Реплика: внешний публичный сервис DNS
Надо подчеркнуть, что использование сервисов вроде Google Public DNS – не слишком хорошо защищает от подмены и перехвата (блокировки) доступа. Как я уже писал, никто не мешает узлу, переправляющему ваш трафик в строну сервиса Google, ответить на DNS-запрос вместо сервиса Google (да ещё и быстрее). То есть, пока нет криптографических механизмов проверки подлинности ответа, подменить гугловский DNS не так трудно, адреса его известны.
Занятно, что подобная подмена распространяется и на все другие этапы разрешения имён DNS. Если вы контролируете подходящий маршрутизатор, то отвечать можно и за корневой сервер доменной системы имён (так блокируют доступ к сайтам на практике, например, в Китае). А из-за особенностей протоколов DNS, ответ, пришедший якобы от корневого сервера, может сразу содержать адрес узла, соответствующего запрошенному имени. Спросили www.yandex.ru? Ну вот и получите в ответ – 127.0.0.1.
Адрес записки: https://dxdt.ru/2012/08/15/5149/
Похожие записки:
- Статья о Certificate Transparency
- Говорилки в google-поиске
- Письмо про приостановку разработки ИИ
- Занятный замок Fichet 787
- DNS как транспорт для сигналов и данных
- Удаление "неактивных" google-аккаунтов
- Реплика: атака посредника в TLS и проблема доверия сертификатам
- Ретроспектива заметок: ключ по фотографии
- Пресертификаты в Certificate Transparency
- Открытые "исходники" и "бинарный" код с точки зрения ИБ
- Как правильно "показать TLS-сертификат", рекомендации
1 комментарий от читателей
1. 15th August 2012, 21:49 // Читатель jno написал:
Хех… А что помешает, скажем, отказать в использовании криптозащиты “от имени” того же гугля и ревертить клиента к использованию открытого протокола?