Я задаю этот вопрос как программист (а также потому, что здесь уже было несколько вопросов по DNSSEC).
http://en.Wikipedia.org/wiki/DNS_cache_poisoning#Предотвращение_и_смягчение_угроз
Я увидел это в Википедии и подумал, может ли кто-нибудь объяснить мне:
«Как указано выше, рандомизация исходного порта для DNS-запросов в сочетании с использованием криптографически безопасных случайных чисел для выбора как исходного порта, так и 16-битного криптографического одноразового номера может значительно снизить вероятность успешных атак DNS-гонки».
Я не понимаю, как рандомизация портов предотвратит атаки отравления DNS на стороне клиента? Или это относится только к DNS-серверу? Можно ли использовать ту же рандомизацию портов на стороне клиента?
решение1
ДНСЗапросывсегда идут от клиента к серверу, поэтому исходный порт находится на стороне клиента и именно его необходимо рандомизировать.
Ответ от сервера приходит с порта 53 на исходный порт источника на стороне клиента. Как вы, вероятно, догадались из прочитанного, если можно предсказать следующий порт источника, который использует клиент, то ответ может быть подделан раньше настоящего ответа.
Обратите внимание, что DNS-сервер сам по себе является клиентом, когда он не является полномочным органом для запрашиваемого домена и у него включена рекурсия. Поэтому вы запрашиваете у своего DNS-сервера IP-адрес Google.com, затем этот DNS-сервер отключается и запрашивает корневые серверы, чтобы получить ответ. Здесь жизненно важно, чтобы ответы были реальными, поскольку запрашивающий DNS-сервер будет кэшировать любые ответы и предоставлять их в качестве ответов на любые последующие запросы.
Если бы я мог предсказать исходный порт, который DNS-сервер вашего интернет-провайдера будет использовать для своего следующего запроса, я мог бы ввести свой собственный ответ на запрос до реального ответа, и тогда DNS вашего интернет-провайдера был бы отравлен для всех, кто его использует.
(обратите внимание, что этот сценарий сильно упрощен ради (надеюсь) ясности)