В этой части рассматриваются некоторые известные недостатки различных версий BIND. Некоторые из них были использованы в прошлом при атаках серверов имен.
Ненужное склеивание при загрузке в сервер может привести к некорректным записям. Это может привести к соединениям, идущим на чужие машины.
Для предотвращения загрузки ненужного склеивания, все сервера зон должны обслуживаться сервером, а сервера родительских зон должны быть обновлены до BIND 4.9.3 или более позднего.
Версии BIND, предшествующие BIND 4.9.2 подвержены вставке записей в зоны обслуживания.
В Сентябре 1996 COM TLD был подвержен атаке "отказ от обслуживания" вводом в DNS записи с последней меткой COM, восемью пробелами и COM. Это затронуло сервера BIND 4.9.4. Подобные атаки возможны на BIND 4.9.3 и BIND 4.9.3-P1.
Для избежания этой дыры рекомендуется использовать BIND 4.9.4-P1 или более поздние версии.
Если вы все еще используете много значений TTL внутри RRset вы можете быть подвержены атаке отказа от обслуживания. BIND 4.9.5 и далее использует много значений ttl внутри RRset для отказа от явно плохих RRset. Рекомендуется произвести обновление до BIND 4.9.5 или более позднего на таком сервере для предотвращения загрузки множественных значений TTL и присоединения ответов, полученных через сеть.
Перевод A.S.Plotnikov, 1998
Назад | Содержание | Вперед