https://89.19.215.112/openforum/vsluhforumID3/125872.html Группа исследователей из Калифорнийского университета в Риверсайде опубликовала новый вариант атаки SAD DNS (CVE-2021-20322), работающий несмотря на защиту, добавленную в прошлом году для блокирования уязвимости CVE-2020-25705. Новый метод в целом аналогичен прошлогодней уязвимости и отличается лишь использованием другого типа ICMP-пакетов для проверки активных UDP-портов. Предложенная атака позволяет осуществить подстановку фиктивных данных в кэш DNS-сервера, что можно использовать для подмены в кэше IP адреса произвольного домена и перенаправления обращений к домену на сервер злоумышленника...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56176<br> https://89.19.215.112/openforum/vsluhforumID3/125872.html#37 Sat, 20 Nov 2021 09:59:31 GMT &gt; Не... Не ставил. /etc/resolv.conf такой же, как и на рабочем компе. <br><br>До 53/UDP порта любого хоста из resolv.conf трасса есть?<br><br>`traceroute -U -4 -p 53 1.1.1.1`<br><br>+ отдельно проверить трассу до хоста без указания протокола.<br><br>`traceroute -4 1.1.1.1`<br> https://89.19.215.112/openforum/vsluhforumID3/125872.html#36 Sat, 20 Nov 2021 03:12:56 GMT &gt; А если я использую 5-ь ДНС серверов от разных провайдеров, и все <br>&gt; они вернули различные IP адреса<br><br>Это кстати штатная ситуация для Google с его CDN. Как поступать в такой странной ситуации решать тому, кто настроил эту проблему с 5 серверами. В штатной ситуации несколько серверов настраиваются для отказоустойчивости, а не для верификации. Подлинность ответа можно проверить только через DNSSEC, но оказывается есть горе-админы, что умудряются слать ответы за свой домен с неправильными подписями.<br> https://89.19.215.112/openforum/vsluhforumID3/125872.html#35 Fri, 19 Nov 2021 22:20:50 GMT Оставлю ссылку на новость, а то мало ли. https://www.opennet.ru/opennews/art.shtml?num=56176<br> https://89.19.215.112/openforum/vsluhforumID3/125872.html#34 Fri, 19 Nov 2021 18:05:14 GMT А если я использую 5-ь ДНС серверов от разных провайдеров, и все они вернули различные IP адреса, что делать, открывать 5-ь вкладок в браузере??? ;)<br> https://89.19.215.112/openforum/vsluhforumID3/125872.html#33 Fri, 19 Nov 2021 04:02:09 GMT &gt; Ахахахахаохохо... ох уж эти локалхосты.<br><br>Да, на всех домашних тачках Linux. А что не так? К чему коммент? Тут далеко не все с десяточки через pussy.exe работают.<br> https://89.19.215.112/openforum/vsluhforumID3/125872.html#32 Thu, 18 Nov 2021 19:50:44 GMT DNSSEC в systemd-resolved был сломан (не знаю как сейчас). Не стоит делать заключений о DNSSEC только в этой реализации.<br> https://89.19.215.112/openforum/vsluhforumID3/125872.html#31 Thu, 18 Nov 2021 16:21:39 GMT Stubby с systemd-resolved не нужен. Не установлен.<br> https://89.19.215.112/openforum/vsluhforumID3/125872.html#30 Thu, 18 Nov 2021 11:18:33 GMT Stubby через TLS? <br><br>обнови finger pin<br> https://89.19.215.112/openforum/vsluhforumID3/125872.html#29 Thu, 18 Nov 2021 11:15:35 GMT Для доменов и сервисов в целом, но для https мимо. В любом случае, какой ip не получишь, а сервер должен будет подписать хендшейк приватником, которому соответствует единственный публичник этого домена, который апрувлен/подписан всей цепочкой до корневых сертификатов.<br>