[uanog] Яндекс все?
Taras Heychenko
tasic at academ.kiev.ua
Tue May 30 17:13:11 EEST 2017
> On May 30, 2017, at 16:02, Sergey Myasoedov <sm at netartgroup.com> wrote:
>
>
>>> блокировка на уровне провайдера лучше всего получается или 1) на IP уровне или 2) в DNS. Чаще всего используют комбинацию: на IP блокируют, а при помощи DNS показывают “что случилось”.
>>>> Если включен DNSSEC, то никакой подмены на уровне DNS не получится.
>>> Это шутка? Много ли клиентов ISP держат у себя валидирующий резолвер?
>> Т.е. ты хочешь сказать, что если домен подписан, то можно поменять его IP и все будет работать?
>> Я правильно тебя понял?
>
> Я хочу сказать, что если ты доверяешь своему провайдеру в вопросе DNS или твой провайдер перехватывает твои DNS-запросы и отвечает на них сам (есть и такие), естественно, ставя нули в нужных битах - можно подменять адрес хоть google.com и всё будет работать.
Я бы хотел внимательно пересмотреть стандарт, прежде чем отвечать исключительно в технической плоскости,
но на это сейчас нету времени. Поэтому ответ в логической плоскости. DNSSEC, среди прочего, является защитой
от MITM атак. То, что ты описал, является одним из вариантов MITM. Защищает или нет?
>
>
> --
> Sergey
--
Taras Heychenko
tasic at academ.kiev.ua
More information about the uanog
mailing list