|
|
|
Secciones
Obrar mucho, y hablar poco; que lo demás es de loco.
Barrapunto © 1999-2007. Contenido disponible bajo licencia Creative Commons Reconocimiento 2.5
Aviso legal
Barrapunto © 1999-2007. Contenido disponible bajo licencia Creative Commons Reconocimiento 2.5
Aviso legal
la respuesta de verisign (tecnico)
(Puntos:3, Interesante)( http://barrapunto.com/ )
El parche de bind que han publicado los chicos del ISC consiste en la posibilidad de definir un dominio como "delegation-only", esto és que solo se admitan respuestas de tipo RR NS a las peticiones:
zone 'com' {
type delegation-only;
}
zone 'net' {
type delegation-only;
}
Algunos han alegado que esto impide que los "glue records" ( los RR tipo A Asociados al NS y que se deben incluir en el dominio que devuelve los NS ) se verían bloqueados. No es cierto: el bind devuelve los datos A en campos adicionales cuando da una respuesta NS
---------------------------------------------
En cualquier caso la anti-solución de verisign es:
1- En lugar de devolver un campo A devuelve un NS a un servidor fakesolver.com
2- En el dominio fakesolver.com se devuelve el A asociado
-----------------------------------------------
La respuesta, segun se sugiere en Slashdot será casi con toda seguridad una utilidad adicional que sea capaz de generar dinamicamente tablas de ip's asociadas a dominios aleatorios y que en el dns cache coinciden. Es inconcebible que verisign pueda tener un sistema que rote a toda velocidad entradas A en fakesolver.com para evitar coincidencias en los caches de dns
Perdon por el rollo....
Y en cualquier caso, en estos momentos, su site-finder está colapsado con la mayor jamas conocida DDoS no inducida... los miles de mailers que comprueban si un dominio existe, están aliados con los generadores automáticos de millones de mensages spam que generan from's aleatorios.... y que son sistemáticamente dirigidos a sitefinder :-)
Saludos
Quosque tandem abutere Catilina Patientia nostra?