3. Безопасность

В этой части рассматриваются некоторые известные недостатки различных версий BIND. Некоторые из них были использованы в прошлом при атаках серверов имен.

3.1. Ненужное склеивание

Ненужное склеивание при загрузке в сервер может привести к некорректным записям. Это может привести к соединениям, идущим на чужие машины.

Для предотвращения загрузки ненужного склеивания, все сервера зон должны обслуживаться сервером, а сервера родительских зон должны быть обновлены до BIND 4.9.3 или более позднего.

3.2. Вставка данных в зону обслуживания

Версии BIND, предшествующие BIND 4.9.2 подвержены вставке записей в зоны обслуживания.

3.3. Отказ от обслуживания: хэшевая дыра

В Сентябре 1996 COM TLD был подвержен атаке "отказ от обслуживания" вводом в DNS записи с последней меткой COM, восемью пробелами и COM. Это затронуло сервера BIND 4.9.4. Подобные атаки возможны на BIND 4.9.3 и BIND 4.9.3-P1.

Для избежания этой дыры рекомендуется использовать BIND 4.9.4-P1 или более поздние версии.

3.4. Отказ от обслуживания: атака Несогласованности TTL

Если вы все еще используете много значений TTL внутри RRset вы можете быть подвержены атаке отказа от обслуживания. BIND 4.9.5 и далее использует много значений ttl внутри RRset для отказа от явно плохих RRset. Рекомендуется произвести обновление до BIND 4.9.5 или более позднего на таком сервере для предотвращения загрузки множественных значений TTL и присоединения ответов, полученных через сеть.


Перевод A.S.Plotnikov, 1998