forum.opennet.ru

"Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализаций DNSSEC "

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..."	+/–
Сообщение от Аноним (42), 15-Фев-24, 21:25
> Первое, от чего стоит избавиться в проде ... это от советов людей, которые прода никогда не видели > являться единой точкой отказа ... и наивно верят, что перед L7-балансировщиками нет L3 (BGP) и L4 (IPVS) яруса. А ещё эти гадкие балансировщики позволяют делать так -- Drop rules addAction(MaxQPSIPRule(2500, 32, 64), DropAction()) addAction(MaxQPSIPRule(5000, 24, 48), DropAction()) -- Refuse rules addAction(MaxQPSIPRule(2000, 32, 64), RCodeAction(DNSRCode.REFUSED)) addAction(MaxQPSIPRule(4000, 24, 48), RCodeAction(DNSRCode.REFUSED)) -- Truncate (force TCP) rules addAction(AndRule({MaxQPSIPRule(500, 32, 64), TCPRule(false)}), TCAction()) addAction(AndRule({MaxQPSIPRule(1000, 24, 48), TCPRule(false)}), TCAction())
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализаций DNSSEC , opennews, 14-Фев-24, 18:16 [смотреть все]

Knot dns не подвержен Получается, настоящие днс в безопасности , Аноним, 14-Фев-24, 18:16 (1) //
- Только что обновление вышло https www knot-resolver cz 2024-02-13-knot-resolve, Аноним, 14-Фев-24, 18:29 (4)
полный отказ от DNSSEC по причине ugly by design, Аноним, 14-Фев-24, 18:23 (2) //
- DNS без DNSSEC слишком прост и надёжен Кому вообще нужны системы, которые просто, Аноним, 14-Фев-24, 18:28 (3) //
  - DNS и с DNSSEC, и без не прост и не надёжен То, что у тебя дома на OpenWRT dn, Аноним, 14-Фев-24, 18:48 (6) //
    - echo showServers 124 dnsdist -c Name Address , Аноним, 14-Фев-24, 18:53 (7)
      - dnsdist, по сравнению с dnsmasq жрёт ресурсы немерено и не умеет также быстро оп, Гость, 14-Фев-24, 20:16 (11)
        
        это же балансировщик, Sw00p aka Jerom, 14-Фев-24, 20:54 (12)
        Поэтому и запускаем мы его не на роутере с OpenWRT Это не входит в его задачи Е, Аноним, 14-Фев-24, 21:48 (18)
        
        Первое, от чего стоит избавиться в проде 8212 от балансировщика днс Его функ, Аноним, 15-Фев-24, 18:39 (39)
        
        это от советов людей, которые прода никогда не видели и наивно верят, что , Аноним, 15-Фев-24, 21:25 (42)
        
        Больше балансировщиков к трону бога балансировщиков Ну наслаждайся своим ланчик, Аноним, 15-Фев-24, 22:28 (46)
      - Без аптайма это фигня какая-то, а не инфа 7723759 8212 это за день За час , Аноним, 15-Фев-24, 18:34 (38)
        
        Для умеющих читать, там есть столбец Qps Попробуйте позвать к компьютеру кого-то, Аноним, 15-Фев-24, 21:28 (43)
        
        А для умеющих думать ещё и очевидно, что Qps сильно зависит от времени измерений, Аноним, 15-Фев-24, 22:37 (47)
      - Прастити, у вас ДНС работают на ZX-Spectrum, раз перед ими при нагрузке аж в 121, Аноним, 17-Фев-24, 14:59 (50)
    - И что же он знает , Ivan_83, 14-Фев-24, 23:21 (29)
      - Ну, уважаемый Аноним 6 явно знает, как делать громкие заявления, но определё, Аноним, 15-Фев-24, 21:30 (44)
Валидация DNSSEC сейчас используется примерно на 30 публичных резолверов Начал, Аноним, 14-Фев-24, 18:45 (5) //
- Если стандарт 2005 года начали массово использовать только в 2024, то караван , Аноним, 14-Фев-24, 19:00 (8) //
  - Так ослаблять сеть начали не так давно, раньше это никому в голову не приходило , Аноним, 14-Фев-24, 21:44 (16) //
    - То ли дело раньше, никакого SSL и TLS Что перехватил 8212 все твоё , Аноним, 14-Фев-24, 21:49 (20)
      - Ну собственно провайдеры занимавшиеся продажей подобных данных поступали незакон, Аноним, 14-Фев-24, 22:04 (23)
        
        О да, наш любимый DNSSEC очень вам поможет, если провайдер встроит что-то в текс, Аноним, 14-Фев-24, 22:16 (25)
  - В том же, в чём отличие мягкого от зелёного Дальше читать твои измышления смысл, Аноним, 15-Фев-24, 18:28 (37) //
    - Ну да, точно У них действительно нет ничего общего, даже предназначения HTTPS , Аноним, 15-Фев-24, 21:33 (45)
      - Я не могу тебе запретить упорствовать в твоём невежестве , Аноним, 15-Фев-24, 22:43 (48)
DNSSEC - это конечно редкостное удолбище , Tron is Whistling, 14-Фев-24, 19:39 (10) //
- Хорошо, что товарищ майор не состоит в ISO , birdie, 14-Фев-24, 21:02 (13) //
  - Там только господа майоры , Аноним, 14-Фев-24, 21:46 (17)
А что с systemd-resolved Неуязвим , birdie, 14-Фев-24, 21:02 (14) //
- Там DNSSEC дописан наполовину и выключен по умолчанию и разработчиков колышет сл, Аноним, 14-Фев-24, 21:23 (15) //
  - Можно корректно реализовать DNSSEC и подарить пользователям случайные отвалы люб, Аноним, 14-Фев-24, 21:54 (21)
nsd еще жив , IdeaFix, 14-Фев-24, 21:49 (19) //
- Ты дурной NSD authoritative only, он валидацией не занимается , anonymous, 14-Фев-24, 21:57 (22) //
  - Если оставить за скобками что ты дурной и перечитать мой вопрос, будет ли там чт, IdeaFix, 14-Фев-24, 23:11 (27) //
    - Вообще-то, тут обсуждают новость проИ авторитативные серверы тут вообще не при д, Аноним, 15-Фев-24, 00:10 (31)
- Уважаемый автор новости, NSEC3 это не кодое имя уязвимости У этой уязвимости не, Editor, 14-Фев-24, 22:04 (24) //
  - В первоисточнике , Аноним, 14-Фев-24, 22:18 (26) //
    - Хорошо, но контест тоже важен И в отличие от KeyTrap vulnerability, где уязвимо, Editor, 15-Фев-24, 02:42 (34)
      - Ниже приводится выдержка из описания CVE, в которой уточнено, что уязвимость наз, Аноним, 15-Фев-24, 10:57 (36)
  - The Closest Encloser Proof aspect of the DNS protocol in RFC 5155 when RFC 9276, IdeaFix, 14-Фев-24, 23:15 (28)
Нет DNSSEC - нет проблем Сколько вам ещё должно сломатся чтобы понять , Ivan_83, 14-Фев-24, 23:23 (30) //
- Просто кому-то эти проблемы выгодны , Аноним, 15-Фев-24, 00:11 (32) //
  - Нет, просто DNSSEC это костыль, который не хотят выкидывать ибо везде театр безо, Ivan_83, 15-Фев-24, 01:00 (33)
Будет время - надо свои YADIFA погонять на предмет уязвимости Хотя разговор вро, bOOster, 15-Фев-24, 10:15 (35)
Название - тоненький намёк на то, что NSEC3 - это и есть дыра , Tron is Whistling, 16-Фев-24, 10:28 (49)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру