https://www.opennet.me/openforum/vsluhforumID3/43277.html Евгений Поляков обнаружил (http://tservice.net.ru/~s0mbre/blog//devel/networking/dns) возможность осуществления подстановки данных в кэш DNS сервера BIND последней версии (9.5.0-P2, 9.4.2-P2 и 9.3.5-P2), содержащей исправления для защиты от подобной атаки методом Каминского (http://www.opennet.ru/opennews/art.shtml?num=17101).<br><br><br>Механизм случайного распределения номеров сетевых портов, используемый в последних версиях BIND для компенсации недостаточно большого размера поля с идентификационным номером запроса в DNS пакете теоретически растягивал время успешной атаки с нескольких минут до недели (16 битам query id + 64 тыс. портов). Евгению удалось добиться успешного проведения атаки на новые версии BIND приблизительно за 10 часов, при атаке с двух машин, имеющих доступ по гигабитному линку к DNS серверу (на практике такая атака может быть проведена с затрояненной машины в одной локальной сети с DNS сервером). Для успешного подбора номера порта и идентификатора пакета потребовалось отп...<br><br>URL: http://tservic https://www.opennet.me/openforum/vsluhforumID3/43277.html#26 Tue, 12 Aug 2008 17:27:18 GMT &gt;на ход больше, чем секьюрити... <br><br>А если лажа в дизайне протокола - сорцы можно патчить до посинения, только это игра в страуса.Чинить надо протокольную логику а не пытаться через ж**у парировать атаки хитрыми страусиными фортелями.<br> https://www.opennet.me/openforum/vsluhforumID3/43277.html#25 Tue, 12 Aug 2008 07:16:25 GMT &gt;Если бы у тебя было что напрягать, то ты бы смог отличить <br>&gt;уязвимость протоколы от очередной прорехи в бинде. С тем же powerdns <br>&gt;такие штуки не проходят. <br><br>Знаешь, а ведь было бы неплохо если бы ты и тебе подобные почитали ВНИМАТЕЛЬНО новость, в её развёрнутом варианте. Ага. И тогда бы поли вы, троли форумные, что это именно уязвимость ПРОТОКОЛА. С MS DNS, к примеру, отлично проходит сходный фокус.<br>А что до Повера, то его автор просто пошел чуть дальше Биндовцев в плане плясок с бубном вокруг повышения секурности запросов (оставаясь в рамках того же уязвимого по сути своей протокола). Читаем комментарии самого автора Повер ДНС по этому поводу. <br>А это значит что и его сломают в ближайшее время. Что с сорцами, что без.<br>Надо протокол до ума доводить координально, а не с бубном плясать. Тогда дыры будут закрыты.<br>Но это сложно, поскольку ДНС-ок дофига и вводить нечто координально новое ой как непросто.<br>А режим совместимости со старым протоколом принесёт совместимость и по дырам в т.ч.<br>Имеем замкнутый к https://www.opennet.me/openforum/vsluhforumID3/43277.html#24 Mon, 11 Aug 2008 21:31:47 GMT Автор пуверднс признался, что использует некие трюки, чтоб устранить эту уязвимост. А автор эксплоита сказал, что если изучит сырцы пуверднс - обойдёт эти трюки. И ваще он сказал - хакер всегда может сделать на ход больше, чем секьюрити... Это же всё в болге есть...<br> https://www.opennet.me/openforum/vsluhforumID3/43277.html#23 Mon, 11 Aug 2008 17:28:13 GMT &gt;Практически все DNS-сервера уязвимы. <br><br>Ну да.Bind просто легче всех поддавался и к тому же самый популярный.А так - проблема протокола, а не...<br> https://www.opennet.me/openforum/vsluhforumID3/43277.html#22 Mon, 11 Aug 2008 17:27:01 GMT &gt;такие штуки не проходят. <br><br>Я так понимаю что проходят, исключительно вопрос траффика и времени...<br><br> https://www.opennet.me/openforum/vsluhforumID3/43277.html#21 Mon, 11 Aug 2008 17:17:15 GMT &gt;Если бы у тебя было что напрягать, то ты бы смог отличить уязвимость протоколы от очередной прорехи в бинде. С тем же powerdns такие штуки не проходят. <br><br>Евгений "Скучающий Русский" Поляков %) , очевидно, полагает, что он атаковал-таки протокол (ага, в лице самой "доступной" для атаки реализации):<br><br>"Article says, that DJBDNS does not suffer from this attack. It does. Everyone does. With some tweaks it can take longer than BIND, but overall problem is there."<br><br>А давайте попросим Евгения по-атаковать все доступные взгляду *dns? ;-D Ну его этот похмелФС, скушный он и непонятный...<br> https://www.opennet.me/openforum/vsluhforumID3/43277.html#20 Mon, 11 Aug 2008 16:18:11 GMT Если бы у тебя было что напрягать, то ты бы смог отличить уязвимость протоколы от очередной прорехи в бинде. С тем же powerdns такие штуки не проходят.<br> https://www.opennet.me/openforum/vsluhforumID3/43277.html#19 Mon, 11 Aug 2008 02:13:06 GMT В новости до выпуска патчей было написано что это ошибка протокола, причем тут программисты bind'a ?<br>Практически все DNS-сервера уязвимы.<br> https://www.opennet.me/openforum/vsluhforumID3/43277.html#15 Sun, 10 Aug 2008 10:01:09 GMT Надо 130 тысяч фиктивных пакетов?<br>А если перепроверить 2 раза - 260 тысяч?<br>Так может по 10 раз каждый домен запрашивать!<br>