ฉันอ่านบันทึกย่อบางส่วนเกี่ยวกับบริการ DNS สาธารณะใหม่ของ Google :
ฉันสังเกตเห็นภายใต้หัวข้อความปลอดภัยในย่อหน้านี้:
จนกว่าจะมีการแก้ปัญหาทั้งระบบแบบมาตรฐานสำหรับช่องโหว่ DNS ได้รับการดำเนินการในระดับสากลเช่นโปรโตคอล DNSSEC2 ตัวแก้ไข DNS แบบเปิดจำเป็นต้องใช้มาตรการบางอย่างอย่างอิสระในการบรรเทาภัยคุกคามที่รู้จัก มีการนำเสนอเทคนิคมากมาย ดูที่IETF RFC 4542: มาตรการในการทำให้ DNS ยืดหยุ่นมากขึ้นต่อคำตอบที่ปลอมแปลงสำหรับภาพรวมส่วนใหญ่ ใน Google Public DNS เราได้ดำเนินการแล้วและเราขอแนะนำแนวทางต่อไปนี้:
- การจัดสรรทรัพยากรของเครื่องจักรมากเกินไปเพื่อป้องกันการโจมตี DoS โดยตรงบนตัวแก้ไขปัญหาเอง เนื่องจากที่อยู่ IP นั้นสำคัญสำหรับผู้โจมตีที่จะปลอมแปลงจึงเป็นไปไม่ได้ที่จะปิดกั้นการสอบถามตามที่อยู่ IP หรือเครือข่ายย่อย วิธีเดียวที่มีประสิทธิภาพในการจัดการการโจมตีดังกล่าวคือเพียงแค่รับภาระ
นั่นคือการตระหนักถึงความตกต่ำ; แม้ใน Stack Overflow / Server Fault / Super User เรามักใช้ที่อยู่ IP เป็นพื้นฐานสำหรับการห้ามและบล็อกทุกชนิด
หากคิดว่าผู้โจมตี "มีความสามารถ" สามารถใช้ที่อยู่ IP ใดก็ได้ที่พวกเขาต้องการและสังเคราะห์ที่อยู่ IP ที่ไม่ซ้ำกันตามที่พวกเขาต้องการและน่ากลัวมาก!
ดังนั้นคำถามของฉัน:
- มันเป็นจริงที่ง่ายสำหรับการโจมตีในการปลอมที่อยู่ IP ในป่า?
- ถ้าเป็นเช่นนั้นการบรรเทาปัญหาอะไรบ้างที่เป็นไปได้?