3. Bezopasnost'

V etoj chasti rassmatrivayutsya nekotorye izvestnye nedostatki razlichnyh versij BIND. Nekotorye iz nih byli ispol'zovany v proshlom pri atakah serverov imen.

3.1. Nenuzhnoe skleivanie

Nenuzhnoe skleivanie pri zagruzke v server mozhet privesti k nekorrektnym zapisyam. |to mozhet privesti k soedineniyam, idushchim na chuzhie mashiny.

Dlya predotvrashcheniya zagruzki nenuzhnogo skleivaniya, vse servera zon dolzhny obsluzhivat'sya serverom, a servera roditel'skih zon dolzhny byt' obnovleny do BIND 4.9.3 ili bolee pozdnego.

3.2. Vstavka dannyh v zonu obsluzhivaniya

Versii BIND, predshestvuyushchie BIND 4.9.2 podverzheny vstavke zapisej v zony obsluzhivaniya.

3.3. Otkaz ot obsluzhivaniya: heshevaya dyra

V Sentyabre 1996 COM TLD byl podverzhen atake "otkaz ot obsluzhivaniya" vvodom v DNS zapisi s poslednej metkoj COM, vosem'yu probelami i COM. |to zatronulo servera BIND 4.9.4. Podobnye ataki vozmozhny na BIND 4.9.3 i BIND 4.9.3-P1.

Dlya izbezhaniya etoj dyry rekomenduetsya ispol'zovat' BIND 4.9.4-P1 ili bolee pozdnie versii.

3.4. Otkaz ot obsluzhivaniya: ataka Nesoglasovannosti TTL

Esli vy vse eshche ispol'zuete mnogo znachenij TTL vnutri RRset vy mozhete byt' podverzheny atake otkaza ot obsluzhivaniya. BIND 4.9.5 i dalee ispol'zuet mnogo znachenij ttl vnutri RRset dlya otkaza ot yavno plohih RRset. Rekomenduetsya proizvesti obnovlenie do BIND 4.9.5 ili bolee pozdnego na takom servere dlya predotvrashcheniya zagruzki mnozhestvennyh znachenij TTL i prisoedineniya otvetov, poluchennyh cherez set'.


Perevod A.S.Plotnikov, 1998