(мрачно) Любой протокол должен максимум через 20 лет редизайниться с нуля

Aug. 27th, 2008 09:35 pm
netch80: (Default)
[personal profile] netch80
Любой протокол должен максимум через 20 лет редизайниться с нуля.
Сегодняшний пример - DNS. Ну что стоило подумать про 64- или 128-битный ID ещё во время первых атак с подменой ID?

Не хочется кассандрить, но это напоминает начало системного кризиса Internet.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2008-08-27 07:03 pm (UTC)
From: [identity profile] ospf-ripe.livejournal.com
В аттаке, про которую рассказал Дэн Каминский ключевой момент не подбор ID (про это писали и раньше с оговоркой что атакующему вряд ли повезет), а то что отравленная запись из секции Additional перезаписывает валидную запись из кэша. Что IMHO проблема не протокола, а реализации популярных ДНС серверов.

Если бы этого не происходило, то аттака была бы малореально - записи которые интересно подменять обычно часто спрашиваются и всегда есть в кэше. Нужно было бы дождаться пока кэш протухнет и за несколько секунд пока туда запись не попадет снова его отравить.

Date: 2008-08-27 07:08 pm (UTC)
From: [identity profile] dbg.livejournal.com
Это проблема протокола.

Обновление закешированных записей из additional - это фича протокола, а не особенность реализации. Другое дело, что можно было бы держать записи, полученные из additional, в отдельном кеше, не в том, из которого раздаются ответы. Но это, естественно, не спасает, а лишь чуть-чуть затрудняет.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

netch80: (Default)
netch80

January 2026

S M T W T F S
    1 23
45678910
11121314151617
18192021222324
25262728293031

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jan. 2nd, 2026 11:47 pm
Powered by Dreamwidth Studios