BIND DNS серверийн 9.11.18 ба 9.16.2-ын тогтвортой салбарууд, мөн хөгжүүлж буй туршилтын 9.17.1 салбаруудад залруулах шинэчлэлтүүд. Шинэ хувилбаруудад халдлагын эсрэг үр дүнгүй хамгаалалттай холбоотой аюулгүй байдлын асуудал "» DNS серверийн хүсэлтийг дамжуулах горимд ажиллах үед (тохиргоо дахь "дамжуулах" блок). Нэмж дурдахад DNSSEC-ийн санах ойд хадгалагдсан тоон гарын үсгийн статистикийн хэмжээг багасгах ажил хийгдсэн - хянагдсан түлхүүрүүдийн тоог бүс тус бүрт 4 болгон бууруулсан нь тохиолдлын 99% -д хангалттай юм.
"DNS дахин холбох" техник нь хэрэглэгч хөтөч дээр тодорхой хуудсыг нээх үед интернетээр шууд холбогдож чадахгүй байгаа дотоод сүлжээн дэх сүлжээний үйлчилгээнд WebSocket холболт үүсгэх боломжийг олгодог. Одоогийн домэйны (хөндлөн гарал үүсэл) хүрээнээс хэтрэхээс хөтчүүдэд ашиглагдаж буй хамгаалалтыг тойрч гарахын тулд DNS дахь хостын нэрийг өөрчилнө үү. Халдагчийн DNS сервер нь хоёр IP хаягийг нэг нэгээр нь илгээхээр тохируулагдсан байдаг: эхний хүсэлт нь серверийн жинхэнэ IP-г хуудастай хамт илгээдэг бөгөөд дараагийн хүсэлтүүд нь төхөөрөмжийн дотоод хаягийг буцаадаг (жишээлбэл, 192.168.10.1).
Эхний хариултын амьдрах хугацаа (TTL) нь хамгийн бага утгад тохируулагдсан тул хуудсыг нээх үед хөтөч нь халдагчийн серверийн жинхэнэ IP-г тодорхойлж, хуудасны агуулгыг ачаалдаг. Энэ хуудас нь TTL-ийн хугацаа дуусахыг хүлээдэг JavaScript кодыг ажиллуулж, хоёр дахь хүсэлтийг илгээдэг бөгөөд энэ нь одоо хостыг 192.168.10.1 гэж тодорхойлж байна. Энэ нь JavaScript-д дотоод сүлжээн дэх үйлчилгээнд нэвтрэх боломжийг олгодог бөгөөд үүсэл хоорондын хязгаарлалтыг давж гардаг. BIND дээрх ийм халдлагуудын эсрэг нь үгүйсгэх-хариулт-хаяг болон үгүйсгэх-хариулт-алиас тохиргоог ашиглан одоогийн дотоод сүлжээний IP хаяг эсвэл локал домэйны CNAME нэрсийг буцаахыг гадаад серверүүдийг блоклоход суурилдаг.
Эх сурвалж: opennet.ru