Interni BIND (Re: ANNOUNCE: bind-chroot...)
Milan Kerslager
milan.kerslager na pslib.cz
Čtvrtek Červen 13 07:05:11 CEST 2002
On Thu, 13 Jun 2002, Pavel Kankovsky wrote:
> On Mon, 10 Jun 2002, Jan Kasprzak wrote:
>
> > Tohleto dela dobre DJB-DNS (nebo jak se to jmenuje): pro kazdy
> > dotaz pouzije nahodny zdrojovy port, a reaguje jen na ty odpovedi, ktere
> > prisly na spravny port.
>
> Coz ovsem neresi ten problem, ze by nezadouci informace mohly prijit
> rovnou od dotazovaneho nameserveru. Po pravde receno si myslim, ze ve
> vetsine pripadu by byl utok ze "zlym ns" proveditelnejsi, nez se pokouset
> o spoofing.
Obavam se, ze DSniff dela presne tohle (komponenta dnsspoof), tj. je s nim
mozno na stroji, ktery lezi bud na ceste nebo alespon ve stejne siti,
odpovedet "driv", nez prijde skutecna odpoved (a DNS server odpoved v
klidu akceptuje).
Resenim je pouzivat v DNS klice, coz vsak neni tak bezne.
DJB-DNS v tomto pripade nepomuze (tj. bezpecnost je v tomto pripade jen
zdanlivym jevem).
--
Milan Keršláger
E-mail: milan.kerslager na pslib.cz
WWW: http://www.pslib.cz/~kerslage/
Další informace o konferenci Linux