BIND DNS serverining 9.11.18 va 9.16.2 barqaror filiallari, shuningdek, ishlab chiqilayotgan 9.17.1 eksperimental filiallari uchun tuzatuvchi yangilanishlar. Yangi nashrlarda hujumlardan samarasiz himoya bilan bog'liq xavfsizlik muammosi "» DNS-server so'rovlarini yo'naltirish rejimida ishlaganda (sozlamalarda "ekspeditorlar" bloki). Bundan tashqari, DNSSEC uchun xotirada saqlanadigan raqamli imzo statistikasi hajmini kamaytirish bo‘yicha ishlar amalga oshirildi – kuzatilgan kalitlar soni har bir zona uchun 4 tagacha qisqartirildi, bu 99% hollarda yetarli.
"DNS-ni qayta ulash" texnikasi foydalanuvchi brauzerda ma'lum bir sahifani ochganda, Internet orqali bevosita kirish imkoni bo'lmagan ichki tarmoqdagi tarmoq xizmatiga WebSocket ulanishini o'rnatish imkonini beradi. Brauzerlarda joriy domen doirasidan tashqariga chiqishdan (oʻzaro kelib chiqish) himoyalanishni chetlab oʻtish uchun DNS-da xost nomini oʻzgartiring. Buzg'unchining DNS serveri ikkita IP-manzilni birma-bir jo'natish uchun tuzilgan: birinchi so'rov serverning haqiqiy IP-ni sahifa bilan yuboradi va keyingi so'rovlar qurilmaning ichki manzilini qaytaradi (masalan, 192.168.10.1).
Birinchi javob uchun yashash vaqti (TTL) minimal qiymatga o'rnatiladi, shuning uchun sahifani ochishda brauzer tajovuzkor serverining haqiqiy IP-manzilini aniqlaydi va sahifa mazmunini yuklaydi. Sahifa TTL muddati tugashini kutuvchi JavaScript kodini ishga tushiradi va ikkinchi so‘rovni yuboradi, bu esa endi xostni 192.168.10.1 sifatida belgilaydi. Bu JavaScript-ga o'zaro kelib chiqish cheklovini chetlab o'tib, mahalliy tarmoq ichidagi xizmatga kirish imkonini beradi. BIND-da bunday hujumlarga qarshi kurash tashqi serverlarning joriy ichki tarmoq IP manzillarini yoki mahalliy domenlar uchun CNAME taxalluslarini rad etish-javob-manzillar va rad etish-javob-taxalluslari sozlamalari yordamida qaytarishini bloklashga asoslangan.
Manba: opennet.ru