Re: isc-dhcpd и ddns
On Mon, Nov 04, 2013 at 11:44:28PM +0400, Victor Wagner wrote:
> On 2013.11.04 at 23:01:11 +0400, Eugene Berdnikov wrote:
>
> > >
> > > Это очевидно, почему. Запись TXT в DNS публичная. Поэтому потенциальный
> > > атакующий не должен иметь возможности, зная эту запись от чужой машины,
> > > подделать её dhcp-запрос. Иначе теряется весь смысл этой самой
> > > TXT-записи. Хотя непонятно что мешает атакующему отсниффить этот самый
> > > DHCP-запрос, он же бродкастный.
> >
> > Тот, кто может вставить DNS-у update, имеет массу способов навредить,
> > включая удаление записей и создание новых, вплоть до DoS-атак.
> > Для этого не нужно подделывать запросы клиента.
>
> Речь идет о том, чтобы возможность ПРОЧИТАТЬ запись TXT не добавляла
> информации, необходимой для подделки dhcp-запроса. Поэтому туда и не
> кладут в открытом виде ни Mac-адрес, ни dhcp-client-id.
Пока мне не покажут реалистичную схему атаки с использованием поддельных
dhcp-запросов, я буду считать это всё досужими фантазиями. На практике
намного важнее вопрос защиты от ОТВЕТОВ, т.е. от левых dhcp-серверов.
--
Eugene Berdnikov
Reply to: