パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

DNSキャッシュポイズニング攻撃を可能にする、SAD DNSと呼ばれる攻撃手法が公表される」記事へのコメント

  • 新しく(iptablesの-m conntrack --ctstate NEWに相当)アクセスしてきたホストをちょっと(1分くらいでいい?1秒でもいいかも?)だけブロックしたら、事実上防御可能じゃないの?

    • by Anonymous Coward

      残念ながらUDPなんですよ
      「アクセスしてきたホスト」という概念が信頼できないんですUDPなので……

      そもそもカミンスキーアタックは第三者が権威サーバのIPを騙ったパケットを送りつける攻撃ですので……

      • by Anonymous Coward

        件のサイトのポスターのⅢ. Side Chennelを見てたんだけれども、
        図だと閉じたポートへのアクセスに対してICMPを返している(そしてそれを利用してICMPカウンターを回す)から、iptablesで言うところのRejectになってるような気がするんだが、これをDropにするのはだめなのかな?

        • by Anonymous Coward on 2020年11月16日 21時24分 (#3925074)

          53/TCPは絶対にサポートしてくれ。タイムアウトするまで53/TCPが閉じているかどうか判定できなかったらTCPへの移行が実質不可能になる

          親コメント
          • by Anonymous Coward

            「閉じてる」ポートだけDropするだけだから。
            たいてい今どきのリゾルバって53/TCPも開いてるんじゃないのかい(UDPでアクセスして応答がUDPに入りきらない場合、UDPに入らんからTCPでやり直してって返事が来るでしょ。RFC5966か?)
            負荷など何らかの事情でTCPで応答できない状態ならきっとICMPも返せないよ。
            トラブルやらメンテの時だけファイアウォール設定変えてICMPで到達できんのを知らせればセカンダリに行くでしょ。いやメンテは代替機使うのかな…分からん

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...