アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
ポートのランダムだけでは単なる軽減ですよ (スコア:0)
Re: (スコア:3, 参考になる)
どのくらい軽減かが問題ではないでしょうか。
いままで 16bit の ID で識別していたのを、さらに port をランダムにすることにより 16bit の識別できる情報が付加されたことになります。16bit であれば 65535通りで、これがまぐれ当たりする確率は誕生日のパラドックス [wikipedia.org]のために以外に高いということですが、さらに 16bit あれば実用上はなんとかなると思います。
たとえば、(サーバ攻略成功の確率50%を超えるのに)いままで 1時間かかるところが 16bit 増えることにより 60,000時間=6.8年になれば、単なる軽減ではなく当面は十分な軽減だと思
Re: (スコア:0)
ですので従来手法の何千・何万倍も効率良く攻撃できるので,
「今まで1時間かかるところが」の部分が「いままで数十秒かかるところが」に変わってしまったのが
現状なのだと思います。
なので,サーバへのパッチ当てが行われない場合,ポートの分散だけでは
軽減として十分とは言えないかもしれません。
Re:ポートのランダムだけでは単なる軽減ですよ (スコア:3, 参考になる)
dnscacheのように元からソースポートを分散させている場合は、パッチ当ては必要無い(パッチ自体が無い)です。
ですから、ソースポートを固定にする設定を行っている場合は、パッチを当てるだけでは効果が無いので、設定も見直す必要があります。
他にも、外部からの再帰的な問い合わせには答えないようにするのも重要です。
外部からの再帰的な問い合わせを無視すれば、それによる外部への問い合わせも行わないので、詐称も出来なくなります。
当然内部からの攻撃の対策にはなりませんが、外部からの攻撃を防げるだけでも十分に意味があると思います。
Open RecursionだとDNS amp攻撃の問題もあるので、この機会に是非とも対応を行って欲しいです。