Estou fazendo essa pergunta como software (e também porque houve algumas perguntas sobre DNSSEC aqui no passado).
http://en.Wikipedia.org/wiki/DNS_cache_poisoning#Prevention_and_mitigation
Eu vi isso na Wikipedia e me perguntei se alguém poderia explicar para mim:
"Como afirmado acima, a randomização da porta de origem para solicitações de DNS, combinada com o uso de números aleatórios criptograficamente seguros para selecionar a porta de origem e o nonce criptográfico de 16 bits, pode reduzir bastante a probabilidade de ataques de corrida de DNS bem-sucedidos"
Não entendo como a randomização de portas evitaria ataques de envenenamento de DNS no lado do cliente. Ou isso se refere apenas ao servidor DNS? A mesma randomização de porta poderia ser usada no lado do cliente?
Responder1
DNSsolicitações desão sempre de um cliente para o servidor, portanto a porta de origem está no final do cliente e é aquela que precisa ser aleatória.
A resposta do servidor vem da porta 53 para a porta de origem original no lado do cliente. Como você provavelmente supôs a partir de sua leitura, se a próxima porta de origem que o cliente usar puder ser prevista, uma resposta poderá ser falsificada antes da resposta real.
Observe que um servidor DNS é ele próprio um cliente quando não é a autoridade para um domínio solicitado e tem a recursão habilitada. Então você pergunta ao seu servidor DNS o endereço IP do Google.com e então o servidor DNS desliga e consulta os servidores raiz para descobrir a resposta. É aqui que é vital que as respostas sejam reais, pois o servidor DNS solicitante armazenará em cache todas as respostas e as fornecerá como respostas a quaisquer solicitações subsequentes.
Se eu pudesse prever a porta de origem que o servidor DNS do seu ISP usaria para sua próxima consulta, eu poderia injetar minha própria resposta à solicitação antes da resposta real, então o DNS do seu ISP seria envenenado para todos que o utilizam.
(observe que este cenário é bastante simplificado por uma questão de clareza (esperançosa))