Реплика: внешний публичный сервис DNS
Надо подчеркнуть, что использование сервисов вроде Google Public DNS – не слишком хорошо защищает от подмены и перехвата (блокировки) доступа. Как я уже писал, никто не мешает узлу, переправляющему ваш трафик в строну сервиса Google, ответить на DNS-запрос вместо сервиса Google (да ещё и быстрее). То есть, пока нет криптографических механизмов проверки подлинности ответа, подменить гугловский DNS не так трудно, адреса его известны.
Занятно, что подобная подмена распространяется и на все другие этапы разрешения имён DNS. Если вы контролируете подходящий маршрутизатор, то отвечать можно и за корневой сервер доменной системы имён (так блокируют доступ к сайтам на практике, например, в Китае). А из-за особенностей протоколов DNS, ответ, пришедший якобы от корневого сервера, может сразу содержать адрес узла, соответствующего запрошенному имени. Спросили www.yandex.ru? Ну вот и получите в ответ – 127.0.0.1.
Адрес записки: https://dxdt.ru/2012/08/15/5149/
Похожие записки:
- Chrome и УЦ Entrust
- Постквантовая криптография и рост трафика в TLS
- TLS для DevOps
- Реплика: пример про ДСЧ
- Поддержка STARTTLS сервисом audit.statdom.ru
- Открытые "исходники" и "бинарный" код с точки зрения ИБ
- Encrypted Client Hello и браузеры Google
- Браузер Chrome 122 и Kyber768
- Rowhammer-атака и код сравнения с нулём
- Говорилки в google-поиске
- Обновление описания TLS
1 комментарий от читателей
1. 15th August 2012, 21:49 // Читатель jno написал:
Хех… А что помешает, скажем, отказать в использовании криптозащиты “от имени” того же гугля и ревертить клиента к использованию открытого протокола?