una respuesta antes de la respuesta real.

Tenga en cuenta que un servidor DNS es en sí mismo un cliente cuando no es la autoridad para un dominio solicitado y tiene la recursividad habilitada. Entonces le pide a su servidor DNS la dirección IP de Google.com, luego ese servidor DNS se activa y consulta a los servidores raíz para encontrar la respuesta. Aquí es donde es vital que las respuestas sean reales, ya que el servidor DNS solicitante almacenará en caché cualquier respuesta y la proporcionará como respuesta a cualquier solicitud posterior.

Si pudiera predecir el puerto de origen que usaría el servidor DNS de su ISP para su próxima consulta, podría inyectar mi propia respuesta a la solicitud antes de la respuesta real, entonces el DNS de su ISP estaría envenenado para todos los que lo usen.

(tenga en cuenta que este escenario está muy simplificado en aras de una (esperanzada) claridad)

Answer 1

DNSpeticionessiempre son de un cliente al servidor, por lo que el puerto de origen está en el extremo del cliente y es el que debe ser aleatorio.

La respuesta del servidor proviene del puerto 53 al puerto de origen original en el extremo del cliente. Como probablemente habrás deducido de tu lectura, si se puede predecir el próximo puerto de origen que utilizará el cliente, entonces se podría falsificar una respuesta antes de la respuesta real.

Tenga en cuenta que un servidor DNS es en sí mismo un cliente cuando no es la autoridad para un dominio solicitado y tiene la recursividad habilitada. Entonces le pide a su servidor DNS la dirección IP de Google.com, luego ese servidor DNS se activa y consulta a los servidores raíz para encontrar la respuesta. Aquí es donde es vital que las respuestas sean reales, ya que el servidor DNS solicitante almacenará en caché cualquier respuesta y la proporcionará como respuesta a cualquier solicitud posterior.

Si pudiera predecir el puerto de origen que usaría el servidor DNS de su ISP para su próxima consulta, podría inyectar mi propia respuesta a la solicitud antes de la respuesta real, entonces el DNS de su ISP estaría envenenado para todos los que lo usen.

(tenga en cuenta que este escenario está muy simplificado en aras de una (esperanzada) claridad)

DNSSEC respecto a

Respuesta1

información relacionada